INSTITUTO TECNOLÓGICO SUPERIOR

DE LA MONTAÑA

INGENIERÍA INFORMÁTICA

ASIGNATURA:

FUNDAMENTOS DE GESTION DE SERVICIOS DE TI

REPORTE DE INVESTIGACION UNIDAD III

Marco de gobierno de tecnologías de la información

DOCENTE: Ing. Freddy Ramírez Villalobos

INTEGRANTES:

Eufemia Martínez Martínez

María Fernanda Hernández Romero

2

INTRODUCCION

En este reporte se aborda todo el contenido de marco de gobierno de tecnologías de la información. El Gobierno de TI es una organización basada en TI ya que es esencial para el desarrollo en el cual maneja una pirámide donde ubicamos los diferentes rangos o categorías, esta se divide conforme a los mandos del personal de una dirección, el propósito es el liderazgo, estructurar organizar y hacer que los procesos e garanticen que una organización de TI, genere un soporte y

extienda las estrategias y objetivos del negocio. El gobierno de TI hace constante el uso de herramientas ya que se considera importante y esencial para una buena organización y tener una buena empresa la cual genere valor.

3

MARCO DE GOBIERNO DE TECNOLOGIAS EN LA INFORMACION

El Gobierno de las TI es una parte integral

del Gobierno Corporativo, e implica alinear

los procesos y recursos de TI con los

objetivos de la

Organización. Este punto, que resulta

sencillo de incluir en cualquier

definición de objetivos, es el auténtico

núcleo de una estrategia de TI con éxito….

porque no se debe olvidar que

el sentido y la razón de ser de las TI en la mayoría de las empresas es aportar valor al

negocio de la compañía, y no solo darle soporte.

¿Qué es el Gobierno de TI?

El Gobierno TI es un conjunto de procedimientos, estructuras y comportamientos

utilizados para dirigir y controlar la organización hacía el logro de sus objetivos.

COBIT® (Control Objectives for Information and Related Technology) es un marco de

referencia para Gobierno de TI. Este marco permite conectar los riesgos del negocio con

las necesidades de control.

Los objetivos del gobierno corporativo son:

• Proveer dirección estratégica

• Asegurar que los objetivos son logrados

• Establecer una adecuada administración de riesgos

4

Verificar que los recursos de la empresa son utilizados responsablemente El gobierno de

TI es parte integral del gobierno corporativo.

Beneficios de implementar una solución de Gobierno de TI en su organización.

Definir y alcanzar resultados medibles, por medio de los objetivos de control de

COBIT

Adoptar buenas prácticas aceptadas internacionalmente

Estar orientado a la administración y soportado por herramientas y

entrenamiento

Implementar la mejora continua

Alinear la organización con los principales estándares de la industria

La tecnología de la información está avanzando cada vez más y se ha generalizado en las

empresas y en entornos sociales, públicos y de negocios.

Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:

• Mantener información de alta calidad para soportar las decisiones del negocio.

• Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas

estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e

innovador.

• Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y

eficiente.

• Mantener los riesgos relacionados con TI en un nivel aceptable

• Optimizar el coste de los servicios y tecnologías de TI

• Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos

contractuales y políticas aplicables.

Existen múltiples marcos de gobierno TI

5

COBIT (Control Objectives for Information and related Technology

de ISACA)

COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus

objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera

sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio

entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de

recursos.

COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la

empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de

responsabilidad de TI, considerando los intereses relacionados con TI de las partes

interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los

tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.

6

Principios de COBIT 5 para el gobierno y la gestión de las TI empresariales:

Principio 1. Satisfacer las Necesidades de las Partes Interesadas—Las empresas

existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la

realización de beneficios y la optimización de los riesgos y el uso de recursos.

COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la

creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene

objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su

propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto

nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas

con procesos y prácticas específicos.

Principio 1

Principio 2: Cubrir la Empresa Extremo a Extremo—COBIT 5 integra el gobierno y la

gestión de TI en el gobierno corporativo:

7

– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca

sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas

como activos que deben ser tratados como cualquier otro activo por todos en la

empresa.

– Considera que los catalizadores relacionados con TI para el gobierno y la gestión

deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y

todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la

información de la empresa y TI relacionadas.

Principio 2

Principio 3: Aplicar un Marco de Referencia único integrado—Hay muchos estándares

y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de

actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo

relevantes, y de este modo puede hacer la función de marco de trabajo principal para el

gobierno y la gestión de las TI de la empresa.

8

Principio 3

Principio 4: Hacer Posible un Enfoque Holístico: Un gobierno y gestión de las TI de la

empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta

varios componentes interactivos. COBIT 5 define un conjunto de catalizadores para

apoyar la implementación de un sistema de gobierno y gestión global para las TI de la

empresa. Los catalizadores se definen en líneas generales como cualquier cosa que

puede ayudar a conseguir las metas de la empresa.

Principio 4

Principio 5: Separar el Gobierno de la Gestión: El marco de trabajo COBIT 5 establece

una clara distinción entre gobierno y gestión.

9

El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de

gestión de la TI empresarial en dos dominios diferentes de procesos:

Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen

prácticas de evaluación, orientación y supervisión (EDM).

.

• Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad

de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y

proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución

de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios

han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen

más verbos para describirlos:

– Alinear, Planificar y Organizar (Align, Plan and Organise, APO)

– Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)

– Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)

– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)

Principio 5

10

Biblioteca de Infraestructura de Tecnologías de Información,

abreviada ITIL (del inglés Information Technology Infrastructure

Library).

En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "ciclo de

vida del servicio" separando y ampliando algunos subprocesos hasta convertirlos en

procesos especializados. Esta modificación responde a un enfoque empresarial para

grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a

consolidar el modelo para conseguir aún mejores resultados. Es por ello que los

especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si

no cuentan con un modelo ITIL consolidado y aspiran a una expansión a muy largo plazo.

ITIL v3 consta de 5 libros basados en el ciclo de vida del servicio:

1. Estrategia del Servicio

Se enfoca en el estudio de mercado y

posibilidades mediante la búsqueda de

servicios innovadores que satisfagan al cliente

tomando en cuenta la real factibilidad de su

puesta en marcha. Así mismo se analizan

posibles mejoras para servicios ya existentes.

Se verifican los contratos con base en las

nuevas ofertas de proveedores antiguos y

posibles nuevos proveedores, lo que incluye la renovación o revocación de los

contratos vigentes.

2. Diseño del Servicio

Una vez identificado un posible servicio el siguiente paso consiste en analizar su

viabilidad. Para ello se toman factores tales como infraestructura disponible,

capacitación del personal y se planifican aspectos como seguridad y prevención ante

desastres. Para la puesta en marcha se toman en consideración la reasignación de

cargos (contratación, despidos, ascensos, jubilaciones, etc), la infraestructura y

software a implementar.

11

3. Transición del Servicio

Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza

la información disponible acerca del nivel real de capacitación de los usuarios,

estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara

un escenario para realizar pruebas; se replican las bases de datos, se preparan

planes de roll back (reversión) y se realizan las pruebas. Luego de ello se limpia el

escenario hasta el punto de partida y se analizan los resultados, de los cuales

dependerá la implementación del servicio. En la evaluación se comparan las

expectativas con los resultados reales.

4. Operación del Servicio

En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se

registran eventos, incidencias, problemas, peticiones y accesos al servicio.

5. Mejora Continua del Servicio

Se utilizan herramientas de medición y feedback para documentar la información

referente al funcionamiento del servicio, los resultados obtenidos, problemas

ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de

conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e

investigación referentes al servicio y disponer de la información al resto de los

usuarios.

ISO 27000

Marco de referencia para la gestión de la seguridad de la información cuidando la

disponibilidad, la integridad y la confiabilidad.

ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO

International Organization for Standardization) e IEC (International Electrotechnical

Commission), que proporcionan un marco de gestión de la seguridad de la información

utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Es un

estándar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la

información (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que

12

otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio

ambiente, etc.).

ISO 17799 / ISO 27000

proporciona información sobre la forma de garantizar la seguridad de la información.

describe un marco de gestión que se aplicará.

requiere para establecer el enfoque de una organización para la gestión de riesgos

de seguridad de información.

ISO/IEC 17799

Denominada también como ISO 27002; es un estándar para la seguridad de la

información. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en

la gestión de la seguridad de la información a todos los

interesados y responsables en iniciar, implantar o

mantener sistemas de gestión de la seguridad de la

información. La seguridad de la información se define

en el estándar como “la preservación de la

confidencialidad (asegurando que sólo quienes estén

autorizados pueden acceder a la información),

integridad (asegurando que la información y sus

métodos de proceso son exactos y

completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la

información y a sus activos asociados cuando lo requieran)”.

13

Tres elementos en la gestión del riesgo como se mencionan en la norma ISO

17799 / ISO 27000 media:

1. Identificación de Riesgos y Evaluación : ISO 17799 / BS 7799 requieren para

justificar la idoneidad del enfoque de evaluación, las herramientas y las técnicas

elegidas. Los siguientes datos de evaluación de riesgos deben documentarse: - la

valoración de los activos - la identificación de los riesgos (amenazas y

vulnerabilidades) - evaluación de la probabilidad y las consecuencias de los

riesgos que se producen - cálculo del riesgo.

2. Riesgo plan de tratamiento : El plan de tratamiento de riesgos coordina los

tratamientos para reducir los riesgos e implementar los controles necesarios

para proteger la información.Esto demuestra la decisión de aceptar un riesgo,

transferirlo o reduce su probabilidad o consecuencia. Además, el plan de

tratamiento del riesgo proporcionará información sobre los métodos de

tratamiento del riesgo como seleccionado, se proponen (que son en su lugar y

que) los controles y el calendario de aplicación de los tratamientos y controles.

3. Tratamiento del riesgo : El tratamiento del riesgo es el paso para poner en

práctica todos los tratamientos y los controles establecidos en el plan de

tratamiento de riesgos

14

ISO 9000

Las normas de administración de la calidad se refieren a tres grandes componentes: el

cliente, el producto, y la organización. Hay varios modelos para obtener calidad y

excelencia en organizaciones y empresas, y muchos países han adoptado sus propios

modelos. Uno de los modelos de calidad de uso más extendido y adaptable es la serie

de norma ISO 9000.

“ISO 9000 representa un consenso internacional sobre buenas prácticas de

administración cuyo propósito es asegurar que la organización pueda entregar, de

manera repetida y sistemática, productos o servicios que satisfacen los requisitos de

calidad del cliente.

Estas buenas prácticas se han reunido en un conjunto de requisitos para un sistema de

administración de la calidad, sin importar lo que hace su organización, su tamaño o si

pertenece al sector público o privado.

La familia de normas ISO 9000 se basa en principios fundamentales de administración

de la calidad. Un principio de administración de la calidad es una regla u opinión de gran

alcance y esencial para dirigir y operar una organización, cuyo objeto es mejorar

continuamente el desempeño y el valor a largo plazo centrándose en el cliente y en las

partes interesadas y, al mismo tiempo, atendiendo las necesidades de todos los demás

actores.

Principios de administración de la calidad •

Enfoque en el cliente (parte interesada).

• Liderazgo.

• Participación de la gente.

• Enfoque en los procesos.

• Enfoque sistémico frente a la administración.

• Mejoramiento continuo.

• Enfoque empírico frente a la toma de decisiones.

• Relaciones de beneficio mutuo entre proveedores.

15

Al aplicar la ISO 9000 a los gobiernos se debe esperar que los resultados

incluyan: o Mejor servicio a los ciudadanos. o Administración más

transparente del municipio. o Costos de servicio más bajos mediante una

operación eficiente. o Sistemas de comunicación y manejo de la información

más sólidos. o Una organización revigorizada. o Más medidas centradas

en el ciudadano.

Beneficios del ISO 9000

Implementar un sistema de calidad es una tarea difícil para cualquier compañía. Incluso

para aquellas que practica la Administración de la Calidad Total, la implementación de

un sistema ISO 9000 puede tomar muchos meses.

Hay dos tipos de beneficios, dependiendo parcialmente de cómo se aplica la norma. En

ocasiones las plantas implementan ISO 9000 por razones contractuales (un cliente pone

la condición del ISO 9000 en su contrato). Esto obliga a la compañía a certificarse en ISO

9000. Otras compañías adoptan la norma ISO 9000 por razones por razones no –

contractuales (simplemente como un modelo para un sistema ideal de calidad).

Componentes del ISO 9000

La norma ISO 9000 es un conjunto de reglas de sentido común relativas al sistema de

calidad. No aplica a productos o servicios específicos, esto es, no esta de hecho

orientada a los resultados (productos y/o servicios). En lugar de ello, la norma ISO 9000

gobierna al sistema que la compañía usa para controlar y asegurar la calidad.

El ISO 9000 puede ser implementado por dos razones básicas: Contractuales y no –

contractuales.

Hay tres “partes” publicadas del ISO 9000 para cubrir tales aplicaciones contractuales.

16

ISO 9001 es la parte más completa. Esta se refiere a compañías cuyo proceso es cubre

el diseño/desarrollo de productos, la producción, la instalación y el servicio por contrato.

El ISO 9001 incluye 20 secciones que describen varios elementos del sistema de calidad.

El alcance del ISO 9002 es más limitado. Este se refiere a compañía que hacen productos

en que las actividades de diseño y servicio no están incluidas. El ISO 9002 incluye a 18

de las 20 secciones del ISO 9001; la redacción de estas secciones es prácticamente

idéntica.

ISO 9003 es la parte más limitada de la norma. Se aplica a compañía que solo realizan

funciones de inspección final y pruebas. El ISO 9003 incluyo a 12 de las 20 secciones del

ISO 9001.

Val IT Val IT es un marco de gobierno que consiste en un conjunto de guias de principios, y una

serie de procesos conforme a esos principios que se definen como un conjunto de

prácticas clave de gestión.

El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las

inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta

17

del ITGI proporciona guías, procesos y prácticas de soporte para ayudar a la dirección a

comprender y llevar a cabo las inversiones en TI.

Val IT ayuda a las organizaciones a:

Incrementar la comprensión y transparencia de los costos, riesgos y beneficios,

dando lugar a una gestión mucho mejor informada.

Incrementar la probabilidad de seleccionar las inversiones que tienen potencial

de generar un mayor retorno.

Incrementar la probabilidad de éxito al ejecutar las inversiones.

Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones

correctivas al respecto.

Reducir el riesgo de falla y “sorpresas” en los costos y las entregas.

La relación entre Val IT y COBIT se refleja de la siguiente manera:

Val IT soporta los objetivos de negocio logrando un valor óptimo en las

inversiones en TI, dentro de un costo adecuado y con un aceptable nivel de

riesgo.

Guiado por un conjunto de principios aplicados en el proceso de gestión del valor.

Que son posibles por las prácticas clave de control con referencias a COBIT que

son medidas por métricas de desempeño y resultado.

18

El Marco Val IT

Existen un conjunto de términos que se emplean dentro del marco del Val IT :

o Valor. Resultado final del negocio después de una inversión en TI, donde el

resultado pueden ser financiero, no financiero o una combinación de ambos.

o Cartera. Una agrupación de programas, proyectos, servicios o recursos

seleccionados para optimizar el retorno de negocio.

o Programa. Un grupo estructurado de proyectos interdependientes que son

necesarios y suficientes para lograr resultado comercial y entregar valor. Estos

proyectos incluyen: cambios en la naturaleza del negocio, procesos comerciales,

el trabajo realizado por las personas, así como las competencias requeridas para

llevar a cabo el trabajo, habilitando tecnología y estructura organizacional. El

programa de inversión es la unidad primaria de inversión dentro de Val IT.

o Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a

la empresa una capacidad definida (eso es necesario pero NO suficiente para

lograr un resultado comercial requerido) basada en un plan acordado y

presupuestado.

Procesos y Prácticas de Gestión

Las prácticas de gestión son características de los procesos con éxito. Cada empresa

necesita considerar sus propias políticas, tolerancia al riesgo y el entorno antes de

seleccionar las prácticas de gestión que mejor se aplican a la empresa. Las prácticas de

gestión clave vienen proporcionadas por los siguientes tres procesos:

19

1. Gobierno de Valor (VG, Value Governance), formado por 11 prácticas de gestión

que comprenden:

Establecer el gobierno, seguimiento y control.

Proporcionar dirección estratégica a las inversiones.

Definir las características de la cartera de inversiones.

2. Gestión de Cartera (PM, Portfolio Management), formado por 14 prácticas de

dirección que engloban:

o Identificar y mantener los perfiles de los recursos. o Definir los márgenes de

la inversión. o Evaluar, priorizar y seleccionar, aplazar o rechazar las

inversiones. o Dirigir la cartera global.

o Monitorear e informar el desarrollo de la cartera.

3. Gestión de Inversión (IM, Investment Management), formado por 15 prácticas de

dirección que cubren:

o Identificar los requisitos de negocio.

o Desarrollar una clara comprensión de los programas de inversión candidatos. o

Analizar las alternativas.

o Definir y documentar un caso de negocio detallado, incluyendo el detalle de los

beneficios.

o Asignar claramente las responsabilidades. o Gestionar el programa a través

de su ciclo de vida económico completo.

o Monitorear e informar el desarrollo del programa.

20

Fundamentos para la generación de

estrategias de TI.

La Estrategia del servicio define directrices para

el diseño, desarrollo e implementación de la

Gestión de Servicio como un recurso estratégico.

La Estrategia del servicio es fundamental en el

contexto de los procesos que se realizan en las

otras fases del Ciclo de Vida del Servicio en ITIL (Diseño del Servicio, Transición del

Servicio, Operación del Servicio y Mejora Continua del Servicio).

¿Qué es la estrategia?

Procede del mundo militar, donde generalmente se define como la distribución y

aplicación de recursos militares para cumplir los objetivos de un plan. En la Gestión del

Servicio, la estrategia también debe mantener el vínculo entre políticas y tácticas.

El objetivo de la Estrategia del Servicio es identificar a la competencia y competir con

ella diferenciándose de los demás y ofreciendo un mejor rendimiento.

ITIL menciona los siguientes elementos básicos para los proveedores de servicios:

Enfoque de mercado: Saber dónde y cómo competir.

Capacidades distintivas: Crear activos distintivos y rentables, que sean

apreciados por el negocio.

Estructura basada en el rendimiento: Posiciones organizativas factibles y

medibles, como considerar que los servicios son un activo estratégico que se

debe mejorar continuamente.

Las cuatro “P” de la estrategia (según Mintzberg, 1994)

Un proveedor de servicios que sepa cuáles son sus objetivos de servicio y comprenda los

factores que diferencian sus productos está listo para iniciar el Ciclo de Vida del Servicio.

Perspectiva: Tener una visión y un enfoque claro.

Posición: Adoptar una postura bien definida.

Plan: Formarse una idea de cómo debe desarrollarse la organización.

21

Patrón: Mantener la coherencia de decisiones y acciones.

Gobierno de tecnologías de la información.

¿Qué es Gobierno Corporativo?

Es un conjunto de responsabilidades y

prácticas ejercidas por el directorio y

gerentes para brindar dirección estratégica,

asegurar el logro de los objetivos del

negocio, la gestión adecuada de los riesgos y

verificar la utilización de los recursos de

manera responsable.

Según la Organización para la Cooperación y Desarrollo Económico, “La estructura del

gobierno corporativo especifica la distribución de los derechos y responsabilidades entre

los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los

accionistas y otros agentes económicos que mantengan algún interés en la empresa. El

Gobierno Corporativo también provee la estructura a través de la cual se establecen los

objetivos de la empresa, los medios para alcanzar estos objetivos, así como la forma de

hacer un seguimiento a su desempeño”

• Con ello se espera evitar por ejemplo:

• Especulaciones del mercado de valores sobre todo en negocios basados en el uso

efectivo de tecnología de la información.

• Fracasos de gestión de las políticas de información y comunicación, sentido de la

responsabilidad y subestimación de posibles consecuencias.

• Faltas en la forma de decisión del directorio, comités y estructuras de control.

• La aprobación por parte del directorio de las estrategias corporativas de riesgo

propuesto por los gerentes generales, sin ninguna objeción o crítica.

22

Entonces ¿Qué significa Gobierno de la Tecnología de la Información?

Es la responsabilidad del directorio y gerentes como parte integral del Gobierno

Corporativo, que consiste en brindar liderazgo, estructura organizacional y procesos,

que garanticen que la Tecnología de la Información de la empresa, sostiene y extiende,

las estrategias y objetivos del negocio.

Para iniciar el desarrollo de un buen gobierno de TI debe de cumplir con los siguientes

puntos:

Contar con una visión compartida que indique claramente que no es un Proyecto

(pese a tener que manejar ciertas partes del mismo como un proyecto), no es un

esfuerzo temporal y tampoco tiene el objetivo de lograr una certificación. Viene

a ser parte de la operación y debe formar parte de los esfuerzos de mejora

continua, buscando un mayor nivel de madurez, validados por auditoria interna

y/o por un ente externo con similar fin.

Utilizar un marco de referencia, el mas conocido es “Control Objetives for

Information and related Technology” (CobiT), enfocado en el negocio, orientado

a los procesos, basado en controles y medible. Los principales dominios son:

Planear y Organizar, Adquirir e Implementar, Entregar y brindar Soporte,

Monitorear y Evaluar.

La experiencia indica que el mejor camino es realizar un inventario de servicios

corporativos de TI y análisis de riesgos de negocios provenientes del uso de la

Tecnología de la Información que brinda soporte al mismo. Esto permitirá

responder a las siguientes preguntas: ¿Cuánto debemos gastar en TI?, ¿Qué

procesos de negocio deberían priorizar las inversiones de TI?, ¿Qué capacidades

de TI necesita una organización de clase mundial?, ¿Cuan buenos son nuestros

servicios de TI y que es lo que necesitamos realmente?, ¿Que riesgos de

privacidad y seguridad aceptaremos?

La experiencia también indica que se debe incorporar a grupos de personas como:

gerentes de negocios (gerente general, de finanzas, de TI, de Operaciones),

ejecutivos de TI, líderes por cada unidad de negocio, dueños de procesos y sus

23

delegados y usuarios finales clave en determinadas actividades. Para todos ellos,

se debe establecer niveles de responsabilidad y decisión.

¿Se imaginan ustedes controlar 34 procesos de CobiT, asegurar gobernabilidad y

alineación con los objetivos del negocio de manera manual?. El desarrollo de las

buenas practicas de Gobierno de TI, necesariamente involucra el uso de una

herramienta (software)diseñada específicamente para gestionar información

relevante de CobiT.

Es imprescindible la participación de empresas de Consultoría para temas

específicos, como lo referente a capacitación, procesos, herramientas, cultura

empresarial, acompañamiento, entre otros.

Desarrollar Buen Gobierno de TI, tiene inicio y no tiene fin, la mejora continua es parte

preponderante y es posible determinar el grado de madurez de los proceso

involucrados.

Gobierno de la Tecnología características más relevantes:

Alineamiento estratégico: Las TI deben diseñarse desde el principio para apoyar y

soportar la estrategia de la Organización, estableciendo prioridades que enlacen

claramente los planes de TI con los objetivos estratégicos de la compañía (definidos en

un Balance Scorecard o Cuadro de Mando Integral, por ejemplo), identificando

responsabilidades y tareas.

• Entrega de valor: Se trata de ejecutar el plan estratégico definido anteriormente,

validando y demostrando que TI está efectivamente ofreciendo beneficios a la

organización (y no pensando en los mundos de yupi, como a veces sucede).

También habla de la optimización de compras, pero aquí desde el punto de vista

estratégico, es decir, no se trata sólo de que el gasto sea óptimo, sino de validar

si éste gasto es el necesario, de forma razonada (ya hablaremos de ROI, mentiras

y cintas de video) .

• Gestión de Recursos: Su objetivo es la definición y gestión eficiente de los recursos

de TI, lo que suele incluir aplicaciones, información, infraestructuras y

24

por supuesto, personas (las grandes olvidadas, que trataremos de rescatar en este

blog). En este punto también se presta especial atención a algunos elementos

clave, como la optimización del conocimiento y de las infraestructuras.

• Gestión de Riesgos: Las principales regulaciones obligan (legalmente) a la alta

dirección a conocer el riesgo operativo al que se enfrenta la organización, y de

aceptar el riesgo residual que se decidan (y afrontar las consecuencias de que éste

se materialice). Este punto trata pues de la componente TIC del riesgo operativo

y persigue asegurar que las TI cumplen tanto con las regulaciones y leyes

aplicables como con las políticas internas vigentes.

• Medición del rendimiento: Trata de medir y conocer en todo momento el estado

y grado de implementación de la estrategia o plan definido, de acuerdo a las

cambiantes necesidades de la organización. Para ello se deben monitorizar de

forma regular elementos como el estado de los proyectos, rendimiento de los

procesos, uso de recursos y aspectos económicos o entrega del servicio

(típicamente a través de la gestión del nivel de servicio y variables asociadas)… el

CIO debe tener en la cabeza no sólo el planteamiento estratégico sino cual está

siendo el cumplimiento del mismo en cada una de estas dimensiones, para poder

responder de forma ágil a cambios en el negocio.

25

CONCLUSION

En conclusión hacer uso del marco del gobierno de TI es un paso muy importante para

todo aquel corporativo o empresa que desea maximizar sus beneficios y anticiparse al

mercado.

Con la implementación del gobierno de TI no existen proyectos de tecnología aislados,

sino por el contrario son proyectos del negocio con soporte de TI.

Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más

adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.

El gobierno de TI no es algo que podamos evitar, la evolución tecnológica y su apego en

las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra

adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los

objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.

26

REFERENCIAS BIBLIOGRAFICAS

ISACA (2012) Lanza el Marco de Referencia para el Buen Gobierno de COBIT 5. Recuperado de http://www.isaca.org/About-ISACA/Press-room/NewsReleases/Spanish/Pages/ISACA-Issues-COBIT-5-Governance-Framework-Spanish.aspx

ISACA (2012) Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.

Recuperado de http://www.isaca.org/COBIT/Documents/COBIT5-FrameworkSpanish.pdf BITCompany (2012) Gobernando ITIL con CobiT. Recuperado de http://www.bitcompany.biz/gobierno-corporativo-de-it-itil-o-cobit/#.VG1MQPmG-b9 (2013)Fundamentos para la generación de estrategias de TI. Recuperado de http://fundamentotic.blogspot.mx/2013/10/31-fundamentos-para-la-generacion-de.html ITIL (1990) Information Technology Infrastructure Library. Recuperado de

http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library#ITIL_v3

CobiT e ITIL(2007) Marco de trabajo. Recuperado de http://es.slideshare.net/rsoriano/cobit-itil-

iso-27000-marcos-de-gobierno

NOWECO (2007) Risk Management Software and ISO 17799 / ISO 27000.Recuperado de

http://www.noweco.com/risk/riske13.htm

upan1 (2003) Normas Internacionales para la Calidad Gubernamental (5th

G.F.).Recuperado de

http://unpan1.un.org/intradoc/groups/public/documents/un/unpan012640.pdf