antología pc-0381 2-2015

Escuela de Administracin de Negocios Asumiendo el reto para la excelencia profesional: Acreditacin

CARRERA DE CONTADURA PBLICA Antologa CURSO PC-0381 INFORMTICA II PARA GERENCIA DE NEGOCIOS

II CICLO, 2015

TEXTO RECOPILADO Y ELABORADO POR LA PROFESORA SILVIA CHINCHILLA SAENZ

LAS TECNOLOGAS DE INFORMACIN EN LA GESTIN DE NEGOCIOS Antecedentes El aumento de la dependencia tecnolgica que caracteriza el desarrollo de las actividades financieras, la escala y los costos de las inversiones actuales y futuras en sistemas de informacin, la proliferacin de amenazas y eventos no deseados; y el potencial que poseen las tecnologas para cambiar drsticamente los procesos de negocio de las organizaciones, hacen necesario que la gestin del riesgo tecnolgico se realice de acuerdo con las mejores prcticas en la materia.

Las organizaciones gastan demasiado dinero en tecnologa y no logran obtener el verdadero valor de las inversiones relacionadas con el cumplimiento de normas.

Tambin desperdician considerables recursos al duplicar esfuerzos de capacitacin, documentacin, aplicacin de polticas, administracin y auditora.

Bsicamente, un mtodo reactivo no permite crear un programa integral y sostenible para cumplir los requerimientos de cumplimiento de normas y los requerimientos ms amplios de administracin de riesgos de informacin y seguridad.

Las organizaciones deben enfrentar una gran gama de requerimientos al nivel de cumplimiento normativo.

El entorno regulatorio, las tendencias y las polticas internas, dificultan a las funciones de cumplimiento y seguridad de TI superar la curva. Se obliga a las organizaciones a actuar de manera reactiva y administrar el cumplimiento de normas como proyecto a medida que surgen nuevos requerimientos.

El resultado? Por lo general, esta respuesta reactiva, genera una enorme cantidad de controles, polticas y procedimientos tecnolgicos redundantes que se superponen.

La informacin Cada vez ms, la alta direccin se est dando cuenta del impacto significativo que la informacin puede tener en el xito de una empresa.

De esta forma, se identifica la necesidad de contar con un ambiente que asegure la adecuada administracin de la informacin y los recursos que permiten su acceso y salvaguarda.



II CICLO, 2015


En particular, la alta direccin necesita saber si con la informacin administrada en la entidad, es posible que:

Se garantice el logro de sus objetivos

Tenga suficiente flexibilidad para aprender y adaptarse

Cuente con un manejo juicioso de los riesgos que enfrenta

Garantizar la seguridad de la informacin de negocio y la continuidad del mismo.

Proteger la informacin para cumplir con las regulaciones.

Evitar que se comentan acciones ilcitas o delictivas haciendo uso de la infraestructura de la organizacin:

Interna: empleados o colaboradores de la organizacin

Externa: Intrusos en nuestros sistemas

Control interno para evitar manipulaciones en los datos

Cdigos de Buen Gobierno

Responsabilidad Social Corporativa

Delimitar responsabilidades personales

La informacin y la tecnologa relacionada con ella son tan importantes para el negocio que no se deben dejar slo en manos de los tcnicos informticos.

La alta direccin es, pues, responsable de entender la funcin de las tecnologas de informacin, de saber cmo puede esta funcin apoyar sus objetivos de negocio y de cmo pueden incluso plantear nuevos objetivos y servicios gracias a las tecnologas de informacin.

Criterios de Informacin Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control, identificados como requerimientos de informacin del negocio.

La efectividad informacin relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

La eficiencia - la informacin se genere con el ptimo (ms productivo y econmico) uso de los recursos.

La confidencialidad - la proteccin de informacin sensitiva contra revelacin no autorizada.

La integridad - la precisin y completitud de la informacin, as como con su validez de acuerdo con los valores y expectativas del negocio.

La disponibilidad - la informacin debe estar disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas.



II CICLO, 2015


El cumplimiento - acatar las regulaciones y acuerdos contractuales a los cuales est sujeto el proceso de negocio, es decir, criterios de negocios impuestos externamente, as como polticas internas.

La confiabilidad - proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Gobernabilidad El concepto de Gobierno corporativo, es el conjunto de principios que norman el diseo, integracin y funcionamiento de los rganos de gobierno de la empresa, como son el Consejo de Administracin y sus Comits de apoyo. Apareci hace algunas dcadas en los pases ms desarrollados del oeste de Europa, en Canad, los Estados Unidos y Australia, como consecuencia de la necesidad que tenan los accionistas minoritarios de una empresa de conocer el estado que guardaba su inversin; esto es, queran saber qu se estaba haciendo con su dinero y cules eran las expectativas futuras. Esto hizo que los accionistas mayoritarios de un negocio y sus administradores, iniciaran un proceso de apertura de la informacin, al mismo tiempo de profesionalizacin y transparencia en el manejo del mismo.

En el mundo, el mercado de valores, los fondos de pensiones, sociedades mutualistas, compaas de seguros, sociedades de capital de riesgo y otros similares, forman parte importante del sistema financiero y las necesidades de informacin sobre su inversin han sido definitivas en la incorporacin a las empresas de las llamada mejores prcticas corporativas.

La Organizacin para la Cooperacin y el Desarrollo Econmicos (OECD), emiti en mayo de 1999 sus Principios de Gobierno Corporativo en los que se encuentran las ideas bsicas que dan forma al concepto que es utilizado por los pases miembros y algunos otros en proceso de serlo.

Los principios de la OECD contemplan que el marco de GC debe:

Proteger los derechos de accionistas.

Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a los minoritarios y a los extranjeros.

Todos los accionistas deben tener la oportunidad de obtener una efectiva reparacin de los daos por la violacin de sus derechos.

Reconocer los derechos de terceras partes interesadas y promover una cooperacin activa entre ellas y las sociedades en la creacin de riqueza, generacin de empleos y logro de empresas financieras sustentables.

Asegurar que haya una revelacin adecuada y a tiempo de todos los asuntos relevantes de la empresa, incluyendo la situacin financiera, su desempeo, la tenencia accionaria y su administracin.

Asegurar la gua estratgica de la compaa, el monitoreo efectivo del equipo de direccin por el consejo de administracin y las responsabilidades del Consejo de Administracin con sus accionistas.

La OECD y el Banco Mundial, a travs de la Corporacin Financiera Internacional, tienen establecido un amplio programa de difusin del concepto de Gobierno Corporativo en el



II CICLO, 2015


mundo. Este programa incluye la celebracin de mesas redondas por regiones geogrficas, as, en Amrica Latina se han llevado a cabo cuatro mesas redondas Latinoamericanas de GC. La primera se celebr en el ao 2000 en Sao Paulo, Brasil; la segunda en 2001 en Buenos Aires, Argentina; la tercera en 2002 en la Ciudad de Mxico y la cuarta en 2003 en Santiago de Chile, Chile.

Hoy en da es tan importante el Gobierno Corporativo como un desempeo financiero eficiente. Se dice que alrededor del 80% de los inversionistas pagaran ms por una compaa con un buen GC; y como no, si este elemento le brinda una mayor seguridad a su inversin ya que asegura sanas prcticas corporativas. Entre mayor transparencia e informacin exista, mayor es la confianza de los inversionistas en el mercado. Por lo anterior el GC lejos de ser una moda, se considera un concepto necesario para la sostenibilidad y crecimiento de las empresas.

Gobierno Corporativo Prioridades 2015 de las juntas directivas por Ray Wang1 Las juntas directivas de los lderes del mercado y organizaciones seguidoras rpidas adoptan medidas para combatir el abismo digital al que se enfrentan.

Constellation Research encuest a ms de 200 CXO y ha identificado 10 prioridades de las juntas directivas para 2015. Como se prevea, la transformacin digital se ha convertido en un tema importante y los lderes en el mercado y los seguidores rpidos, buscan orientacin sobre qu elementos son necesarios en el diseo para apoyar negocio digital.

La transformacin digital se define como la metodologa en la que las organizaciones se transforman y crean nuevos modelos de negocio y cultura con las tecnologas digitales. El conductor de la transformacin digital se deriva del hecho de que desde el ao 2000, el 52 por ciento de las empresas del Fortune 500 han quebrado, se han comprado o ha dejado de existir.

De estos lderes del mercado y los seguidores rpidos surgieron diez prioridades fuertemente sesgadas hacia el extremo superior de la Jerarqua de necesidades corporativas de Constellation.

1 Research Report: Inside The 2015 Boardroom Priorities (Parts 1 & 2), Published on December 16, 2014 by R Ray Wang @rwang0



II CICLO, 2015


Las prioridades de las juntas directivas reflejan la urgencia del cambio a velocidad digital. Despus de la categorizacin de las prioridades de las juntas de acuerdo con la Jerarqua de necesidades corporativas de Constellation, surgieron 10 tendencias en las cinco categoras. Es de destacar que un mayor nmero de prioridades para 2015 surgi en el mayor nivel de necesidades. Este cambio con las encuestas anteriores indica un deseo de cambiar de estrategia o embarcarse en la transformacin del negocio.

Prioridades de marca apoyan la entrega de autenticidad en ambos mundos analgico y digital 1. Inversin en presencia digital. Las personajes digitales no slo deben reflejar la marca,

sino tambin ampliar la experiencia analgica. Las marcas lderes son conscientes de invertir en la experiencia digital con un ojo hacia la personalizacin en masa y a escala. Mientras que la publicidad juega un papel clave en la realizacin del mensaje, la inversin en el diseo de experiencias digitales emerge como el rea caliente de la inversin.

2. Entrega consistente de la experiencia del cliente (CX). Miembros de la Junta en mercados altamente competitivos hacen hincapi en la necesidad de mejorar y ampliar la experiencia del cliente con el fin de aumentar el valor vitalicio del cliente. Se dan cuenta que estas iniciativas requieren tanto un modelo de compromiso sostenible a travs de las comunidades y una dimensin de lealtad a travs de gamification y el intercambio de valor. La zona ms caliente del crecimiento es la experiencia post-venta que incluye la instalacin, garanta, servicio, capacitacin, migracin y actualizacin.

La diferenciacin estratgica se centra en tcnicas de transformacin digital proactiva y reactiva 3. La transformacin digital de los negocios. Los lderes estn luchando para crear nuevos

modelos de negocio a travs de las tecnologas de punta. Una tendencia incluye la introduccin de nuevas unidades los modelos de negocio de costos. Estos modelos de negocios tratan de ofrecer la menor unidad de producto o servicio a un cliente y luego buscar modelos de suscripcin para la previsibilidad a largo plazo. Adems, los lderes

Marca

Diferenciacin Estratgica

Ingresos y Crecimiento

Costo y Eficiencia Operativa

Cumplimiento Regulatorio



II CICLO, 2015


estn esperanzados de aprovechar la escala de la tecnologa digital para cumplir con la meta a largo plazo, que son segmentos de clientes de uno.

4. Respuesta rpida a los competidores no tradicionales. Con el surgimiento de competidores no tradicionales para casi todos los segmentos de mercado, las juntas estn pidiendo a sus equipos de gestin para crear equipos SWAT para identificar proactivamente potenciales competidores en el mercado. El objetivo crear posibles respuestas a los escenarios del mercado basado en los nuevos modelos de negocios y las tecnologas de punta.

5. Creacin modelos de negocio impulsado por informacin interna. Se espera que las organizaciones entreguen el 20% de su crecimiento en los ingresos de los modelos de negocio de grandes datos para 2020. La intermediacin de conocimientos como un distribuidor de proveedores de contenidos, la red o proveedor de brazos surge como nueva fuente de diferenciacin competitiva y tambin una fuente de ingresos. Las organizaciones deben crear la capacidad de ofrecer conocimiento propio y alimentar a agentes de informacin como Thomson Reuters y Bloomberg.

Estrategias de crecimiento e ingresos se preparan para estrategias altamente especializadas e inorgnicas 6. Priorizar el desarrollo de una cultura de alto rendimiento. La guerra por el talento

contina en el extremo superior del espectro de contratacin. De hecho, el mercado es altamente competitivo para el 10% de la fuerza laboral. Por qu? A pesar de la contratacin de un menor nmero de trabajadores, la mayora de las organizaciones prioriza la calidad sobre la cantidad. Adems, la jubilacin esperada de una generacin altamente cualificada y experimentada crea un vaco de trabajadores cualificados no slo en los primeros lugares, sino tambin en el medio de la base de empleados.

7. Preparacin para el crecimiento inorgnico. Capital barato, las ambiciones de acumulacin de la cartera de patentes de crecimiento global, guerra por el talento, y la disminucin de los mrgenes impulsa las fusiones, adquisiciones y joint ventures. Por otra parte, el carcter esquivo de crecimiento orgnico reta a las juntas a considerar fusiones y adquisiciones como un acelerador de la propiedad intelectual, el talento, la base de clientes y redes asociadas. El objetivo es crear ecosistemas de plataforma y atraer socios para co-crear y co-innovar.

El costo y la eficiencia operativa siguen siendo un pilar importante mediante la automatizacin e integracin luego de la fusin 8. Automatizacin masiva de mano de obra y el pensamiento. La automatizacin se

expande tanto en la gama baja como en la gama alta del mercado. Los lderes invierten en robtica, Internet de los objetos, y la realidad aumentada. La santificacin de puestos de trabajo en el medio se expandir ya que las mquinas se vuelven ms inteligentes y se incrementan los costos reglamentarios de la asistencia sanitaria para aumentar la seguridad. Los sistemas de gestin de la Decisin aprendern a hacer recomendaciones ms coherentes e inteligentes basados en aprendizaje automtico y algoritmos. De las cadenas de suministro a la experiencia del cliente, la automatizacin avanza a un ritmo rpido de cambio.

9. La eficiencia en la integracin tras la fusin. Con el crecimiento inorgnico como una prioridad para 2015, las juntas medirn a los equipos de gestin por su habilidad para



II CICLO, 2015


completar no slo una fusin y adquisicin, sino tambin expulsar costos, fusionar las lneas de productos, mejorar las ventas nuevas y otros productos a los clientes actuales, aumentar la cuota de mercado, y mejorar rentabilidad. Los lderes experimentados preparan para la escala mediante la construccin de capacidades directas y Plataforma para el ncleo y el aprovechamiento de los proveedores de servicios tercerizados para necesidades no bsicas.

Cumplimiento Normativo

10. Reduccin del costo de cumplimiento normativo y seguridad. Como prolifera el cumplimiento normativo y las amenazas a la seguridad, las organizaciones buscan capacidades para reducir el costo. Las soluciones incluyen la creacin de servicios compartidos entre los competidores para hacer frente a los requisitos reglamentarios y procesos bsicos comunes.

La lnea base: el darwinismo digital es cruel para los que esperan Lamentablemente, en casi todos los segmentos, los tres principales competidores controlan el 43 a 71 por ciento de la cuota de mercado y del 53 a 77 por ciento de las ganancias. En el espacio de la tecnologa slo 80 empresas desde 2000 han hecho que el club del multimillonario. Mientras tanto, la intensa competencia, el pensamiento a corto plazo de los accionistas a corto plazo, y la inversin mnima entorpecen el ritmo de inversin e innovacin requerida por los lderes de negocio para sobrevivir el panorama competitivo de hoy.

Mientras que las juntas no han sido complacientes con el tratamiento del cambio, los ltimos cinco aos han demostrado la diferencia entre los que invirtieron en la transformacin digital y los que no lo han hecho. El abismo corporativo digital es enorme entre los lderes del mercado, seguidores rpidos, y todos los dems. Los miembros de la junta astutos se dan cuenta que deben invertir en el cambio transformacional para enfrentar un darwinismo digital vicioso.

Qu es el gobierno de TI?

El gobierno de TI es parte integral del gobierno corporativo y consiste en el liderazgo, los procesos y las estructuras que aseguran que las tecnologas de la organizacin apoyen los objetivos y estrategias de la empresa. Su objetivo es asegurar que las tecnologas aportan valor a la empresa y que el riesgo asociado a ellas est bajo control. Para extraer valor de la tecnologa, es necesario alinear las TI con la estrategia de negocio. Por su parte, la gestin del riesgo tiene mltiples dimensiones que incluyen aspectos como la seguridad, la recuperacin de desastres o la privacidad.

Qu aspectos debe considerar un buen gobierno de TI?

Un gobierno de TI debe centrarse en cuatro aspectos: la obtencin de valor de las TI; la gestin del riesgo; la asignacin de responsables; y la medicin de resultados. Para cumplir con ellos, las empresas establecen diferentes mecanismos, como designar un comit formado por la alta direccin, hacer el seguimiento de los proyectos de TI y los recursos consumidos, o establecer acuerdos de nivel de servicio. Muchas veces, estos mecanismos se han ido creando de forma aislada, a medida que la empresa topaba con dificultades. Por ello, es necesario revisar cada uno de estos mecanismos de forma regular y determinar su efectividad.



II CICLO, 2015


Peter Weill y Joanne Ross, profesores del MIT y autores de IT Governance: How Top Performers Manage It Decision Rights for Superior Results, recomiendan definir entre seis y diez mecanismos en torno a tres aspectos: la estructura de toma de decisiones (de modo que quede claro quien decide y es responsable de tales decisiones), los procesos de alineacin (un gobierno efectivo acta ms que decide) y las comunicaciones formales (explicar el porqu de las decisiones contribuye a que toda la empresa las entienda y apoye).

Existe alguna metodologa estndar para dirigir las TI?

Hay muchos tipos de mecanismos y tcnicas de gobierno de TI. Aunque diversas asociaciones han desarrollado metodologas para ayudar a las empresas a gestionar sus sistemas de informacin, los expertos remarcan que no existe el marco ideal, sino que son complementarios entre ellos. Por ello, la mayora de empresas estn desarrollando sus propios modelos de gobierno de las TI, tomando prestado lo que ms les interesa de cada metodologa oficial. Uno de los marcos que est ganando popularidad en la comunidad mundial de TI es la IT Infrastructure Library (ITIL), inicialmente desarrollada en el Reino Unido por la Oficina de Comercio del Gobierno (OGC). En cierto modo, ITIL explica cmo acometer las medidas de un gobierno de TI, mientras que la metodologa Control de Objetivos para la informacin y Tecnologas Relacionadas (COBIT) se centra en qu medidas adoptar. Desarrollada por la Asociacin de Auditora y Control de los Sistemas de la Informacin (ISACA), COBIT es fuerte en control y medicin. Por ltimo, la Organizacin Internacional para la Estandarizacin (ISO) ha desarrollado la ISO 17799, bajo el nombre de Tecnologas de la Informacin. Cdigo de prcticas de la gestin de la seguridad de la informacin, muy enfocado a la seguridad. En el mercado existen diversas soluciones, de fabricantes como i2 Technologies, IBM o Microsoft, que implementan las mejoras prcticas de alguna de estas metodologas para ayudar a las empresas a desarrollar sus gobiernos de TI.

Cules son los principales retos y dificultades de un gobierno de TI?

En primer lugar, la falta de conocimiento sobre qu implica este tipo de mecanismos. Tambin falta concienciacin sobre la necesidad de contar con ellos: un estudio de Manager Objects seala que el 41 por ciento de los directores de TI no planean adoptar principios de gobierno de TI. El mismo estudio destaca que, de los 179 directores de TI britnicos encuestados, ms de una tercera parte citan la falta de tiempo y dinero como las principales razones para no medir el rendimiento de sus sistemas. Adems, los expertos sealan la dificultad de identificar las medidas clave para calcular el rendimiento de las TI. Por ltimo, implantar un gobierno de TI significa no slo adoptar las herramientas correctas, sino que obliga a las empresas a adaptar y repensar todos sus procesos.

Gobierno de TI o Gestin de TI? La opinin de Mark Toomey

Se est construyendo un debate acerca de la distincin entre Gobierno de TI y Gestin de TI. Por muchos aos, hemos visto como la industria de TI utiliza estas palabras en forma intercambiable o, tratando de distinguir entre los niveles de gestin altos y bajos, refirindose a los niveles ms altos como Gobierno. Hemos visto como el trmino Gobierno se junta



II CICLO, 2015


con datos, XML, computacin verde, computacin en la nube, tercerizacin, procesos, y probablemente al fregadero de la cocina.

Llamar a algo gobierno sin ninguna otra explicacin, no conduce a nada excepto a la confusin. Y no solo confunde a las personas de TI confunde a los gerentes, ejecutivos y directores de las empresas porque para cada una de esas comunidades, la palabra tiene sutiles diferencias de significado.

El problema de distinguir entre Gobierno y Gestin, va ms all de simplemente definir los trminos. Requiere que construyamos un entendimiento de cmo el Gobierno y la Gestin se mezclan entre s, para proveer un completo control efectivo y supervisin de una organizacin, con respecto a cmo esta organizacin utiliza TI.

Un Marco para el Gobierno y la Gestin de TI

ISO/IEC 38500 es frecuentemente citado como uno de los marcos de trabajo disponibles para el gobierno de TI junto a CobiT, ITIL, ISO 20000 e ISO 27000. Mientras que es bueno ver que el estndar es reconocido como una herramienta relevante, es incorrecto clasificarlo de esa manera. Por qu? Bsicamente, ISO/IEC 38500 es puramente acerca de gobierno de TI todo el resto est enfocado en las disciplinas de gestin que deben funcionar bien para que TI pueda ser eficiente, efectiva y aceptada.

La mayor razn por la que vemos que ISO/IEC 38500 est siendo comparada con los marcos de trabajo y estndares, es que contina existiendo un considerable bache de entendimiento comn acerca de la diferencia, y relacionamiento, entre gobierno y gestin.

Es remarcable que esta discusin aparece como nica en la arena de TI. No vemos en la mayora de la literatura de Gobierno de Recursos Humanos, Gobierno de Finanzas, Gobierno de Activos, Gobierno de Riesgos. Por qu? Estas viejas y bien establecidas disciplinas tienen integracin entre los sistemas de gestin y los acuerdos de gobierno global. En estas disciplinas, existen prcticas bien establecidas a travs de las cuales, las intenciones de los cuerpos de gobierno son comunicadas a la gestin, y a travs de estas, la gestin provee la informacin necesaria al cuerpo de gobierno de manera tal que se pueden descargar las responsabilidades. Estn bien comprendidos los actos de la gestin dentro de la autoridad delegada por el cuerpo de gobierno, pero nadie insiste en que esa autoridad delegada significa que est haciendo gobierno. Al mismo tiempo, los gerentes tienen un claro entendimiento de sus sistemas de gestin y, como sus actividades de nivel bsico son agregadas para proveer informacin y evidencia para todos aquellos que son los responsables del desempeo de la organizacin. En efecto, estos aspectos de gobierno corporativo pueden ser vistos como un sistema que supervisa, da direccin hacia y, monitorea el desempeo de la organizacin con respecto a esa clase particular de activo o dominio de gobierno. El nivel exacto de profundidad en el cual la transicin entre las tareas puras de gobierno y, las tareas puras de gestin son un poco variables, dependiendo de la naturaleza de la organizacin, pero en las organizaciones bien gestionadas, es muy claro donde estn estas fronteras.



II CICLO, 2015


As, este documento propone un marco inicial para entender los conceptos de, una distincin entre las disciplinas de gobierno y gestin de TI, que es similar en naturaleza al gobierno y gestin de otros tipos de activos acerca de los cules, el cuerpo de gobierno de la organizacin estar normalmente preocupado.

Gobierno Corporativo de TI es el sistema por el cual se dirige y supervisa el estado actual y futuro del uso de TI (ISO/IEC 38500). El gobierno de TI trata principalmente con los planes para utilizar TI (en ambos contextos; estratgico y operacional), las iniciativas que crean sus usos futuros y, las actividades operacionales que constituyen su utilizacin actual.

El modelo de gobierno de TI presentado en ISO/IEC 38500 posiciona tres tareas claves de gobierno evaluar, dirigir, controlar, como la clave para dar direccin hacia y, controlar el desempe de los roles de gestin en la conduccin de la organizacin para la planificacin, implementacin y utilizacin operacional de TI.

Modelo de Gobierno IT ISO/IEC 38500

Puede ser rpidamente comprendido que el foco del gobierno de TI lleva directamente al modelo ms bsico de los negocios Planear Construir Operar. Debe ser reconocido que, mientras este modelo es utilizado, a veces, por los especialistas de TI para explicar aspectos del ciclo de TI, es tambin ampliamente comprendido por los lderes de negocio y los educadores como el ciclo bsico de la gestin de negocios y ese es el contexto en que se utiliza aqu.



II CICLO, 2015


ISO/IEC 38500 en el ciclo de gestin de negocios

La afirmacin clave de este documento es que, el sistema para el gobierno de TI supervisa, controla y recibe informacin, desde un conjunto de sistemas de gestin interconectados y configurados de manera nica para responder a las necesidades de la organizacin. El sistema de gestin implementa la autoridad delegada del cuerpo de gobierno a travs de polticas bien diseadas, procesos, asignacin de roles y herramientas de soporte, que proveen un control efectivo e integrado sobre la visibilidad y utilizacin de TI en la organizacin. En efecto, el sistema de gestin provee la maquinaria de gobierno, en que ellos son controlados por, y le da efecto a las polticas determinadas por el acuerdo de gobierno, y provee la visibilidad necesaria para permitir al cuerpo de gobierno llevar a cabo sus obligaciones en la supervisin del desempeo y conformidad respecto de la utilizacin por la organizacin de TI.

La definicin precisa de los puntos de compromiso es un poco variable, dependiendo de la naturaleza de la organizacin, pero en general, el propsito de estos puntos de compromiso son para la obtencin de direccin desde el cuerpo de gobierno (tales como direccin completa de la empresa, comportamiento y poltica), la sumisin de temas para aprobacin del cuerpo de gobierno (o a todos aquellos que actan en su nombre por la delegacin de autoridad), y la provisin de retroalimentacin y evidencia al cuerpo de gobierno tal cual es requerido por las reglas corporativas.

Para entender la naturaleza de un sistema comprehensivo de gobierno de TI, se requiere un progresivo desmenuzamiento del sistema de gestin al cul la ISO/IEC 38500 est vinculado.

Desarrollo estratgico para definir el destino del uso integral de TI con, y en el contexto de la visin y estrategia del negocio. Muchas veces es beneficioso ver el desarrollo



II CICLO, 2015


estratgico en dos niveles establecer la visin a la que aspira la organizacin y, definir como se lograr esa visin.

Planificacin para priorizar y alocar los recursos para entregar y operar los sistemas del negocio posibilitados por TI tal cual lo requiere la estrategia de la organizacin

Implementacin despliegue y gestin de los recursos alocados para entregar el nuevo sistema de negocio requerido por la estrategia de la organizacin

Operacin conduccin de las actividades de negocio posibilitadas por TI para realizar los objetivos estratgicos y operacionales de la organizacin.

ISO/IEC 38500 Sistemas de Gestin Primarios

No es esencial que estos 4 sistemas de gestin primarios sean pensados como estando solamente enfocados en TI. Es ms, a medida que TI es generalizada a travs de la mayora de las organizaciones, es probable que tomando la perspectiva estrecha de solo TI, podra llevar a una mala gestin porque TI es solamente un posibilitador de la foto mayor y nunca un fin, o una solucin en s misma. Un acercamiento ms efectivo es reconocer que TI est intrnseca en estos sistemas de gestin y, en ese nivel, no tiene un foco independiente.

Para muchas organizaciones, la extensin, complejidad y el riesgo asociado con el uso de TI como un posibilitador de negocios, requiere que estos 4 sistemas de gestin primarios deban ser descompuestos en un conjunto de disciplinas principales. Mientras puede haber muchas maneras de descomponer el sistema de gestin en unidades ms discretas, ha habido una buena parte de coherencia en la identificacin de los sistemas de gestin de nivel superior. John Thorp, autor de The Information Paradox provee un modelo adecuado que identifica 7 disciplinas:

1. Estrategia

2. Arquitectura Empresaria

3. Cartera

4. Programa

5. Proyecto

6. Activo

7. Operacin



II CICLO, 2015


Adems, podemos envolver efectivamente el modelo de Throp con la disciplina esencial de estos das de Seguridad de la Informacin, la cual no est ms confinada a las cuestiones de operacin, pero que necesariamente debe ser considerada en todas las disciplinas del modelo Thorp.

El Modelo Thorp Extendido

Mientras el modelo de Thorp se construy en el contexto de una mejor gestin del uso de TI en las organizaciones, no est limitado por ninguna razn al contexto de TI, y es ms no puede ser aislado solo a TI. Hacer esto, podra resultar en negar la realidad que TI es un posibilitador de los sistemas del negocio, que tambin incluye personas, procesos y estructura, como defini Harold Leavitt en 1965.

El desafo significante en muchas organizaciones que buscan un gobierno de TI mejorado es organizar estas disciplinas de manera tal que ellas participen adecuadamente en los 4 elementos claves del sistema empresarial, en lugar de, tratar TI como un concepto independiente. En este contexto, el papel de la arquitectura empresaria es relevante como as tambin desarrollar una capacidad arquitectnica de la empresa deber abordar el diseo de la organizacin total, y especficamente tratar con las 4 dimensiones claves del sistema empresarial.

En este punto, es apropiado notar que las disciplinas identificadas en el modelo extendido de Thorp, todas han sido foco de desarrollo de marcos de trabajo y estndares. La existencia de estndares directamente relacionados que incluyen ITIL, ISO/IEC 20000, ISO/IEC 27000, TOGAF, Prince2, PMBOK y muchas ms, nos da la pauta que las disciplinas identificadas en el modelo son adecuadas. Tambin destaca lo inapropiado de la aseveracin que surge muchas veces que, ninguno de estos estndares es una respuesta completa a las necesidades de las organizaciones con respecto al gobierno y gestin de IT. (Nota, CobiT tambin es un marco de trabajo relevante en este contexto, y dado que su alcance es mayor y requiere un mayor conocimiento de CobiT para identificar la manera en que valida las disciplinas identificadas en el modelo Thorp).



II CICLO, 2015


Con el modelo extendido de Thorp, si se requiere, es posible descomponer estas 8 disciplinas primarias en prcticas claves. La identificacin de las prcticas claves es una tarea que requerir esfuerzo para descubrir modelos disponibles y juntarlos con las disciplinas, reconociendo tambin que podra haber prcticas claves adicionales que no estn definidas dentro de los modelos de prcticas disponibles. Sin embargo, para el propsito de la ilustracin, el estndar ISO/IEC 20000 define claramente las prcticas de gestin de Configuracin y Gestin de Incidentes.

En este estado, no es necesario que descompongamos el sistema de gestin. Mejor dicho, podemos esperar que las 8 disciplinas primarias identificadas ac, puedan ser descompuestas de manera fiable y que, haya acuerdos listos en los modelos descompuestos. Lo que ahora es importante, es comprender como las disciplinas y las prcticas claves dentro de ellas encajan con el sistema completo de gobierno de IT.

En realidad, el compromiso del cuerpo de gobierno con el sistema de gestin ser un tema de determinacin en una base de caso por caso para cada organizacin. Sin embargo, habr caractersticas comunes en la participacin y, estas son apuntadas por ISO/IEC 38500. Debera ser bastante claro que la participacin del cuerpo de gobierno es por medio del establecimiento de polticas de nivel superior incluyendo, las delegaciones de autoridad (muchas veces desarrolladas en conjunto con la gestin), la participacin en el desarrollo de, y aprobacin de la estrategia, aprobacin de los gastos mayores, y el monitoreo de conformidad y desempeo con respecto a las actividades de las inversin operacionales. Mientras que el cuerpo de gobierno puede no comprometerse directamente con cada disciplina, y ciertamente no lo har con las prcticas claves, es con todo importante que el diseo del sistema provea un nivel de integracin que, asegure la transmisin adecuada de las polticas del cuerpo de gobierno y otros requerimientos a travs del sistema, y tambin provea los niveles apropiados de visibilidad y transparencia.

En organizaciones grandes y complejas, las autoridades y, mucho del detalle del sistema de gobierno de IT, es probable que sean delegadas a los ejecutivos, gerentes medios y superiores. Esta delegacin esta manifiesta en los diseos especficos de los sistemas de gestin.



II CICLO, 2015


Encuentro Gobierno Gestin

As, ahora podemos visualizar una versin evolucionada del modelo de ISO/IEC 38500 para el gobierno, donde los tres pasos principales en el ciclo de gestin son reemplazados por las 8 disciplinas primarias claves, alineadas sobre los 4 primeros sistemas de gestin. En este camino, podemos ahora comenzar a desarrollar un mejor entendimiento de cmo se relacionan las tareas y roles de gobierno y gestin, y como son distintas e interdependientes.

Se puede decir razonablemente que, el sistema de gestin o las disciplinas dentro de ese sistema tienen un punto, o puntos de encuentro con el sistema de gobierno. Estos puntos de encuentro son:

Preparacin, adopcin, comunicacin y refuerzo de la poltica relevante para el sistema de gestin.

Delegacin de autoridad y escalada a niveles superiores de autoridad cmo y cundo es requerido.

Provisin de informes formales con respecto a la conformidad y desempeo, para cumplir las necesidades de la supervisin eficiente y diligente por el cuerpo de gobierno y cualquier cuerpo intermedio que puede actuar por la delegacin de autoridad.

El diseo detallado de estos puntos de encuentro son, de nuevo, una cuestin de diseo basado en caso por caso por la organizacin, tomando en cuenta el diseo completo de sus sistema de gobierno de IT y las autoridades delegadas que deben aplicarlo.

Estas ideas presentadas aqu son un principio, no un fin. Ellas sern un tema de debate, esperemos que en diversos foros, e involucrando personas desde todos los conocimientos, incluyendo lderes de corporaciones y gobierno, acadmicos y especialistas de IT.

Habr trabajo especfico desarrollado en el contexto de ISO, y es de esperar que surja un modelo ms claro y trabajable en el futuro cercano, de manera que la industria completa de



II CICLO, 2015


IT, y las organizaciones que dependen de ella, puedan por lo menos tener una conversacin clara y sin confusiones acerca de la gestin y el gobierno de IT.

Regulaciones (Nacionales e Internacionales), estndares y mejores prcticas asociadas (CobiT, ITIL, COSO, ISO) Costarricenses indefensos ante el delito informtico Por Ana Madrigal Informa-tico.com < http://www.informa-tico.com/php/expat.php?id=01-08-0502408&ed=61&fecha=01-08-05&foro=180>

La ingenuidad del costarricense, la poca informacin que maneja con relacin al refinamiento y propagacin de los delitos informticos y la escasa legislacin en torno al tema, colocan a nuestros ciudadanos en inminente riesgo de convertirse en vctimas de las mltiples modalidades del crimen informtico.

Ciertamente, el desarrollo tecnolgico permiti la proliferacin de las computadoras personales y la expansin del Internet, pero de la mano de estos avances lleg una amenaza generalizada de lo que se ha dado en llamar delincuencia informtica, delitos de cuello blanco, ciberdelincuencia y hasta robo del Siglo XXI.

Segn el espaol Miguel Davara, experto en el tema, el delito informtico es la realizacin de una accin con las mismas caractersticas de un delito, pero que se lleva a cabo utilizando un elemento informtico y/o telemtico, o vulnerando los derechos del titular de un elemento informativo, ya sea hardware o software. Es decir, en muchos casos se trata de delitos tradicionales llevados a cabo con las nuevas tecnologas.

Pelculas y una buena cantidad de informaciones que aparecen cada vez con ms frecuencia en los medios de comunicacin alertan sobre las acciones de los llamados piratas informticos, "hackers" y "crackers", quienes burlando sistemas de seguridad, logran introducirse en los archivos de los bancos y hasta de los cuerpos policiales y de seguridad nacional ms famosos del mundo, entre ellos el FBI, la DEA y del mismsimo Pentgono; invaden la privacidad, roban o afectan valiosa informacin, cometen fraudes, manipulan los mercados financieros y utilizan la red para transmitir virus de computadoras.

Costa Rica, por supuesto, no est exenta de este fenmeno y ante el nuevo panorama, el experto en Derecho Informtico y profesor de la Universidad de Costa Rica, Christian Hess, asegur que el pas requiere de una importante actualizacin legislativa en materia de delincuencia informtica. Los avances experimentados, no han aprovechado las investigaciones y experiencia de otros ordenamientos que llevan la delantera en este terreno, indic.

"El desarrollo positivo nacional en materia de cibercriminalidad es escaso y reciente, como probablemente sea la tnica en la mayora de los pases latinoamericanos y, en vez de

Aunque en los ltimos aos ha aumentado muchsimo el uso de tarjetas de crdito y dbito en Costa Rica, la legislacin no se adeca an a la nueva realidad. (j.a.)



II CICLO, 2015


establecer regulaciones de carcter general, se ha optado por realizar enmiendas a leyes especiales que, a la postre, han conducido a situaciones de notoria inconsistencia normativa", asegur Hess.

Por su parte, la doctora Alejandra Castro, experta en Derecho Informtico y directora de la Maestra en Propiedad Intelectual de la UNED, sostiene que uno de los aspectos ms preocupantes en torno al proceso de definicin y tipificacin de estos delitos fue la inexistencia de una poltica criminal y tcnica.

"Yo me atrevo a asegurar esto porque estudi en su momento el proyecto de ley y dada la escasez de debate sobre las necesidades nacionales para la tipificacin de los delitos informticos, su inclusin en Costa Rica fue el resultado de una moda, pues en los 90s se empez a regular en Latinoamrica algo que para Europa o Japn ya era una realidad a fines de los 70. Esa aprobacin apresurada y sin sistematizacin de las acciones delictivas en diversos cuerpos normativos en efecto respondi a una tendencia regional, pero al fin y al cabo necesaria".

Segn ella, tampoco existi claridad, a nivel de gobierno, sobre cules delitos deban tipificarse penalmente para encarar el fenmeno, ni sobre cules conflictos existan y necesitaban solucin y por lo tanto los proyectos de ley se aprobaron, como consecuencia de la aprobacin sucesiva de leyes similares en otros pases, lo que llev a Costa Rica a sumarse a esa tendencia".

Por ejemplo, explic, en relacin con la proteccin a la intimidad, ahora se est hablando de la necesidad de interponer un recurso de habeas data, ante la Sala IV, que es el recurso procesal por medio del cual se defiende la proteccin de los datos personales. Costa Rica no tiene ese recurso y la Sala Constitucional ha venido solventando esa carencia a travs de los recursos de amparo y ha tutelado el derecho especfico de la proteccin de la intimidad por medio de las herramientas y leyes que ya existan. Esto, de algn modo, dijo, resta seguridad y claridad a los jueces pero el derecho a pesar de ello logra su tutela.

Lo cierto del caso es que el riesgo de que cualquier costarricense sea presa fcil de este tipo de delincuencia va a ser cada vez mayor, en razn de que todos los das surgen mtodos de delinquir ms refinados y tecnologas ms sofisticadas para acceder a las bases de datos y a las computadoras personales, en claro contraste con la lentitud y la dispersin con el que avanza el derecho informtico.

Es decir, mientras las tecnologas que sirven de apoyo a los delitos informticos avanzan impulsadas por turbo, las soluciones legales cojean.

Alerta roja

Segn Hess, los delitos informticos que se han registrado con ms frecuencia en Costa Rica son los fraudes contra entidades bancarias y contra los emisores de tarjetas de crdito.



II CICLO, 2015


Sin embargo, alert que se est poniendo de moda lo que en Estados Unidos se conoce como "phishing", que consiste en "ordearle" todos los datos financieros y personales a las vctimas a travs de un correo electrnico fraudulento para luego timarlos.

Veamos cmo opera esto en la realidad. Resulta que a cualquier persona le llega un "mail" con caractersticas iguales o muy similares a las de su entidad bancaria, solicitndole actualizar sus datos debido a que el banco desea ofrecerles a todos sus clientes nuevos servicios. De seguido se le pide al usuario o al cliente que haga clik en algn lugar para proceder a verificar sus datos financieros. El usuario se encuentra entonces ante una pgina web casi idntica a la de su banco y sin mayor vacilacin escribe el nmero de su cdula, de su tarjeta de crdito y otros datos personales que le estn pidiendo actualizar.

Cuidado! Por supuesto se trata de un correo fraudulento a travs del cual el ciberdelincuente obtiene los datos esenciales para poder ingresar a la cuenta de su presa y sustraerle todos los fondos. En esta nueva modalidad no hay que sortear ningn sistema de seguridad, ya que el mismo usuario est brindndole sus datos al delincuente, le est dando luz verde para que lo estafe.

Legislacin de parches y a pasito lento

Segn los expertos, Costa Rica requiere de una inmediata actualizacin y centralizacin de la legislacin en materia de derecho informtico. Tampoco es mucho lo que existe al respecto.

El Cdigo Penal tipifica actualmente tres delitos informticos: la violacin de comunicaciones electrnicas, el fraude informtico y la alteracin de datos y sabotaje informtico. Este es el resultado de la primera accin que se dio para legislar en esta materia, en octubre del 2001, a travs de la reforma al Cdigo Penal que introdujo este delito.

Pero tambin existen algunas regulaciones a travs de tres leyes especiales: la ley General de Aduanas, el Cdigo de normas y procedimientos tributarios y la ley de observancia a los derechos de propiedad intelectual.

Segn Hess, en fechas ms recientes la diputada Mara Elena Nez suscribi un proyecto de ley que contempla mejoras sustanciales en torno al derecho informtico.

"Realmente es muy bueno, muy completo, pero no ha recibido trmite especial. Yo sinceramente esperara que el proyecto de Mara Elena se incorpore el proyecto de Reforma Integral al Cdigo Penal que tambin est en la Asamblea Legislativa, para dejar de estar promulgando leyes sueltas sobre el tema. Lo ideal es darle un tratamiento centralizado, es decir, que haya un captulo aparte, sobre derecho informtico, dentro del Cdigo Penal para dejar atrs la moda de legislar a travs de parches", opin.

Delito virtual, prueba virtual... !qu difcil!

Segn la especialista Alejandra Castro, est claro que el derecho camina ms lento que el desarrollo tecnolgico. Por eso, explica, se debe procurar en el pas un tipo de legislacin



II CICLO, 2015


que contemple soluciones generales para que sean entonces los tribunales a los que les corresponda irlas adaptando a la realidad nacional.

Es ah, precisamente, donde viene a jugar un papel importantsimo la jurisprudencia, es decir, todos los fallos reiterados de los juzgados en una materia particular, pero en este momento no existe en Costa Rica ni un solo fallo reiterado en derecho informtico, lo que hay son sentencias aisladas, seal. Por otro lado, dijo, nada se gana con capacitar a los estudiantes y a los abogados en esta materia, si no se capacita a la polica, a la fiscala y a los jueces.

La investigacin policial en este tipo de delitos es sumamente difcil, primero porque se topan con el anonimato del delincuente y, segundo, porque la prueba es virtual, lo que obliga a considerar las posibilidades que tienen las tecnologas de falsificar o eliminar la prueba. Para nadie es un secreto lo fcil que resulta eliminar el disco duro de una computadora antes de que lo lleguen a decomisar.

"Pongamos el ejemplo de un delito de pornografa infantil realizado desde un caf internet. Bueno, cmo detecto yo que el delito se produjo desde o en ese lugar?, pues porque cada aparato, cada computadora tiene algo as como una cdula de identidad que se conoce como la direccin IP. Esto es lo que me permite identificar fsicamente a esa computadora, pero si la computadora est en un caf Internet donde en general no se llevan registros sobre quienes estn usando las mquinas, pues evidentemente hay una evasin absoluta del delito porque no se puede responsabilizar al titular del caf el manejo total de todos los accesos que tienen sus usuarios en las mquinas. Como ve, la prueba aqu vuelve a ser una cuestin muy importante", seal la especialista.

Hay otros factores que dificultan este tipo de investigaciones, como la territorialidad, y el anonimato del delincuente.

"Imagnese que se puede estar cometiendo un delito informtico en muchos pases de manera simultnea. Claro, yo puedo estar en Costa Rica y a travs de un servidor que est en la India cometer un delito que afecta derechos de alguien que est en Holanda, con complicidad de varias personas que estn en Brasil. Entonces, cul es la jurisdiccin? Bueno, todava no hay un acuerdo de partes, generalmente le corresponde a la jurisdiccin del lugar en donde est el ofendido, pero aqu aplica tambin otro principio, non bis idem, que determina que si hay varios ofendidos, no se le puede castigar a un delincuente dos ni tres veces por el mismo delito.

Ese principio se aplic en Holanda en un caso de pornografa infantilen el que se pretenda seguirle al delincuente varios procesos judiciales en distintos pases por el mismo delito, pero l se defendi alegando este principio, con el cual al final fue juzgado en Holanda siguiendo las normas de este pas.

Rezago

Segn una investigacin desarrollada por Castro, La tipificacin y penalizacin de los delitos informticos ha tenido un desarrollo bastante lento. Fue en los aos 70 cuando en Estados Unidos y Europa se comenz a emitir la normativa para regular todas las nuevas



II CICLO, 2015


tecnologas, empezando con lo relacionado a la proteccin de los datos personales a travs de las redes de informacin, el fraude informtico y la violacin de las comunicaciones electrnicas.

Una dcada despus, este tipo de normativas ya se haban consolidado en muchos de los pases desarrollados; en Hispanoamrica en cambio, la prioridad era superar la gran brecha digital entre pases ricos y pobres.

Por esta razn Costa Rica se demora 20 aos para comenzar a desarrollar legislaciones orientadas a proteger los datos personales, la intimidad, y a regular todo lo concerniente al uso de las herramientas tecnolgicas, a la firma digital y a los delitos informticos.

Claro, hay otros pases ms atrasados en estos avatares. Incluso aquellos catalogados como menos desarrollados en la Organizacin Mundial del Comercio, OMC, los cuales ni siquiera tienen proyectos de ley para proteger a sus poblaciones contra los delitos informticos, pues se encuentran todava ocupados en resolver trabas tan importantes como de conexin a la red, acceso al hardware, al software, al conocimiento tecnolgico.

"Pareciera poco til enfrascarse en discusiones sobre nueva legislacin si la poblacin ni siquiera tiene computadora y si la tuviera no sabra cmo usarla", asegur Castro.

Responsabilidad de todos

Segn el experto Christian Hess, el buscarle soluciones a los delitos informticos no debe ser una tarea exclusiva de la Asamblea Legislativa, sino una responsabilidad de todos.

Nada se gana, dijo, con ms dispositivos de seguridad tecnolgica y con ms legislacin, si no educamos al consumidor para que se despoje de su ingenuidad. "Yo dira que en estos momentos el consumidor requiere de mucha educacin, de mucha informacin. Esa tarea debera comenzar desde que los muchachos estn en el colegio, y por lo tanto ah le correspondera al Ministerio de Educacin jugar un papel clave.

Por otro lado, las entidades financieras tambin tienen mucha responsabilidad en este particular, la misma SUGEF y hasta la Comisin Nacional del Consumidor".

Algunos delitos informticos: Fraudes a la industria y al comercio Violaciones a los entes pblicos como bancos Evasiones al fisco Vaciamiento de fondos y transferencias electrnicas a cuentas personales Apropiacin de informacin ajena Violacin a secretos de Estado, Delitos financieros que generan caos en las bolsas de valores Lavado de dinero



II CICLO, 2015


Pornografa infantil Fraude a tarjetas de crdito. El hacking es el delito informtico clsico, se trata del acceso no autorizado a sistemas informticos ajenos utilizando redes pblicas de telefona o transmisin de datos, burlando las medidas de seguridad con fines de espionaje informtico: descubrir secretos o datos reservados de otros. Tambin con fines de espionaje industrial: apoderarse de secretos de empresa, lo que ya de por s genera un gran dao econmico. Tambin con fines de espionaje poltico, terrorista, obtencin de lucro personal por violacin de intimidad. Engaos en subastas en internet: adquiero un bien que nunca se me entrega, productos milagrosos, cobros de accesos a internet a dominios que nunca sirven, ofertas de teletrabajo. El cracking se hace destruccin en el sistema informtico, elimina o altera informacin, destruye el disco duro. Phreaking o defraudacin de fluidos. Por ejemplo defraudacin de llamadas internacionales con conexiones piratas. Defraudacin de energa elctrica, agua, gas, seal de televisin, entre otros, valindose de mecanismos instalados, alteracin de contadores y usando otros medios clandestinos. Phishing: sustraccin de datos personales y financieros a travs de un correo electrnico para luego timar a la vctima sustrayndole todos sus fondos.

Perfil psicolgico y sociolgico:

La mayora de piratas son autodidactas, anhelan poder y riqueza pero prefieren ser respetados por haber evadido ms medidas de seguridad que por las sumas de dinero obtenidas en el delito; tienen un dominio total de las herramientas tecnolgicas, con conocimiento especializado, obtenido a travs de la academia o la experiencia. No provienen, en general, de zonas marginales. Es el delincuente que tiene alguna solvencia econmica que le permite acceder a elevados conocimientos tecnolgicos y adquirir esa tecnologa.

Val IT 2.0 Valor Empresario: Gobierno de las Inversiones en TI Es sabido que las organizaciones hoy en da, no podran llevar a cabo sus operaciones, ni tomar las oportunas decisiones estratgicas o tcticas, sin

una adecuada infraestructura de TI. Esto conlleva a continuar realizando significativas inversiones en Tecnologas de la Informacin.

La experiencia acumulada en los ltimos aos demuestra que las inversiones en TI, proporcionan oportunidades significativas para crear valor en las organizaciones, cuando se gestionan correctamente dentro de un marco de gobierno efectivo. Sin embargo, estas



II CICLO, 2015


inversiones podran tanto crear como destruir valor sin un adecuado marco de gobierno efectivo.

Este valor de negocio se genera por la forma en que las organizaciones utilizan TI, ms que por las tecnologas o sistemas en s mismos, lo que implica una mayor complejidad y riesgo; mxime teniendo en cuenta que el valor no es un concepto simple y su naturaleza vara segn la organizacin.

A pesar de esta dificultad herramientas, como por ejemplo el retorno de la inversin, se estn convirtiendo en indicadores esenciales e indispensables para el gobierno de las TI. Asimismo, estos indicadores deben ser ajustados por una tasa de riesgo.

Ante esta problemtica, el IT Governance Institute(ITGI) ha creado Val IT Enterprise Value: Governance of IT Investments, que ofrece buenas prcticas y guas generalmente aceptadas para ayudar a directores y ejecutivos a alcanzar la mxima rentabilidad de las inversiones en TI.

Val IT ayuda a las organizaciones a:

Incrementar la comprensin y transparencia de los costos, riesgos y beneficios, dando lugar a una gestin mucho mejor informada.

Incrementar la probabilidad de seleccionar las inversiones que tienen potencial de generar un mayor retorno.

Incrementar la probabilidad de xito al ejecutar las inversiones.

Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones correctivas al respecto.

Reducir el riesgo de falla y sorpresas en los costos y las entregas.

Introduccin a Val IT

El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta del ITGI proporciona guas, procesos y prcticas de soporte para ayudar a la direccin a comprender y llevar a cabo las inversiones en TI.

Val IT establece que los proyectos de TI se manejen como una cartera de inversiones, con un valor comercial y sean gestionados durante su ciclo de vida econmico completo. Este marco extiende y complementa a otra buena prctica como lo es COBIT, ya que se centra en la toma de decisiones sobre la inversin (estamos haciendo lo correcto?) y la obtencin de beneficios (estamos consiguiendo beneficios?), mientras que COBIT se enfoca en la ejecucin (estamos haciendo las cosas de manera correcta? y lo estamos haciendo bien?). La relacin entre Val IT y COBIT se refleja de la siguiente manera:



II CICLO, 2015


Val IT soporta los objetivos de negocio logrando un valor ptimo en las inversiones en TI, dentro de un costo adecuado y con un aceptable nivel de riesgo.

Guiado por un conjunto de principios aplicados en el proceso de gestin del valor.

Que son posibles por las prcticas clave de control con referencias a COBIT que son medidas por mtricas de desempeo y resultado.

El Marco Val IT

Existen un conjunto de trminos que se emplean dentro del marco del Val IT que definiremos antes de continuar:

Valor. Resultado final del negocio despus de una inversin en TI, donde el resultado pueden ser financiero, no financiero o una combinacin de ambos.

Cartera. Una agrupacin de programas, proyectos, servicios o recursos seleccionados para optimizar el retorno de negocio.

Programa. Un grupo estructurado de proyectos interdependientes que son necesarios y suficientes para lograr resultado comercial y entregar valor. Estos proyectos incluyen: cambios en la naturaleza del negocio, procesos comerciales, el trabajo realizado por las personas, as como las competencias requeridas para llevar a cabo el trabajo, habilitando tecnologa y estructura organizacional. El programa de inversin es la unidad primaria de inversin dentro de Val IT.

Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a la empresa una capacidad definida (eso es necesario pero NO suficiente para lograr un resultado comercial requerido) basada en un plan acordado y presupuestado.

Val IT apoya el objetivo de negocio de realizar inversiones ptimas en TI y para ello se gua por un conjunto de principios:

Las inversiones en TI sern gestionadas como una cartera de inversiones.

Las inversiones en TI incluirn el alcance global necesario para lograr valor de negocio.

Las inversiones en TI sern gestionadas a lo largo de un ciclo de vida econmico.

Las prcticas para la entrega de valor reconocern que hay categoras diferentes de inversiones que se evaluarn y gestionarn de manera diferente.



II CICLO, 2015


Las prcticas para la entrega de valor definirn y supervisarn mtricas clave y respondern rpidamente a cualquier cambio o desviacin.

Las prcticas para la entrega de valor comprometern a todos los stakeholders y asignarn la responsabilidad apropiada para la entrega de las capacidades y la realizacin de beneficios para el negocio.

Se supervisarn las prcticas para la entrega de valor continuamente, evalundolas y mejorndolas.

Procesos y Prcticas de Gestin

Las prcticas de gestin son caractersticas de los procesos con xito. Cada empresa necesita considerar sus propias polticas, tolerancia al riesgo y el entorno antes de seleccionar las prcticas de gestin que mejor se aplican a la empresa. Las prcticas de gestin clave vienen proporcionadas por los siguientes tres procesos:

1. Gobierno de Valor (VG, Value Governance), formado por 11 prcticas de gestin que comprenden:

Establecer el gobierno, seguimiento y control.

Proporcionar direccin estratgica a las inversiones.

Definir las caractersticas de la cartera de inversiones.

2. Gestin de Cartera (PM, Portfolio Management), formado por 14 prcticas de direccin que engloban:

Identificar y mantener los perfiles de los recursos.

Definir los mrgenes de la inversin.

Evaluar, priorizar y seleccionar, aplazar o rechazar las inversiones.

Dirigir la cartera global.

Monitorear e informar el desarrollo de la cartera.

3. Gestin de Inversin (IM, Investment Management), formado por 15 prcticas de direccin que cubren:

Identificar los requisitos de negocio.

Desarrollar una clara comprensin de los programas de inversin candidatos.

Analizar las alternativas.

Definir y documentar un caso de negocio detallado, incluyendo el detalle de los beneficios.

Asignar claramente las responsabilidades.

Gestionar el programa a travs de su ciclo de vida econmico completo.

Monitorear e informar el desarrollo del programa.



II CICLO, 2015


El conjunto total de prcticas se muestra a continuacin:

Tabla 1. Prcticas de VAL IT

Gobierno del Valor (VG) Gestin de Cartera (PM) Gestin de la Inversin (IM)

VG1 Asegurar un liderazgo informado y de confianza

PM1 Mantener un inventario de recursos humanos

IM1 Desarrollar una definicin de alto nivel sobre la oportunidad de la inversin

VG2 Procesos implementados y definidos

PM2 Identificar los requisitos de los recursos

IM2 Desarrollar un caso de negocio inicial

VG3 Roles y responsabilidades definidas

PM3 Ejecutar un anlisis de la desviacin

IM3 Desarrollar una clara comprensin de los programas candidatos

VG4 Asegurar una contabilidad apropiada y aceptada

PM4 Desarrollar un plan de recursos

IM4 Ejecutar un anlisis de alternativas

VG5 Requisitos de informacin definidos

PM5 Monitorear la utilizacin de recursos y su utilizacin

IM5 Desarrollar un plan de programa

VG6 Requisitos de informacin establecidos

PM6 Definir el umbral de inversin

IM6 Desarrollar un plan de realizacin de beneficios

VG7Estructuras organizacionales establecidas PM7 Evaluar el caso de negocio

IM7 Identificar el ciclo de vida de los costos y beneficios

VG8 Direccin estratgica establecida

PM8 Evaluar y asignar puntuacin relativa al programa del caso de negocio

IM8 Desarrollar un programa detallado del caso de negocio

VG9 Categoras de inversin establecidas

PM9 Crear una visin global de la cartera de inversin

IM9 Asignar contabilidad detallada y responsable

VG10 Determinar la cartera de inversin objetivo

PM10 Realizar y comunicar la decisin de la inversin

IM10 Iniciar, planificar y lanzar el programa

VG11 Definir los criterios de evaluacin por categora

PM11 Lanzar y sub-dividir programas seleccionados IM11 Gestionar el programa

PM12 Ejecucin organizada de la cartera de inversin

IM12 Gestionar y seguir los beneficios

PM13 Re-priorizar la cartera de inversin

IM13 Modificar el caso de negocio

PM14 Monitorear e informar de la ejecucin de la cartera de inversin

IM15 Monitorear e informar sobre la ejecucin del programa



II CICLO, 2015


Gobierno del Valor (VG) Gestin de Cartera (PM) Gestin de la Inversin (IM)

IM16 Retirar el programa

Si bien las prcticas de direccin se presentan de manera secuencial, esto no implica una aproximacin en cascada, de alguna manera existe una secuencia lgica entre prcticas, y otras deberan ser llevadas a cabo en paralelo. Empezando desde el mayor nivel de abstraccin, se podra decir que:

El gobierno del valor establece el marco global de gobierno, la direccin estratgica, las caractersticas deseadas de la cartera de inversin, as como recursos y restricciones en las que la cartera de inversin debe ejecutarse.

La direccin de inversiones define el programa potencial, basndose en los requerimientos del negocio, determinando si merecen ser considerados y enviando los programas de inversin candidatos para su evaluacin, en base a su alineacin con los objetivos estratgicos, el valor comercial, financiero y no financiero, y el riesgo tanto en la consecucin como en los beneficios.

La direccin de la cartera de inversin evala y prioriza programas, dentro de los recursos y las restricciones, y enviando los programas seleccionados a la cartera activa para su ejecucin.

La direccin de inversiones lanza y gestiona la ejecucin de los programas activos e informa sobre el desarrollo a la direccin de la cartera de inversin.

La direccin de la cartera de inversin monitorea el funcionamiento del todo, ajustndola cuando sea necesario, en respuesta a cmo se est ejecutando el programa o a cambios en las prioridades del negocio.

La direccin del programa retira los programas cuando hay acuerdo en que el valor deseado ha sido obtenido.

El Caso de Negocio

Un caso de negocio es una propuesta estructurada de negocio, que se justifica en trminos de costo beneficio y que debe ser un prerrequisito a la hora de iniciar un proyecto. ITGI destaca que el caso de negocio es una de las herramientas ms valiosas a la hora de guiar la generacin de valor, y que la experiencia ha demostrado que la calidad del caso de negocio, los procesos implicados en su creacin y su uso a travs del ciclo de vida econmico de una inversin tienen un impacto enorme en la creacin de valor.

El caso de negocio muestra a alto nivel las necesidades econmicas del proyecto, incluyendo el por qu del proyecto, el valor de negocio esperado, beneficios, alternativas, condiciones de cancelacin del proyecto, costos esperados, anlisis de desviacin, riesgos. El caso de negocio debe incluir respuestas a las 4 preguntas:



II CICLO, 2015


Estamos haciendo lo correcto? Que se propone, para que beneficios de negocio y como contribuyen los proyectos dentro de los programas.

Lo estamos haciendo correctamente? Como se realizar y que se est haciendo para asegurarnos que encajar con actuales y futuras capacidades.

Lo estamos logrando bien? Cul es el plan de trabajo y qu recursos y fondos son necesarios.

Estamos obteniendo los beneficios? Cul es el valor del programa y como se entregaran y realizaran los beneficios.

El desarrollo del caso de negocio debera ser liderado por el patrocinador del mismo y debe implicar a todos los involucrados, desarrollando y documentando los resultados previstos del negocio. Se debe describir cmo se medirn los resultados del negocio y el alcance completo de las iniciativas requeridas para alcanzar los resultados previstos, incluyendo cualquier cambio requerido en la naturaleza del negocio de la empresa, en el proceso de negocio, en las habilidades y competencias de las personas, en la tecnologa y la estructura organizacional. El caso de negocio debe tambin identificar indicadores para monitorear la validez de cada supuesto, los riesgos clave, la terminacin exitosa y el logro de los resultados esperados, junto con las acciones de mitigacin.

La decisin de si proceder con una inversin se realiza primero a nivel de programa individual y por el patrocinador de la misma, quien determina si el caso de negocio es suficientemente slido para ser evaluado a nivel de la cartera de inversin, donde se evala el valor relativo del programa frente a otros programas activos y candidatos. Para facilitar este proceso debe haber un sistema normalizado, incluyendo beneficios financieros y no financieros, y los riesgos para casos individuales de negocio.

Estructura del caso de negocio

Un caso de negocio para una inversin en TI considera las siguientes relaciones de causalidad:

Son Necesarios para desarrollar

Un servicio de tecnologa de TI que dar soporte a,

Una capacidad de operacin que permitir,

Generar una capacidad de negocio que crear

Valor, que se estar representado por un resultado financiero ajustado por una tasa de riesgo o por el

retorno total al accionista



II CICLO, 2015


Componentes del caso de negocio

Cada uno de los flujos de actividad tiene un nmero de componentes esenciales para evaluar el caso de negocio por completo. Estos componentes juntos forman la base para un modelo analtico, que se define de la siguiente manera:

Resultados, que se buscan de manera clara y medible, incluyendo resultados intermedios (que son necesarios pero no suficientes para alcanzar el beneficio final) y los resultados finales (los beneficios finales del negocio que deben ser realizados). Estos beneficios pueden ser financieros o no financieros.

Iniciativas, procesos de negocio, gente, tecnologas y acciones/proyectos organizacionales que contribuyan a uno o ms resultados.

Contribuciones, medibles y esperadas desde iniciativas o resultados intermedios de otras iniciativas o resultados.

Supuestos: Hiptesis respecto a las condiciones necesarias para la realizacin de los resultados o iniciativas, pero sobre las cuales la organizacin del programa tiene poco o ningn control. La evaluacin del riesgo, representada por supuestos y restricciones respecto a costes, beneficios y alineacin, es la parte principal del proceso del caso de negocio.

Otros componentes que se identifican en el caso de negocio son los recursos requeridos para el desarrollo de todas las actividades, as como los gastos de adquisicin y, si es necesario, mantenimiento de los recursos.

Desarrollo del caso de negocio

Val IT propone desarrollar el caso de negocio en ocho pasos:

Paso 1. La construccin de una hoja de hechos con todos los datos.

Paso 2. Anlisis de alineamiento estratgico.

Paso 3. Anlisis de beneficios financieros.

Paso 4. Anlisis de beneficios no financieros.

Paso 5. Anlisis de riesgo.

Paso 6. Valoracin y optimizacin del riesgo/retorno de la inversin en TI.

Paso 7. Registro estructurado de los resultados de los pasos previos y documentacin del caso de negocio.

Paso 8. Revisin del caso de negocio durante la ejecucin del programa, incluyendo el ciclo de vida completo de los resultados del programa.

Cmo empezar



II CICLO, 2015


El liderazgo del proceso de reconocimiento vara de empresa a empresa y en su determinacin, se debe reconocer que el tema de la obtencin de valor de las inversiones posibilitadas por IT no es un tema de tecnologa, sino que es un tema de negocios.

Sin importar de donde viene el liderazgo necesario para este proceso, generalmente la incorporacin de estas prcticas genera un cambio organizacional que necesita del involucramiento y soporte de la gerencia general y ejecutiva.

El primer paso para reconocer donde estamos en el proceso, es la deteccin de los puntos de dolor, los eventos externos disparadores y otros sntomas que indican la necesidad de reconocer la entrega de valor. Esta actividad de reconocimiento nos indicar el grado de madurez de la organizacin en este tema y a partir de all se podr realizar un anlisis de gaps entre el estado actual y el deseado y se podr construir un plan de accin con los cambios necesarios.

Val IT define los seis estados en los cules puede estar una organizacin en el proceso de reconocimiento de la entrega de valor por las inversiones posibilitadas por IT.

Referencias

The Val IT Framework. IT Governance Institute. Val IT Enterprise Value: Governance of IT Investments, ITGI 2006

The Four Aress John Thorp The Information Paradox

Gestin de tecnologas de informacin

Teora de Riesgos En la economa global, las organizaciones necesitan tomar riesgos para sobrevivir la mayora de ellas necesitan incrementar el nivel de riesgos que toman para ser exitosas a largo plazo. Con el significativo incremento en la competencia, los objetivos y metas agresivos de las corporaciones se estn convirtiendo en norma. Para direccionar este cambio, los lderes mundiales estn fortaleciendo sustancialmente sus prcticas de administracin de riesgos para asegurar que si las iniciativas o el funcionamiento de las unidades de negocio se descarrilan, esto se identifique rpidamente para poder actuar para corregir la situacin.

Riesgos

El estudio y manejo de los riesgos no es un tema nuevo, de una u otra forma, las organizaciones han venido desarrollando acciones tendientes a darle un manejo adecuado a los riesgos, con el fin de lograr de la manera ms eficiente el cumplimiento de sus objetivos y estar preparados para enfrentar cualquier contingencia que se puede presentar.

Qu es el Riesgo?

Exposicin a sufrir prdidas, que tiene incertidumbre en cuanto a la ocurrencia determinados eventos que pueden resultar en su perjuicio.



II CICLO, 2015


Concepto utilizado por los auditores y los gerentes para expresar sus preocupaciones sobre los efectos que un ambiente incierto podra provocar.

Qu es una Consecuencia?

Resultados tangibles (nivel de impacto) del riesgo sobre las decisiones, eventos o procesos de negocios.

Debido a que el futuro no se puede predecir con certeza, los auditores y los gerentes tienen que considerar una gama de posibles sucesos que puedan ocurrir. Cada uno de estos sucesos podra tener un efecto material (una consecuencia significativa) sobre la empresa y sus metas. A las consecuencias negativas se les llaman riesgos y a las positivas, se les llama oportunidades.

Las consecuencias pueden variar en severidad, dependiendo de:

El establecimiento de Riesgos (la exposicin) El tipo de amenaza La duracin de la consecuencia La efectividad de los controles establecidos Qu es Exposicin?

Es la susceptibilidad hacia una prdida, o una percepcin de una amenaza sobre un proceso, usualmente cuantificado en trminos monetarios.

Qu es una Amenaza?

Es una combinacin del riesgo, la consecuencia de ese riesgo y la posibilidad de que un evento negativo se materialice.

Tipos de Riesgo

Financieros Los que implican una prdida principalmente de tipo monetario Operacionales Emergen del potencial de prdida debida a deficiencias significativas en la

confidencialidad, integridad y disponibilidad de los componentes que soportan la operacin de los sistemas.

Tecnolgicos Surgen del estado de funcionamiento de los recursos tecnolgicos utilizados. Reputacin Prdida de credibilidad en el buen funcionamiento y operacin del negocio, que

genera una prdida financiera significativa o un retiro masivo de clientes.

Legales Surge de la violacin o incumplimiento de las normativas legales vigentes, reglamentos de operacin, obligaciones contractuales de las partes, en relacin con el manejo de los procesos.

Ponderacin de los Riesgos La duracin de la consecuencia afecta su severidad, por lo que los riesgos pueden ser referenciados en trminos de que la probabilidad de ocurrencia sea grande, promedio o remota.

Alto Impacto severo Medio Mediano Impacto Bajo Impacto no elegible / remoto La perspectiva del riesgo cambia con el nivel de evaluacin. Las principales fuentes de riesgo son:

Activos - recursos humanos, fsicos, financieros y de informacin involucrados en el proceso de negocios. Esto incluye el tamao, tipo, portabilidad y ubicacin de los activos, as como estos activos estn expuestos al riesgo dentro de un proceso de negocios (el riesgo inherente de hacer o no las tareas).



II CICLO, 2015


Ambientes - clientes, mercados, competidores, proveedores, regulaciones gubernamentales, tecnologa, etc. en el ambiente de negocios y como stos pueden cambiar a lo largo del tiempo.

Qu es Administracin de Riesgos?

Es el proceso continuo basado en el conocimiento, evaluacin, manejo de los riesgos y sus impactos que mejora la toma de decisiones organizacionales.

Es el trmino asociado al conjunto de pasos secuenciales, lgicos y sistemticos que debe seguir el analista de riesgos para identificar, valorar y manejar los riesgos asociados a los procesos de la Organizacin, los cuales ejecutados en forma organizada, le permiten encontrar soluciones reales a los riesgos detectados minimizando las prdidas o maximizando las oportunidades.

Beneficios de la Administracin de Riesgos

Organizaciones que han aplicado enfoques efectivos de administracin de riesgos, han reportado entre otros los siguientes beneficios:

A nivel organizacional

Alcance o logro de los objetivos organizacionales nfasis en prioridades de negocio: permite a los directivos enfocar sus recursos en los objetivos

primarios. Tomar accin para prevenir y reducir prdidas, antes que corregir despus de los hechos, es una estrategia efectiva de administracin del riesgo.

Fortalecimiento del proceso de planeacin Apoyo en la identificacin de oportunidades Fortalecimiento de la cultura de autocontrol Al proceso de administracin

Cambio cultural que soporta discusiones abiertas sobre riesgos e informacin potencialmente peligrosa. La nueva cultura tolera equivocaciones pero no tolera errores escondidos. Tambin hace nfasis en el aprendizaje de los errores

Mejor administracin financiera y operacional al asegurar que los riesgos sean adecuadamente considerados en el proceso de toma de decisiones. Una mejor administracin operacional generar servicios ms efectivos y eficientes. Anticipando los problemas, los directivos tendrn mayor oportunidad de reaccin y tomar acciones. La organizacin ser capaz de cumplir con sus promesas de servicio.

Mayor responsabilidad de los administradores en el corto plazo. A largo plazo, se mejorarn todas las capacidades de los directivos.

Caractersticas Generales

Debe estar apoyada por la Alta Gerencia de la Organizacin Debe ser parte integral del proceso administrativo utilizado por la Direccin de la Organizacin Es un proceso multifactico y participativo, el cual es frecuentemente mejor llevado a cabo por un

equipo multidisciplinario

Etapas del Proceso de Administracin de Riesgos

1. Establecimiento del Contexto General Permite a travs del conocimiento del entorno y de la organizacin, establecer las polticas y criterios generales que sern utilizados para implementar el enfoque de Administracin de riesgos en cualquier rea de la Organizacin.

Durante esta etapa, se deben establecer las polticas y criterios generales que sern utilizados para la aplicacin del enfoque de Administracin de Riesgos en cualquier rea de la organizacin



II CICLO, 2015


Consiste en identificar las relaciones entre la organizacin y su entorno, entender la organizacin, sus objetivos, estrategias, capacidades y habilidades, as como identificar todos aquellos objetos (reas, procesos, proyectos, etc.) de la organizacin, a los cuales se podra aplicar un Anlisis de Riesgos y permite determinar mediante el uso de los criterios generales definidos previamente, sobre cules de ellos debe realizarse el anlisis.

a. Establecer el Contexto Estratgico Definir la relacin entre la organizacin y el ambiente en el que opera - Aspectos financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales y legales, fusiones, organizacin, propietarios, personal, proveedores, comunidad local y sociedad

b. Establecer el Contexto Organizacional Entender la organizacin, sus capacidades y habilidades. Conocer sus objetivos y estrategias (cmo opera internamente) - Objetivos del negocio, segn COSO (de operaciones, de informacin financiera y de cumplimiento legal), rentabilidad crecimiento institucional, posicionamiento, competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad

c. Identificar Objetos Crticos Areas, procesos o actividades o cualquier elemento en que se pueda subdividir la organizacin y sobre los cuales se pueda efectuar administracin de riesgos. Definir los criterios bajo los cuales e pueda establecer la criticidad de un objeto respecto a otro. - Criterios de prdida financiera, de imagen, incumplimiento de la misin, etc. Que permitan elaborar una clasificacin de las reas, proyectos, procesos, sistemas o actividades sobre los cuales se llevar a cabo la administracin de riesgos

2. Identificacin de Riesgos Mediante el establecimiento de un marco de accin especfico que permita entender el objeto sobre el cual se aplicar el proceso de Administracin de Riesgos. Consiste adems, en definir los criterios especficos del anlisis de riesgos y determinar el nivel de aceptacin de riesgos que la organizacin est dispuesta a aceptar para este proceso.

El propsito final de esta etapa es proveer los mecanismos necesarios para recopilar la informacin relacionada con los riesgos, impactos y sus causas.

Importante en esta etapa, es la Identificacin de Riesgos. Para la mayora de partes, los riesgos son percibidos como cualquier cosa o evento que podra afectar que la organizacin alcance sus objetivos.

Por consiguiente, para estas organizaciones, la administracin de riesgos no se realiza

antología pc-0381 2-2015

Documents