Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso Practico Gobierno de TI PDF
Caso Practico Gobierno de TI PDF
Resumen
Hoy en dı́a resulta indiscutible el impacto de las Tecnologı́as de la Información y las
Comunicaciones (TIC) en la vida cotidiana. El fenómeno de la globalización, impul-
sado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividad
empresarial que, si bien pronostican perspectivas económicas muy favorables, adole-
cen de una complejidad organizativa sin precedentes. Afortunadamente, el Gobierno de
las TIC ha permitido sortear el escollo, definiendo un marco de actuación normalizado
en el seno del mundo empresarial. Ası́, COBIT, ITIL, ISO 27002, e incluso el modelo
de madurez propuesto por CMMI, se han convertido recientemente en manuales de su-
pervivencia en el ámbito de las empresas tecnológicas. Por tanto, el propósito de este
trabajo comprende una revisión general de las diferentes áreas de trabajo adscritas al
Gobierno de las TIC, a la vez que se proporciona un caso práctico (comercio electróni-
co) en el que se constata cómo la aplicación de estas reglas de conducta empresarial
consolidan la sostenibilidad del negocio.
Palabras clave:
TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electrónico.
1. Introducción
El final del siglo XX se ha caracterizado por la revolución digital, suscitada por los
avances experimentados en materia de Tecnologı́as de la Información y las Comuni-
caciones. Su radio de acción no se limita a nuestro quehacer diario o actividades de
ocio. Inéditos e innovadores negocios revelan nuevos canales de comunicación entre la
industria y los consumidores.
Las incipientes perspectivas de negocio, basadas en las TIC, no están exentas de
nuevos riesgos que las organizaciones deben asumir y gestionar, de ahı́ que se establez-
ca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Una
adecuada gestión de los procesos tecnológicos resulta esencial para la supervivencia y
2
2004 Peter Weill y Jeanne Ross, IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results, Harvard Business Press, 2004 [7].
2006 IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and
Control Foundation, 2006 [8].
En cualquier caso, los factores clave que precipitaron la implantación del Gobierno
de las TIC comprenden:
Regulaciones y normativas: legales (LOPD1 , SOX2 ), estándares (ISO 27001,
ISO 20000), certificaciones CMMI3 , etc.
Optimización de recursos: reingenierı́a de procesos TIC, consolidación de re-
cursos, estrategias de externalización.
Peticiones del negocio: alineamiento TIC con la estrategia, ciclo de vida de
productos y servicios, gestión de la demanda.
A raı́z de los planteamientos propuestos, el Gobierno de las TIC debe atender las
siguientes competencias:
Las TIC han de alinearse con la estrategia del negocio.
Las TIC han de facilitar que la organización emprenda operaciones que antes no
eran posibles.
Los diversos servicios y funciones de las TIC han de suministrarse con el máxi-
mo valor posible o, en su defecto, de la forma más eficiente posible.
Todos los riesgos asociados a las TIC han de definirse y acotarse claramente, de
forma que los recursos TIC se conviertan en activos seguros.
El presente documento comienza con una panorámica conceptual del Gobierno de
las TIC, prestando especial atención a las áreas de trabajo y los modelos de control que
rigen su operabilidad, para, una vez descrita la metodologı́a, presentar un caso práctico
de Gobierno de las TIC, de aplicación en el comercio electrónico. En este sentido, se
puntualizan los procesos TIC que sustentan el negocio de las ventas online.
3
El Gobierno de las TIC constituye un marco operativo, capaz de reconocer las
responsabilidades que facilitan la adopción de decisiones correctas, de forma que
se intensifiquen las conductas deseables en el uso de las TIC en las organizaciones
empresariales
Áreas de trabajo
to En
ien tre
am ico va ga d
il ne atég lo r e
A str
e
Med iento
riesg del
rend
ión
ición
o
im
Gest
del
Gestión de
recursos
A tenor de la Figura 1, las áreas de trabajo comprenden las siguientes lı́neas maes-
tras:
¬ Alineamiento estratégico
• Consolidar la conexión e integración del negocio con los planes de las TIC.
• Definir, mantener y validar las propuestas de valor de las TIC.
• Alinear las operaciones de las TIC con las de la empresa.
• Alcanzar una mejor alineación que la competencia.
Entrega de valor
• Rentabilidad del negocio. Análisis coste/beneficio (perspectiva económi-
ca).
• Utilidad del servicio (perspectiva social).
4
® Gestión del riesgo
• Concienciación por parte de la alta dirección.
• Percepción del compromiso con los requisitos.
• Dotación de transparencia en la gestión de los riesgos más significativos.
• Integración de las responsabilidades supeditadas a la gestión de los riesgos
en la propia organización.
• Aceptación del riesgo en la organización.
¯ Gestión de recursos
• Organizar óptimamente los recursos TIC, de forma que aquellos servicios
que los requieran puedan disponer de ellos en lugar y tiempo concretos.
• Alinear y priorizar servicios y productos TIC existentes para favorecer las
operaciones del negocio.
• Controlar y monitorizar los servicios TIC, tanto propios como de terceros.
Cabe subrayar que, en ausencia de una medición efectiva del rendimiento, las áreas
de trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelar
al modelo de madurez CMMI para continuar mejorando.
5
Entrega de valor:
• Percepción económica ⇒ Análisis coste/beneficio.
• Percepción del cliente final ⇒ Funcionalidad y garantı́a del servicio.
Medición del rendimiento, conforme a aquellas métricas que actúan de indica-
dores del grado de penetración del Gobierno de las TIC en la organización. En
este sentido, el ı́ndice de penetración del Gobierno de las TIC adopta diferentes
ratios, según los criterios propuestos en el modelo CMMI [11]. En particular, en
el ámbito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere un
modelo genérico, compuesto de 6 niveles (ver Anexo A).
4.1. COBIT
Acrónimo de Control Objectives for Information and related Technology. Las Tec-
nologı́as de la Información y las Comunicaciones (TIC) precisan de un marco de con-
trol especı́fico, debido a los siguientes factores:
COBIT asegura que las TIC no deparen sorpresas insalvables, en términos de ries-
gos, dotándolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad.
Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innova-
ciones en los procesos, productos y servicios de la organización. Para lograrlo, divide
las TIC en 34 procesos, pertenecientes a 4 dominios, asignándoles objetivos de control
de alto nivel. En base a requerimientos económicos y necesidades de calidad y seguri-
dad en las organizaciones, delimita 7 criterios de información, especialmente útiles en
los planteamientos fundacionales de aquellos negocios basados en las TIC.
4.2. ITIL
Acrónimo de Information Technology Infraestructure Library. Comprende un con-
junto de buenas prácticas, destinadas a la gestión de servicios TIC, esto es, sugiere
un procedimiento de gestión de las TIC, presentes en una organización, incidiendo
fundamentalmente en la especificación de las infraestructuras, ası́ como actividades y
procesos TIC, dirigidas a la provisión de servicios.
6
Adoptando la definición difundida por la consultora Gartner, ITIL engloba un con-
junto de procesos que, coordinados, respaldan la calidad de servicio ofertada, confor-
me a los niveles de servicio previamente acordados con los clientes. Estos procesos,
además, deben superponerse a los tradicionales dominios de gestión, como la gestión
de sistemas, la gestión de redes, el desarrollo de sistemas, y muchos otros dominios
de procesos complementarios, como la gestión de cambios, la gestión de activos o la
gestión de incidencias.
Los procesos representan secuencias de actividades interconectadas, con un inicio y
un final concisos, es decir, los elementos de entrada deben transformarse en resultados
evidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen:
7
5. Comercio electrónico. Un caso práctico
8
Proceso de gestión de la continuidad del servicio.
Proceso de gestión de la Seguridad de la Información.
9
Mostrar en el portal web de comercio electrónico, conforme a LSSI, la
siguiente información:
• Denominación social, NIF, domicilio y dirección de correo electrónico
del negocio.
• Códigos de conducta a los que se adhieren.
• Precios de los productos o servicios ofertados.
• Nombre de dominio de la página web, inscrito en el Registro Mercan-
til.
2. Gestión de la continuidad del servicio. Garantizar que todas las instalaciones
técnicas, imprescindibles en el comercio electrónico (incluyendo sistemas in-
formáticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, en
caso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio.
Un ejemplo de continuidad del negocio comprende la incorporación de dos cen-
tros de datos replicados, con idénticos componentes TIC. El fallo de un centro
de datos serı́a transparente para el cliente, puesto que automáticamente tomarı́a
el control del servicio el otro centro de datos.
Con objeto de clarificar el alineamiento con el negocio, avalado por COBIT, se
propone un ejemplo de proceso TIC, asociado a la gestión de cambios, junto a sus
metas TIC, y lo que espera el negocio (departamento de ventas) de él:
Metas TIC • Responder a los requisitos del negocio, conforme a una estrategia.
• Definir cómo los requisitos funcionales y de control se traducen a solucio-
nes automatizadas efectivas.
• Deducir los defectos y el retrabajo en las soluciones y en la prestación del
servicio.
• Garantizar un impacto mı́nimo en el negocio, en caso de interrupciones o
cambios en el servicio TIC.
• Mantener la integridad de la infraestructura de la información y el procesa-
miento de datos.
Metas del negocio • Agilizar la respuesta a los requisitos cambiantes (tiempo para comerciali-
zar). Ofertar nuevos productos en temporada alta.
• Automatizar e integrar la cadena de valor empresarial.
• Mejorar y mantener la funcionalidad del servicio de comercio electrónico.
• Respetar las leyes y reglamentos vigentes.
• Evaluar el grado de disponibilidd del servicio de comercio electrónico.
• Recabar información confiable y útil para la toma de decisiones estratégi-
cas.
La rentabilidad financiera del proyecto de implantación de un servicio de comercio
electrónico se ampara en el análisis coste/beneficio. Su objetivo no es otro que estimar
los costes en los que incurre el servicio de comercio electrónico, estableciéndose una
comparativa entre la previsión de costes y los beneficios previstos. A continuación se
detalla un ejemplo aclaratorio.
10
Costes • Adquisición del mantenimiento de hardware y software.
• Gastos de comunicaciones.
• Costes de desarrollo del sistema.
• Gastos de consultorı́a.
• Costes de publicidad. Emisoras de radio locales, televisión local y prensa
escrita.
Costes totales: 200.000 d.
Beneficios • Incremento de ventas, respecto al canal presencial, del 2 % el primer año
(2010), un 4 % el segundo año (2011); en el tercer año (2012) ascenderı́a a
un 6 % (más de 250.000 d). A tenor de las cifras, en tres años no sólo se
recupera la inversión inicial (200.000 d), sino que se obtienen beneficios.
En años sucesivos deberı́an obtenerse unos beneficios en torno al 10 %,
respecto al canal presencial.
• Time to market: tiempo que transcurre desde que se manifiesta una pro-
puesta de negocio hasta que ésta se introduce, en este caso, en el comercio
electrónico, como valor añadido al servicio inicial ofertado (desde que se
registra la petición hasta su puesta en producción). Puntuación, de 0 a 5.
Rendimiento real 2.
• Reducción inesperada de ventas, por falta de disponibilidad del servicio de
comercio electrónico. Puntuación, de 0 a 5. Rendimiento real 2.
• Aumento del coste total del año anterior respecto al actual. Puntuación, de
0 a 5. Rendimiento real 4.
• Porcentaje de clientes satisfechos por el servicio brindado, respecto al total.
Puntuación, de 0 a 5. Rendimiento real 4.
11
• Satisfacción de los SLA (Service Level Agreement) por parte del cliente.
Puntuación, de 0 a 5. Rendimiento real 3.
Alineamiento estratégico
5
4
3
2
1
Gestión del riesgo 0 Entrega de valor
Comercio electrónico
Gestión de recursos
6. Conclusiones
12
empresariales, que se vienen manifestando, por influjo de las TIC, en los últimos años.
De estos antecedentes pueden extraerse las siguientes consideraciones finales:
º El Gobierno de las TIC reclama la inclusión de los procesos TIC más importantes
en el Cuadro de Mando Integral (CMI), de forma que las áreas de trabajo del
Gobierno de las TIC participen del plan estratégico del Gobierno Corporativo.
Para finalizar, es menester resaltar la dificultad que entraña la implantación del Go-
bierno de las TIC cuando el CIO (Chief Information Officer), también denominado
director de Tecnologı́as de la Información, no forma parte de la dirección ejecutiva. Si
no se proponen medidas tecnológicas (a todas luces, aptas para el negocio) desde la alta
dirección, las TIC no se considerarán socias del negocio y, por tanto, resultará prácti-
camente imposible lograr un nivel de madurez lo suficientemente elevado.
13
Referencias
[4] Turnbull Report (Guidance for Directors on the Combined Code). 2005.
[Online available] http://www.frc.org.uk/documents/pagemanager/frc/...
[5] Principios de Gobierno Corporativo. OCDE (Organización para la Cooperación y
el Desarrollo Económicos). 2004.
[Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf
[8] IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and
Control Foundation, 2006.
[Online available] Clic aquı́ para la descarga de COBIT 4.1 en español
[9] Bon, J. V., Fundamentos de la gestión de servicios de TI basada en ITIL V3, Van
Haren Publishing, 2007.
[10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A Management
Guide, Van Haren Publishing, 2009.
[11] Integración de Modelos de Madurez de Capacidades (CMMI), desarrollado por
el Instituto de Ingenierı́a de Software (SEI), perteneciente a la Carnegie Mellon
University (USA).
[Website] http://www.sei.cmu.edu/cmmi/
14
A. Niveles de madurez del Gobierno de las TIC
15