Post on 12-Apr-2017
INSTITUTO TECNOLÓGICO SUPERIOR
DE LA MONTAÑA
INGENIERÍA INFORMÁTICA
ASIGNATURA:
FUNDAMENTOS DE GESTION DE SERVICIOS DE TI
REPORTE DE INVESTIGACION UNIDAD III
Marco de gobierno de tecnologías de la información
DOCENTE: Ing. Freddy Ramírez Villalobos
INTEGRANTES:
Eufemia Martínez Martínez
María Fernanda Hernández Romero
2
INTRODUCCION
En este reporte se aborda todo el contenido de marco de gobierno de tecnologías de la información. El Gobierno de TI es una organización basada en TI ya que es esencial para el desarrollo en el cual maneja una pirámide donde ubicamos los diferentes rangos o categorías, esta se divide conforme a los mandos del personal de una dirección, el propósito es el liderazgo, estructurar organizar y hacer que los procesos e garanticen que una organización de TI, genere un soporte y
extienda las estrategias y objetivos del negocio. El gobierno de TI hace constante el uso de herramientas ya que se considera importante y esencial para una buena organización y tener una buena empresa la cual genere valor.
3
MARCO DE GOBIERNO DE TECNOLOGIAS EN LA INFORMACION
El Gobierno de las TI es una parte integral
del Gobierno Corporativo, e implica alinear
los procesos y recursos de TI con los
objetivos de la
Organización. Este punto, que resulta
sencillo de incluir en cualquier
definición de objetivos, es el auténtico
núcleo de una estrategia de TI con éxito….
porque no se debe olvidar que
el sentido y la razón de ser de las TI en la mayoría de las empresas es aportar valor al
negocio de la compañía, y no solo darle soporte.
¿Qué es el Gobierno de TI?
El Gobierno TI es un conjunto de procedimientos, estructuras y comportamientos
utilizados para dirigir y controlar la organización hacía el logro de sus objetivos.
COBIT® (Control Objectives for Information and Related Technology) es un marco de
referencia para Gobierno de TI. Este marco permite conectar los riesgos del negocio con
las necesidades de control.
Los objetivos del gobierno corporativo son:
• Proveer dirección estratégica
• Asegurar que los objetivos son logrados
• Establecer una adecuada administración de riesgos
4
Verificar que los recursos de la empresa son utilizados responsablemente El gobierno de
TI es parte integral del gobierno corporativo.
Beneficios de implementar una solución de Gobierno de TI en su organización.
Definir y alcanzar resultados medibles, por medio de los objetivos de control de
COBIT
Adoptar buenas prácticas aceptadas internacionalmente
Estar orientado a la administración y soportado por herramientas y
entrenamiento
Implementar la mejora continua
Alinear la organización con los principales estándares de la industria
La tecnología de la información está avanzando cada vez más y se ha generalizado en las
empresas y en entornos sociales, públicos y de negocios.
Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:
• Mantener información de alta calidad para soportar las decisiones del negocio.
• Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas
estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e
innovador.
• Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y
eficiente.
• Mantener los riesgos relacionados con TI en un nivel aceptable
• Optimizar el coste de los servicios y tecnologías de TI
• Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos
contractuales y políticas aplicables.
Existen múltiples marcos de gobierno TI
5
COBIT (Control Objectives for Information and related Technology
de ISACA)
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus
objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera
sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio
entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de
recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la
empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de
responsabilidad de TI, considerando los intereses relacionados con TI de las partes
interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los
tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.
6
Principios de COBIT 5 para el gobierno y la gestión de las TI empresariales:
Principio 1. Satisfacer las Necesidades de las Partes Interesadas—Las empresas
existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la
creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene
objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su
propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto
nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas
con procesos y prácticas específicos.
Principio 1
Principio 2: Cubrir la Empresa Extremo a Extremo—COBIT 5 integra el gobierno y la
gestión de TI en el gobierno corporativo:
7
– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca
sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas
como activos que deben ser tratados como cualquier otro activo por todos en la
empresa.
– Considera que los catalizadores relacionados con TI para el gobierno y la gestión
deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y
todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la
información de la empresa y TI relacionadas.
Principio 2
Principio 3: Aplicar un Marco de Referencia único integrado—Hay muchos estándares
y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de
actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo
relevantes, y de este modo puede hacer la función de marco de trabajo principal para el
gobierno y la gestión de las TI de la empresa.
8
Principio 3
Principio 4: Hacer Posible un Enfoque Holístico: Un gobierno y gestión de las TI de la
empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta
varios componentes interactivos. COBIT 5 define un conjunto de catalizadores para
apoyar la implementación de un sistema de gobierno y gestión global para las TI de la
empresa. Los catalizadores se definen en líneas generales como cualquier cosa que
puede ayudar a conseguir las metas de la empresa.
Principio 4
Principio 5: Separar el Gobierno de la Gestión: El marco de trabajo COBIT 5 establece
una clara distinción entre gobierno y gestión.
9
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de
gestión de la TI empresarial en dos dominios diferentes de procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen
prácticas de evaluación, orientación y supervisión (EDM).
.
• Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad
de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y
proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución
de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios
han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen
más verbos para describirlos:
– Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
– Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
– Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Principio 5
10
Biblioteca de Infraestructura de Tecnologías de Información,
abreviada ITIL (del inglés Information Technology Infrastructure
Library).
En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "ciclo de
vida del servicio" separando y ampliando algunos subprocesos hasta convertirlos en
procesos especializados. Esta modificación responde a un enfoque empresarial para
grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a
consolidar el modelo para conseguir aún mejores resultados. Es por ello que los
especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si
no cuentan con un modelo ITIL consolidado y aspiran a una expansión a muy largo plazo.
ITIL v3 consta de 5 libros basados en el ciclo de vida del servicio:
1. Estrategia del Servicio
Se enfoca en el estudio de mercado y
posibilidades mediante la búsqueda de
servicios innovadores que satisfagan al cliente
tomando en cuenta la real factibilidad de su
puesta en marcha. Así mismo se analizan
posibles mejoras para servicios ya existentes.
Se verifican los contratos con base en las
nuevas ofertas de proveedores antiguos y
posibles nuevos proveedores, lo que incluye la renovación o revocación de los
contratos vigentes.
2. Diseño del Servicio
Una vez identificado un posible servicio el siguiente paso consiste en analizar su
viabilidad. Para ello se toman factores tales como infraestructura disponible,
capacitación del personal y se planifican aspectos como seguridad y prevención ante
desastres. Para la puesta en marcha se toman en consideración la reasignación de
cargos (contratación, despidos, ascensos, jubilaciones, etc), la infraestructura y
software a implementar.
11
3. Transición del Servicio
Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza
la información disponible acerca del nivel real de capacitación de los usuarios,
estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara
un escenario para realizar pruebas; se replican las bases de datos, se preparan
planes de roll back (reversión) y se realizan las pruebas. Luego de ello se limpia el
escenario hasta el punto de partida y se analizan los resultados, de los cuales
dependerá la implementación del servicio. En la evaluación se comparan las
expectativas con los resultados reales.
4. Operación del Servicio
En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se
registran eventos, incidencias, problemas, peticiones y accesos al servicio.
5. Mejora Continua del Servicio
Se utilizan herramientas de medición y feedback para documentar la información
referente al funcionamiento del servicio, los resultados obtenidos, problemas
ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de
conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e
investigación referentes al servicio y disponer de la información al resto de los
usuarios.
ISO 27000
Marco de referencia para la gestión de la seguridad de la información cuidando la
disponibilidad, la integridad y la confiabilidad.
ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO
International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Es un
estándar ISO que proporciona un modelo para establecer, implementar, utilizar,
monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la
información (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que
12
otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio
ambiente, etc.).
ISO 17799 / ISO 27000
proporciona información sobre la forma de garantizar la seguridad de la información.
describe un marco de gestión que se aplicará.
requiere para establecer el enfoque de una organización para la gestión de riesgos
de seguridad de información.
ISO/IEC 17799
Denominada también como ISO 27002; es un estándar para la seguridad de la
información. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en
la gestión de la seguridad de la información a todos los
interesados y responsables en iniciar, implantar o
mantener sistemas de gestión de la seguridad de la
información. La seguridad de la información se define
en el estándar como “la preservación de la
confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información),
integridad (asegurando que la información y sus
métodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo requieran)”.
13
Tres elementos en la gestión del riesgo como se mencionan en la norma ISO
17799 / ISO 27000 media:
1. Identificación de Riesgos y Evaluación : ISO 17799 / BS 7799 requieren para
justificar la idoneidad del enfoque de evaluación, las herramientas y las técnicas
elegidas. Los siguientes datos de evaluación de riesgos deben documentarse: - la
valoración de los activos - la identificación de los riesgos (amenazas y
vulnerabilidades) - evaluación de la probabilidad y las consecuencias de los
riesgos que se producen - cálculo del riesgo.
2. Riesgo plan de tratamiento : El plan de tratamiento de riesgos coordina los
tratamientos para reducir los riesgos e implementar los controles necesarios
para proteger la información.Esto demuestra la decisión de aceptar un riesgo,
transferirlo o reduce su probabilidad o consecuencia. Además, el plan de
tratamiento del riesgo proporcionará información sobre los métodos de
tratamiento del riesgo como seleccionado, se proponen (que son en su lugar y
que) los controles y el calendario de aplicación de los tratamientos y controles.
3. Tratamiento del riesgo : El tratamiento del riesgo es el paso para poner en
práctica todos los tratamientos y los controles establecidos en el plan de
tratamiento de riesgos
14
ISO 9000
Las normas de administración de la calidad se refieren a tres grandes componentes: el
cliente, el producto, y la organización. Hay varios modelos para obtener calidad y
excelencia en organizaciones y empresas, y muchos países han adoptado sus propios
modelos. Uno de los modelos de calidad de uso más extendido y adaptable es la serie
de norma ISO 9000.
“ISO 9000 representa un consenso internacional sobre buenas prácticas de
administración cuyo propósito es asegurar que la organización pueda entregar, de
manera repetida y sistemática, productos o servicios que satisfacen los requisitos de
calidad del cliente.
Estas buenas prácticas se han reunido en un conjunto de requisitos para un sistema de
administración de la calidad, sin importar lo que hace su organización, su tamaño o si
pertenece al sector público o privado.
La familia de normas ISO 9000 se basa en principios fundamentales de administración
de la calidad. Un principio de administración de la calidad es una regla u opinión de gran
alcance y esencial para dirigir y operar una organización, cuyo objeto es mejorar
continuamente el desempeño y el valor a largo plazo centrándose en el cliente y en las
partes interesadas y, al mismo tiempo, atendiendo las necesidades de todos los demás
actores.
Principios de administración de la calidad •
Enfoque en el cliente (parte interesada).
• Liderazgo.
• Participación de la gente.
• Enfoque en los procesos.
• Enfoque sistémico frente a la administración.
• Mejoramiento continuo.
• Enfoque empírico frente a la toma de decisiones.
• Relaciones de beneficio mutuo entre proveedores.
15
Al aplicar la ISO 9000 a los gobiernos se debe esperar que los resultados
incluyan: o Mejor servicio a los ciudadanos. o Administración más
transparente del municipio. o Costos de servicio más bajos mediante una
operación eficiente. o Sistemas de comunicación y manejo de la información
más sólidos. o Una organización revigorizada. o Más medidas centradas
en el ciudadano.
Beneficios del ISO 9000
Implementar un sistema de calidad es una tarea difícil para cualquier compañía. Incluso
para aquellas que practica la Administración de la Calidad Total, la implementación de
un sistema ISO 9000 puede tomar muchos meses.
Hay dos tipos de beneficios, dependiendo parcialmente de cómo se aplica la norma. En
ocasiones las plantas implementan ISO 9000 por razones contractuales (un cliente pone
la condición del ISO 9000 en su contrato). Esto obliga a la compañía a certificarse en ISO
9000. Otras compañías adoptan la norma ISO 9000 por razones por razones no –
contractuales (simplemente como un modelo para un sistema ideal de calidad).
Componentes del ISO 9000
La norma ISO 9000 es un conjunto de reglas de sentido común relativas al sistema de
calidad. No aplica a productos o servicios específicos, esto es, no esta de hecho
orientada a los resultados (productos y/o servicios). En lugar de ello, la norma ISO 9000
gobierna al sistema que la compañía usa para controlar y asegurar la calidad.
El ISO 9000 puede ser implementado por dos razones básicas: Contractuales y no –
contractuales.
Hay tres “partes” publicadas del ISO 9000 para cubrir tales aplicaciones contractuales.
16
ISO 9001 es la parte más completa. Esta se refiere a compañías cuyo proceso es cubre
el diseño/desarrollo de productos, la producción, la instalación y el servicio por contrato.
El ISO 9001 incluye 20 secciones que describen varios elementos del sistema de calidad.
El alcance del ISO 9002 es más limitado. Este se refiere a compañía que hacen productos
en que las actividades de diseño y servicio no están incluidas. El ISO 9002 incluye a 18
de las 20 secciones del ISO 9001; la redacción de estas secciones es prácticamente
idéntica.
ISO 9003 es la parte más limitada de la norma. Se aplica a compañía que solo realizan
funciones de inspección final y pruebas. El ISO 9003 incluyo a 12 de las 20 secciones del
ISO 9001.
Val IT Val IT es un marco de gobierno que consiste en un conjunto de guias de principios, y una
serie de procesos conforme a esos principios que se definen como un conjunto de
prácticas clave de gestión.
El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las
inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta
17
del ITGI proporciona guías, procesos y prácticas de soporte para ayudar a la dirección a
comprender y llevar a cabo las inversiones en TI.
Val IT ayuda a las organizaciones a:
Incrementar la comprensión y transparencia de los costos, riesgos y beneficios,
dando lugar a una gestión mucho mejor informada.
Incrementar la probabilidad de seleccionar las inversiones que tienen potencial
de generar un mayor retorno.
Incrementar la probabilidad de éxito al ejecutar las inversiones.
Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones
correctivas al respecto.
Reducir el riesgo de falla y “sorpresas” en los costos y las entregas.
La relación entre Val IT y COBIT se refleja de la siguiente manera:
Val IT soporta los objetivos de negocio logrando un valor óptimo en las
inversiones en TI, dentro de un costo adecuado y con un aceptable nivel de
riesgo.
Guiado por un conjunto de principios aplicados en el proceso de gestión del valor.
Que son posibles por las prácticas clave de control con referencias a COBIT que
son medidas por métricas de desempeño y resultado.
18
El Marco Val IT
Existen un conjunto de términos que se emplean dentro del marco del Val IT :
o Valor. Resultado final del negocio después de una inversión en TI, donde el
resultado pueden ser financiero, no financiero o una combinación de ambos.
o Cartera. Una agrupación de programas, proyectos, servicios o recursos
seleccionados para optimizar el retorno de negocio.
o Programa. Un grupo estructurado de proyectos interdependientes que son
necesarios y suficientes para lograr resultado comercial y entregar valor. Estos
proyectos incluyen: cambios en la naturaleza del negocio, procesos comerciales,
el trabajo realizado por las personas, así como las competencias requeridas para
llevar a cabo el trabajo, habilitando tecnología y estructura organizacional. El
programa de inversión es la unidad primaria de inversión dentro de Val IT.
o Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a
la empresa una capacidad definida (eso es necesario pero NO suficiente para
lograr un resultado comercial requerido) basada en un plan acordado y
presupuestado.
Procesos y Prácticas de Gestión
Las prácticas de gestión son características de los procesos con éxito. Cada empresa
necesita considerar sus propias políticas, tolerancia al riesgo y el entorno antes de
seleccionar las prácticas de gestión que mejor se aplican a la empresa. Las prácticas de
gestión clave vienen proporcionadas por los siguientes tres procesos:
19
1. Gobierno de Valor (VG, Value Governance), formado por 11 prácticas de gestión
que comprenden:
Establecer el gobierno, seguimiento y control.
Proporcionar dirección estratégica a las inversiones.
Definir las características de la cartera de inversiones.
2. Gestión de Cartera (PM, Portfolio Management), formado por 14 prácticas de
dirección que engloban:
o Identificar y mantener los perfiles de los recursos. o Definir los márgenes de
la inversión. o Evaluar, priorizar y seleccionar, aplazar o rechazar las
inversiones. o Dirigir la cartera global.
o Monitorear e informar el desarrollo de la cartera.
3. Gestión de Inversión (IM, Investment Management), formado por 15 prácticas de
dirección que cubren:
o Identificar los requisitos de negocio.
o Desarrollar una clara comprensión de los programas de inversión candidatos. o
Analizar las alternativas.
o Definir y documentar un caso de negocio detallado, incluyendo el detalle de los
beneficios.
o Asignar claramente las responsabilidades. o Gestionar el programa a través
de su ciclo de vida económico completo.
o Monitorear e informar el desarrollo del programa.
20
Fundamentos para la generación de
estrategias de TI.
La Estrategia del servicio define directrices para
el diseño, desarrollo e implementación de la
Gestión de Servicio como un recurso estratégico.
La Estrategia del servicio es fundamental en el
contexto de los procesos que se realizan en las
otras fases del Ciclo de Vida del Servicio en ITIL (Diseño del Servicio, Transición del
Servicio, Operación del Servicio y Mejora Continua del Servicio).
¿Qué es la estrategia?
Procede del mundo militar, donde generalmente se define como la distribución y
aplicación de recursos militares para cumplir los objetivos de un plan. En la Gestión del
Servicio, la estrategia también debe mantener el vínculo entre políticas y tácticas.
El objetivo de la Estrategia del Servicio es identificar a la competencia y competir con
ella diferenciándose de los demás y ofreciendo un mejor rendimiento.
ITIL menciona los siguientes elementos básicos para los proveedores de servicios:
Enfoque de mercado: Saber dónde y cómo competir.
Capacidades distintivas: Crear activos distintivos y rentables, que sean
apreciados por el negocio.
Estructura basada en el rendimiento: Posiciones organizativas factibles y
medibles, como considerar que los servicios son un activo estratégico que se
debe mejorar continuamente.
Las cuatro “P” de la estrategia (según Mintzberg, 1994)
Un proveedor de servicios que sepa cuáles son sus objetivos de servicio y comprenda los
factores que diferencian sus productos está listo para iniciar el Ciclo de Vida del Servicio.
Perspectiva: Tener una visión y un enfoque claro.
Posición: Adoptar una postura bien definida.
Plan: Formarse una idea de cómo debe desarrollarse la organización.
21
Patrón: Mantener la coherencia de decisiones y acciones.
Gobierno de tecnologías de la información.
¿Qué es Gobierno Corporativo?
Es un conjunto de responsabilidades y
prácticas ejercidas por el directorio y
gerentes para brindar dirección estratégica,
asegurar el logro de los objetivos del
negocio, la gestión adecuada de los riesgos y
verificar la utilización de los recursos de
manera responsable.
Según la Organización para la Cooperación y Desarrollo Económico, “La estructura del
gobierno corporativo especifica la distribución de los derechos y responsabilidades entre
los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los
accionistas y otros agentes económicos que mantengan algún interés en la empresa. El
Gobierno Corporativo también provee la estructura a través de la cual se establecen los
objetivos de la empresa, los medios para alcanzar estos objetivos, así como la forma de
hacer un seguimiento a su desempeño”
• Con ello se espera evitar por ejemplo:
• Especulaciones del mercado de valores sobre todo en negocios basados en el uso
efectivo de tecnología de la información.
• Fracasos de gestión de las políticas de información y comunicación, sentido de la
responsabilidad y subestimación de posibles consecuencias.
• Faltas en la forma de decisión del directorio, comités y estructuras de control.
• La aprobación por parte del directorio de las estrategias corporativas de riesgo
propuesto por los gerentes generales, sin ninguna objeción o crítica.
22
Entonces ¿Qué significa Gobierno de la Tecnología de la Información?
Es la responsabilidad del directorio y gerentes como parte integral del Gobierno
Corporativo, que consiste en brindar liderazgo, estructura organizacional y procesos,
que garanticen que la Tecnología de la Información de la empresa, sostiene y extiende,
las estrategias y objetivos del negocio.
Para iniciar el desarrollo de un buen gobierno de TI debe de cumplir con los siguientes
puntos:
Contar con una visión compartida que indique claramente que no es un Proyecto
(pese a tener que manejar ciertas partes del mismo como un proyecto), no es un
esfuerzo temporal y tampoco tiene el objetivo de lograr una certificación. Viene
a ser parte de la operación y debe formar parte de los esfuerzos de mejora
continua, buscando un mayor nivel de madurez, validados por auditoria interna
y/o por un ente externo con similar fin.
Utilizar un marco de referencia, el mas conocido es “Control Objetives for
Information and related Technology” (CobiT), enfocado en el negocio, orientado
a los procesos, basado en controles y medible. Los principales dominios son:
Planear y Organizar, Adquirir e Implementar, Entregar y brindar Soporte,
Monitorear y Evaluar.
La experiencia indica que el mejor camino es realizar un inventario de servicios
corporativos de TI y análisis de riesgos de negocios provenientes del uso de la
Tecnología de la Información que brinda soporte al mismo. Esto permitirá
responder a las siguientes preguntas: ¿Cuánto debemos gastar en TI?, ¿Qué
procesos de negocio deberían priorizar las inversiones de TI?, ¿Qué capacidades
de TI necesita una organización de clase mundial?, ¿Cuan buenos son nuestros
servicios de TI y que es lo que necesitamos realmente?, ¿Que riesgos de
privacidad y seguridad aceptaremos?
La experiencia también indica que se debe incorporar a grupos de personas como:
gerentes de negocios (gerente general, de finanzas, de TI, de Operaciones),
ejecutivos de TI, líderes por cada unidad de negocio, dueños de procesos y sus
23
delegados y usuarios finales clave en determinadas actividades. Para todos ellos,
se debe establecer niveles de responsabilidad y decisión.
¿Se imaginan ustedes controlar 34 procesos de CobiT, asegurar gobernabilidad y
alineación con los objetivos del negocio de manera manual?. El desarrollo de las
buenas practicas de Gobierno de TI, necesariamente involucra el uso de una
herramienta (software)diseñada específicamente para gestionar información
relevante de CobiT.
Es imprescindible la participación de empresas de Consultoría para temas
específicos, como lo referente a capacitación, procesos, herramientas, cultura
empresarial, acompañamiento, entre otros.
Desarrollar Buen Gobierno de TI, tiene inicio y no tiene fin, la mejora continua es parte
preponderante y es posible determinar el grado de madurez de los proceso
involucrados.
Gobierno de la Tecnología características más relevantes:
Alineamiento estratégico: Las TI deben diseñarse desde el principio para apoyar y
soportar la estrategia de la Organización, estableciendo prioridades que enlacen
claramente los planes de TI con los objetivos estratégicos de la compañía (definidos en
un Balance Scorecard o Cuadro de Mando Integral, por ejemplo), identificando
responsabilidades y tareas.
• Entrega de valor: Se trata de ejecutar el plan estratégico definido anteriormente,
validando y demostrando que TI está efectivamente ofreciendo beneficios a la
organización (y no pensando en los mundos de yupi, como a veces sucede).
También habla de la optimización de compras, pero aquí desde el punto de vista
estratégico, es decir, no se trata sólo de que el gasto sea óptimo, sino de validar
si éste gasto es el necesario, de forma razonada (ya hablaremos de ROI, mentiras
y cintas de video) .
• Gestión de Recursos: Su objetivo es la definición y gestión eficiente de los recursos
de TI, lo que suele incluir aplicaciones, información, infraestructuras y
24
por supuesto, personas (las grandes olvidadas, que trataremos de rescatar en este
blog). En este punto también se presta especial atención a algunos elementos
clave, como la optimización del conocimiento y de las infraestructuras.
• Gestión de Riesgos: Las principales regulaciones obligan (legalmente) a la alta
dirección a conocer el riesgo operativo al que se enfrenta la organización, y de
aceptar el riesgo residual que se decidan (y afrontar las consecuencias de que éste
se materialice). Este punto trata pues de la componente TIC del riesgo operativo
y persigue asegurar que las TI cumplen tanto con las regulaciones y leyes
aplicables como con las políticas internas vigentes.
• Medición del rendimiento: Trata de medir y conocer en todo momento el estado
y grado de implementación de la estrategia o plan definido, de acuerdo a las
cambiantes necesidades de la organización. Para ello se deben monitorizar de
forma regular elementos como el estado de los proyectos, rendimiento de los
procesos, uso de recursos y aspectos económicos o entrega del servicio
(típicamente a través de la gestión del nivel de servicio y variables asociadas)… el
CIO debe tener en la cabeza no sólo el planteamiento estratégico sino cual está
siendo el cumplimiento del mismo en cada una de estas dimensiones, para poder
responder de forma ágil a cambios en el negocio.
25
CONCLUSION
En conclusión hacer uso del marco del gobierno de TI es un paso muy importante para
todo aquel corporativo o empresa que desea maximizar sus beneficios y anticiparse al
mercado.
Con la implementación del gobierno de TI no existen proyectos de tecnología aislados,
sino por el contrario son proyectos del negocio con soporte de TI.
Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más
adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.
El gobierno de TI no es algo que podamos evitar, la evolución tecnológica y su apego en
las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra
adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los
objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.
26
REFERENCIAS BIBLIOGRAFICAS
ISACA (2012) Lanza el Marco de Referencia para el Buen Gobierno de COBIT 5. Recuperado de http://www.isaca.org/About-ISACA/Press-room/NewsReleases/Spanish/Pages/ISACA-Issues-COBIT-5-Governance-Framework-Spanish.aspx
ISACA (2012) Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.
Recuperado de http://www.isaca.org/COBIT/Documents/COBIT5-FrameworkSpanish.pdf BITCompany (2012) Gobernando ITIL con CobiT. Recuperado de http://www.bitcompany.biz/gobierno-corporativo-de-it-itil-o-cobit/#.VG1MQPmG-b9 (2013)Fundamentos para la generación de estrategias de TI. Recuperado de http://fundamentotic.blogspot.mx/2013/10/31-fundamentos-para-la-generacion-de.html ITIL (1990) Information Technology Infrastructure Library. Recuperado de
http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library#ITIL_v3
CobiT e ITIL(2007) Marco de trabajo. Recuperado de http://es.slideshare.net/rsoriano/cobit-itil-
iso-27000-marcos-de-gobierno
NOWECO (2007) Risk Management Software and ISO 17799 / ISO 27000.Recuperado de
http://www.noweco.com/risk/riske13.htm
upan1 (2003) Normas Internacionales para la Calidad Gubernamental (5th
G.F.).Recuperado de
http://unpan1.un.org/intradoc/groups/public/documents/un/unpan012640.pdf