Comercio electrónico.

Un caso práctico de Gobierno de las

TIC

Enrique Manuel Gallego Garcı́aa , Javier de Pedro Carracedob

a Consultor
senior de Seguridad de la Información, Departamento de Seguridad Corporativa de Sistemas de
Información de Telefónica S.A., Ronda de la Comunicación s/n, Madrid, España
b Departamento de Automática, Edificio Politécnico, Universidad de Alcalá, Campus universitario, N-II,

km. 33,6, 28871, Alcalá de Henares, Madrid, España

Resumen
Hoy en dı́a resulta indiscutible el impacto de las Tecnologı́as de la Información y las
Comunicaciones (TIC) en la vida cotidiana. El fenómeno de la globalización, impul-
sado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividad
empresarial que, si bien pronostican perspectivas económicas muy favorables, adole-
cen de una complejidad organizativa sin precedentes. Afortunadamente, el Gobierno de
las TIC ha permitido sortear el escollo, definiendo un marco de actuación normalizado
en el seno del mundo empresarial. Ası́, COBIT, ITIL, ISO 27002, e incluso el modelo
de madurez propuesto por CMMI, se han convertido recientemente en manuales de su-
pervivencia en el ámbito de las empresas tecnológicas. Por tanto, el propósito de este
trabajo comprende una revisión general de las diferentes áreas de trabajo adscritas al
Gobierno de las TIC, a la vez que se proporciona un caso práctico (comercio electróni-
co) en el que se constata cómo la aplicación de estas reglas de conducta empresarial
consolidan la sostenibilidad del negocio.
Palabras clave:
TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electrónico.

1. Introducción

El final del siglo XX se ha caracterizado por la revolución digital, suscitada por los
avances experimentados en materia de Tecnologı́as de la Información y las Comuni-
caciones. Su radio de acción no se limita a nuestro quehacer diario o actividades de
ocio. Inéditos e innovadores negocios revelan nuevos canales de comunicación entre la
industria y los consumidores.
Las incipientes perspectivas de negocio, basadas en las TIC, no están exentas de
nuevos riesgos que las organizaciones deben asumir y gestionar, de ahı́ que se establez-
ca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Una
adecuada gestión de los procesos tecnológicos resulta esencial para la supervivencia y

Correos electrónicos: enriquemanuel.gallegogarcia@telefonica.com (Enrique Manuel

Gallego Garcı́a), javier.depedro@uah.es (Javier de Pedro Carracedo)

Artı́culo para III Congreso de Computación para el Desarrollo 6 de junio de 2010

el éxito de una compañı́a. Los nuevos escenarios macroeconómicos insinúan una fuerte
dependencia de los procesos productivos de las organizaciones en las TIC, por lo que
actualmente las TIC se han convertido en un activo estratégico, vital en la obtención
de resultados. De hecho, la inoperancia de las TIC puede llegar a paralizar la actividad
natural de una organización, lo que justifica la puesta en escena del Gobierno de las
TIC, fiel indicador del éxito que se augura para una propuesta empresarial.
El origen del Gobierno de las TIC se remonta a 1992, año en que se publica el
informe COSO (Committee of Sponsoring Organizations of the Treadway Comission)
[1]. El informe COSO propone un sistema integrado de control interno, esto es, plantea
una fórmula estándar con la que las organizaciones pueden evaluar y mejorar sus siste-
mas de control. Este memorándum supuso un punto de inflexión en la comprensión del
control interno, pues estableció un marco de referencia, antes inexistente, en el proceso
de institucionalización del control interno.
El control interno constituye un proceso, no un fin en sı́ mismo, en el que participan
todos los integrantes de una organización, sin excepción alguna. Su cometido no es otro
que brindar apoyo a los diferentes eslabones de la cadena productiva, de forma que se
satisfagan los siguientes objetivos:

Eficacia y eficiencia en las operaciones.

Fidelidad de los informes financieros.
Cumplimiento de las leyes y normativas vigentes y aplicables.

Con posterioridad al informe COSO, se han difundido diversos informes o manua-

les de buenas prácticas en materia de Gobierno de las TIC, entre los que cabe destacar:

1992 Cadbury Report (Committee on the Financial Aspects of Corporate Governan-

ce). Recopilación de buenas prácticas en la distribución de información entre
grupos interesados [2].
1996 COBIT (Control Objectives for Information and related Technology), auspicia-
do por ISACA (Information Systems Audit and Control Association), primera
edición [3].
1999 Turnbull Report (Guidance for Directors on the Combined Code). Especial énfa-
sis en el papel que desempeña el Gobierno Corporativo en los comités de au-
ditorı́a, supervisión de riesgos y control interno. Última revisión data de 2005
[4].
1999 Principios de Gobierno Corporativo. OCDE (Organización para la Cooperación
y el Desarrollo Económicos). Última revisión data de 2004 [5].
1999 Annual Report (Bank for International Settlements). Polı́ticas y guı́as, destinadas
a la industria financiera, sobre riesgos operativos y de sistemas, ası́ como buenas
prácticas en sistemas y TIC [6].
2000 IT Governance Institute, COBIT (tercera edición), Information Systems Audit
and Control Foundation, 2000.

2
2004 Peter Weill y Jeanne Ross, IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results, Harvard Business Press, 2004 [7].
2006 IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and
Control Foundation, 2006 [8].
En cualquier caso, los factores clave que precipitaron la implantación del Gobierno
de las TIC comprenden:
Regulaciones y normativas: legales (LOPD1 , SOX2 ), estándares (ISO 27001,
ISO 20000), certificaciones CMMI3 , etc.
Optimización de recursos: reingenierı́a de procesos TIC, consolidación de re-
cursos, estrategias de externalización.
Peticiones del negocio: alineamiento TIC con la estrategia, ciclo de vida de
productos y servicios, gestión de la demanda.
A raı́z de los planteamientos propuestos, el Gobierno de las TIC debe atender las
siguientes competencias:
Las TIC han de alinearse con la estrategia del negocio.
Las TIC han de facilitar que la organización emprenda operaciones que antes no
eran posibles.
Los diversos servicios y funciones de las TIC han de suministrarse con el máxi-
mo valor posible o, en su defecto, de la forma más eficiente posible.
Todos los riesgos asociados a las TIC han de definirse y acotarse claramente, de
forma que los recursos TIC se conviertan en activos seguros.
El presente documento comienza con una panorámica conceptual del Gobierno de
las TIC, prestando especial atención a las áreas de trabajo y los modelos de control que
rigen su operabilidad, para, una vez descrita la metodologı́a, presentar un caso práctico
de Gobierno de las TIC, de aplicación en el comercio electrónico. En este sentido, se
puntualizan los procesos TIC que sustentan el negocio de las ventas online.

2. Descripción del Gobierno de las TIC

En la última década la literatura técnica ha concentrado sus esfuerzos en la defini-
ción de Gobierno de las TIC, con objeto de identificar claramente el rol de las TIC en
la actividad empresarial. Desgraciadamente, el empeño inicial se ha visto empañado
con dictámenes enrevesados que, lejos de aclarar la finalidad, se pierden en divaga-
ciones técnicas, inaccesibles para un público inexperto. No obstante, Jeanne Ross, del
MIT Sloan School of Management, en un alarde de sentido común, plantea la siguiente
definición [7]:

1 LeyOrgánica de Protección de Datos

2 LeySarbanes OXley
3 Capability Maturity Model Integration

3
 El Gobierno de las TIC constituye un marco operativo, capaz de reconocer las
responsabilidades que facilitan la adopción de decisiones correctas, de forma que
se intensifiquen las conductas deseables en el uso de las TIC en las organizaciones
empresariales

Del planteamiento arriba expuesto deriva una consecuencia interesante. El Go-

bierno de las TIC se ha convertido en la única vı́a factible que respalda la contribu-
ción de las áreas de Sistemas de la Información al éxito de las empresas, conforme a
una gestión más eficiente de los recursos, minimizándose los riesgos y alineándose las
decisiones tecnológicas con los objetivos del negocio.

3. Áreas de trabajo del Gobierno de las TIC

La Figura 1 ilustra gráficamente las áreas de trabajo que incorpora el Gobierno de

las TIC.

Áreas de trabajo
to En
ien tre
am ico va ga d
il ne atég lo r e
A str
e
Med iento

riesg del
rend

ión
ición

o
im

Gest
del

Gestión de
recursos

Gobierno de las TIC

Figura 1: Áreas de trabajo del Gobierno de las TIC

A tenor de la Figura 1, las áreas de trabajo comprenden las siguientes lı́neas maes-
tras:

¬ Alineamiento estratégico
• Consolidar la conexión e integración del negocio con los planes de las TIC.
• Definir, mantener y validar las propuestas de valor de las TIC.
• Alinear las operaciones de las TIC con las de la empresa.
• Alcanzar una mejor alineación que la competencia.

­ Entrega de valor
• Rentabilidad del negocio. Análisis coste/beneficio (perspectiva económi-
ca).
• Utilidad del servicio (perspectiva social).

4
 ® Gestión del riesgo
• Concienciación por parte de la alta dirección.
• Percepción del compromiso con los requisitos.
• Dotación de transparencia en la gestión de los riesgos más significativos.
• Integración de las responsabilidades supeditadas a la gestión de los riesgos
en la propia organización.
• Aceptación del riesgo en la organización.

¯ Gestión de recursos
• Organizar óptimamente los recursos TIC, de forma que aquellos servicios
que los requieran puedan disponer de ellos en lugar y tiempo concretos.
• Alinear y priorizar servicios y productos TIC existentes para favorecer las
operaciones del negocio.
• Controlar y monitorizar los servicios TIC, tanto propios como de terceros.

° Medición del rendimiento

• Estrategia de implantación.
• Planificación de los proyectos.
• Uso de los recursos.
• Rendimiento de los procesos.
• Entrega de servicios, conforme al Cuadro de Mando Integral (CMI). Esta
herramienta de administración empresarial advierte continuamente cuándo
una compañı́a y sus empleados alcanzan los resultados previstos en la es-
trategia.

Cabe subrayar que, en ausencia de una medición efectiva del rendimiento, las áreas
de trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelar
al modelo de madurez CMMI para continuar mejorando.

4. Modelos de Gobierno de las TIC

El Gobierno de las TIC comporta la adopción de modelos de referencia, véase el

marco operativo COBIT (cuarta edición) [8], junto a ITIL [9] y ISO 27002 [10], como
receptores de buenas prácticas. Las diferentes áreas de trabajo del Gobierno de las TIC
se enmarcan en los diversos modelos, de acuerdo a la siguiente designación:

Alineamiento estratégico ⇒ COBIT.

Gestión de recursos ⇒ ITIL.

Gestión del riesgo ⇒ ISO 27002.

5
 Entrega de valor:
• Percepción económica ⇒ Análisis coste/beneficio.
• Percepción del cliente final ⇒ Funcionalidad y garantı́a del servicio.
Medición del rendimiento, conforme a aquellas métricas que actúan de indica-
dores del grado de penetración del Gobierno de las TIC en la organización. En
este sentido, el ı́ndice de penetración del Gobierno de las TIC adopta diferentes
ratios, según los criterios propuestos en el modelo CMMI [11]. En particular, en
el ámbito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere un
modelo genérico, compuesto de 6 niveles (ver Anexo A).

4.1. COBIT
Acrónimo de Control Objectives for Information and related Technology. Las Tec-
nologı́as de la Información y las Comunicaciones (TIC) precisan de un marco de con-
trol especı́fico, debido a los siguientes factores:

Creciente dependencia de la información y los sistemas que la distribuyen.

Crecientes vulnerabilidades y amenazas.
Magnitud y coste de las actuales y futuras inversiones en Sistemas de la Infor-
mación.

Respetar las regulaciones vigentes.

Potencial de las tecnologı́as para cambiar las prácticas de negocio, gestándose
nuevas oportunidades, con mı́nimos costes.
Reconocimiento, por parte de muchas organizaciones, de los beneficios poten-
ciales que la tecnologı́a puede reportar.

COBIT asegura que las TIC no deparen sorpresas insalvables, en términos de ries-
gos, dotándolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad.
Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innova-
ciones en los procesos, productos y servicios de la organización. Para lograrlo, divide
las TIC en 34 procesos, pertenecientes a 4 dominios, asignándoles objetivos de control
de alto nivel. En base a requerimientos económicos y necesidades de calidad y seguri-
dad en las organizaciones, delimita 7 criterios de información, especialmente útiles en
los planteamientos fundacionales de aquellos negocios basados en las TIC.

4.2. ITIL
Acrónimo de Information Technology Infraestructure Library. Comprende un con-
junto de buenas prácticas, destinadas a la gestión de servicios TIC, esto es, sugiere
un procedimiento de gestión de las TIC, presentes en una organización, incidiendo
fundamentalmente en la especificación de las infraestructuras, ası́ como actividades y
procesos TIC, dirigidas a la provisión de servicios.

6
 Adoptando la definición difundida por la consultora Gartner, ITIL engloba un con-
junto de procesos que, coordinados, respaldan la calidad de servicio ofertada, confor-
me a los niveles de servicio previamente acordados con los clientes. Estos procesos,
además, deben superponerse a los tradicionales dominios de gestión, como la gestión
de sistemas, la gestión de redes, el desarrollo de sistemas, y muchos otros dominios
de procesos complementarios, como la gestión de cambios, la gestión de activos o la
gestión de incidencias.
Los procesos representan secuencias de actividades interconectadas, con un inicio y
un final concisos, es decir, los elementos de entrada deben transformarse en resultados
evidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen:

Definibles: formalizar, identificar requisitos, actividades, etc.

Repetibles: las secuencias de actividades son repetibles.

Predecibles: nivel de estabilidad que confirme la obtención de los resultados

esperados, siempre que se respeten las secuencias de actividades.

En definitiva, la gestión de servicios TIC se traduce en la aproximación sistemática

a la planificación, desarrollo, entrega y soporte de los servicios TIC de la empresa.
Con otras palabras, contrae el espacio que separa los departamentos de negocio y TIC,
instaurándose una asociación mutua desde y para el negocio.

4.3. ISO 27002

Esta normativa comprende un estándar para la Seguridad de la Información. Pro-
porciona recomendaciones de las mejores prácticas, en la gestión de la Seguridad de
la Información, a todos los interesados y responsables en iniciar, implantar o mantener
sistemas de gestión de la Seguridad de la Información. La versión más reciente del
estándar incluye doce secciones temáticas (ver Tabla 1). Dentro de cada sección, se
especifican los objetivos de los distintos controles a los que debe someterse la Seguri-
dad de la Información. Cada uno de los controles se acompaña, asimismo, de una guı́a
para su implantación. El número total de controles asciende, entre todas las secciones,
a 133, aunque cada organización debe sopesar previamente cuántos serán realmente
aplicables, según sus propias necesidades.

Tabla 1: Secciones temáticas de ISO 27002

Análisis y gestión de riesgos Polı́tica de Seguridad
Seguridad de RRHH Seguridad fı́sica
Gestión de activos Organización de la seguridad
Comunicaciones y operaciones Control de acceso
Compras, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad
Plan de continuidad del negocio Conformidad legal

7
5. Comercio electrónico. Un caso práctico

El comercio electrónico, también conocido como e-commerce (contracción de los

términos anglosajones electronic y commerce), consiste en la compra y venta de pro-
ductos o servicios a través de medios electrónicos, como Internet u otras redes in-
formáticas. Originariamente, el término identificaba cualquier transacción efectuada
por medios electrónicos, p. ej., el intercambio electrónico de datos. Sin embargo, con
el advenimiento de Internet y la World Wide Web, a mediados de los años 90, tornó su
acepción para referirse principalmente a la venta de bienes y servicios a través de In-
ternet, usando como forma de pago un medio electrónico, como la popular tarjeta de
crédito.
El comercio electrónico (el negocio: ventas online) consta de un portal web, una
base de datos, lı́neas de acceso a Internet, etc. Todos estos componentes pertenecen
al campo de las Tecnologı́as de la Información y las Comunicaciones (TIC). Para que
el comercio electrónico esté disponible, con la capacidad suficiente, continuidad en el
tiempo, fiable para los clientes que lo utilicen, beneficios que reporta a la empresa, el
departamento de ventas debe considerar las TIC como un socio atractivo, pues cons-
tituye una plataforma eficaz y eficiente, idónea para incrementar las ventas, objetivo
clave del negocio. Por tanto, deben acometerse las siguientes directrices:

Optimizar la gestión de las TIC (crear procesos TIC predecibles y graduables).

En la definición de estos procesos intervienen las buenas prácticas de ITIL y ISO
27002.
Establecer un vı́nculo entre las TIC y el departamento de ventas (negocio). Por
medio del alineamiento con el negocio, las metas TIC deben generar metas de
negocio, para que ası́ el negocio simpatice con la organización de las TIC. En la
definición del alineamiento con el negocio media el marco de control de COBIT.
Justificar los costes, derivados de la implantación del servicio, a la dirección de
la empresa. Por lo tanto, debe elaborarse un análisis coste/beneficio, a la vez que
se adapta el servicio de comercio electrónico a las necesidades del cliente.

Estimar el nivel de madurez de los procesos TIC, para continuar mejorando. En

este sentido, se aplica el modelo de madurez CMMI.

Los procesos TIC involucrados obedecen a la siguiente relación:

Proceso de gestión de la configuración.

Proceso de gestión del cambio.

Proceso de gestión del despliegue de versiones.
Proceso de gestión del nivel de servicio.

Proceso de gestión de incidencias.

Proceso de gestión de problemas.

8
 Proceso de gestión de la continuidad del servicio.
Proceso de gestión de la Seguridad de la Información.

Atendiendo a las buenas prácticas formuladas en ITIL.

1. Gestión del nivel de servicio. Garantizar que se proporciona un nivel de servicio
adecuado a las necesidades del comercio electrónico. Inspeccionar la satisfacción
del cliente. Por ejemplo, el servicio de comercio electrónico debe presentar una
indisponibilidad del 0,2 % anual, lo que implica que, en la práctica, cualquier
ventana horaria de cambios y actualizaciones del portal web debe adaptarse a
horarios con pocos accesos. Sólo ası́ se garantizarı́a una disponibilidad en torno
al 99,8 % anual.
2. Gestión de incidentes. Reducir el tiempo de parada de los sistemas, debido fun-
damentalmente a caı́das. Detectar y solucionar, a la mayor brevedad posible, una
anomalı́a en el sistema. Por ejemplo, la detección anticipada de memoria insufi-
ciente en el sistema que sostiene la plataforma de comercio electrónico.
3. Gestión de problemas. Registrar las causas de las averı́as, evitándose inciden-
tes repetitivos. Por ejemplo, inventariar la caı́da del servicio web de comercio
electrónico, provocada por una vulnerabilidad del servidor, iniciándose un plan
de acción que contrarreste la vulnerabilidad.
4. Gestión de la configuración. Disponer de información actualizada sobre los
sistemas y componentes que soportan el servicio de comercio electrónico. Por
ejemplo, versiones, licencias, personal técnico que administra los sistemas de
comercio electrónico, documentación técnica, etc.
5. Gestión de cambios. Asegurar que los frecuentes cambios, efectuados de forma
controlada, no impacten negativamente en el servicio. Por ejemplo, definir las
ventanas horarias de menor actividad.
6. Gestión de versiones. Asegurar que las transiciones entre cambios afecten lo
mı́nimo posible a los usuarios. Por ejemplo, la migración a una nueva aplicación
en el portal web de comercio electrónico.
Entre los procesos TIC vinculados a las buenas prácticas de ISO 27002, sobresalen:
1. Gestión de la Seguridad de la Información. Garantizar la disponibilidad, in-
tegridad, confidencialidad y autenticidad de la información en aquellos sistemas
que soportan el servicio de comercio electrónico. Además, habrá que velar por
el cumplimiento de las leyes y regulaciones que afectan a la información al-
macenada, en tránsito y en ejecución, en los sistemas de información que con-
forman el servicio de comercio electrónico (LSSI4 , LOPD, PCI DSS5 , etc.). El
cumplimiento de la Ley de Comercio Electrónico (LSSI) y la Ley Orgánica de
Protección de Datos Personales (LOPD) obliga a:
Inscribir el fichero de datos personales del servicio de comercio electrónico
en la Agencia de Protección de datos.

4 Ley de Servicios de la Sociedad de Información

5 Payment Card Industry Data Security Standard

9
 Mostrar en el portal web de comercio electrónico, conforme a LSSI, la
siguiente información:
• Denominación social, NIF, domicilio y dirección de correo electrónico
del negocio.
• Códigos de conducta a los que se adhieren.
• Precios de los productos o servicios ofertados.
• Nombre de dominio de la página web, inscrito en el Registro Mercan-
til.
2. Gestión de la continuidad del servicio. Garantizar que todas las instalaciones
técnicas, imprescindibles en el comercio electrónico (incluyendo sistemas in-
formáticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, en
caso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio.
Un ejemplo de continuidad del negocio comprende la incorporación de dos cen-
tros de datos replicados, con idénticos componentes TIC. El fallo de un centro
de datos serı́a transparente para el cliente, puesto que automáticamente tomarı́a
el control del servicio el otro centro de datos.
Con objeto de clarificar el alineamiento con el negocio, avalado por COBIT, se
propone un ejemplo de proceso TIC, asociado a la gestión de cambios, junto a sus
metas TIC, y lo que espera el negocio (departamento de ventas) de él:
Metas TIC • Responder a los requisitos del negocio, conforme a una estrategia.
• Definir cómo los requisitos funcionales y de control se traducen a solucio-
nes automatizadas efectivas.
• Deducir los defectos y el retrabajo en las soluciones y en la prestación del
servicio.
• Garantizar un impacto mı́nimo en el negocio, en caso de interrupciones o
cambios en el servicio TIC.
• Mantener la integridad de la infraestructura de la información y el procesa-
miento de datos.
Metas del negocio • Agilizar la respuesta a los requisitos cambiantes (tiempo para comerciali-
zar). Ofertar nuevos productos en temporada alta.
• Automatizar e integrar la cadena de valor empresarial.
• Mejorar y mantener la funcionalidad del servicio de comercio electrónico.
• Respetar las leyes y reglamentos vigentes.
• Evaluar el grado de disponibilidd del servicio de comercio electrónico.
• Recabar información confiable y útil para la toma de decisiones estratégi-
cas.
La rentabilidad financiera del proyecto de implantación de un servicio de comercio
electrónico se ampara en el análisis coste/beneficio. Su objetivo no es otro que estimar
los costes en los que incurre el servicio de comercio electrónico, estableciéndose una
comparativa entre la previsión de costes y los beneficios previstos. A continuación se
detalla un ejemplo aclaratorio.

10
 Costes • Adquisición del mantenimiento de hardware y software.
• Gastos de comunicaciones.
• Costes de desarrollo del sistema.
• Gastos de consultorı́a.
• Costes de publicidad. Emisoras de radio locales, televisión local y prensa
escrita.
Costes totales: 200.000 d.
Beneficios • Incremento de ventas, respecto al canal presencial, del 2 % el primer año
(2010), un 4 % el segundo año (2011); en el tercer año (2012) ascenderı́a a
un 6 % (más de 250.000 d). A tenor de las cifras, en tres años no sólo se
recupera la inversión inicial (200.000 d), sino que se obtienen beneficios.
En años sucesivos deberı́an obtenerse unos beneficios en torno al 10 %,
respecto al canal presencial.

Por supuesto, la viabilidad económica del proyecto empresarial se ve condicionada

por la percepción del cliente. Para cuantificar el interés del cliente, se introducen dos
parámetros, la ((funcionalidad)) (utilidad) del servicio y la ((garantı́a)) del efecto positivo
que la funcionalidad proyecta. El valor real del servicio es una combinación de ambos
factores, propiedad caracterı́stica de la buenas prácticas de ITIL.
Por último, la medición del rendimiento de los procesos TIC comporta la aplicación
de varias métricas, que determinan el nivel de madurez de los procesos. A continuación
se introducen las métricas consideradas:

¬ Área de alineamiento con el negocio (COBIT)

• Time to market: tiempo que transcurre desde que se manifiesta una pro-
puesta de negocio hasta que ésta se introduce, en este caso, en el comercio
electrónico, como valor añadido al servicio inicial ofertado (desde que se
registra la petición hasta su puesta en producción). Puntuación, de 0 a 5.
Rendimiento real 2.
• Reducción inesperada de ventas, por falta de disponibilidad del servicio de
comercio electrónico. Puntuación, de 0 a 5. Rendimiento real 2.

­ Área de entrega de valor (análisis coste/beneficio y percepción del cliente)

• Aumento del coste total del año anterior respecto al actual. Puntuación, de
0 a 5. Rendimiento real 4.
• Porcentaje de clientes satisfechos por el servicio brindado, respecto al total.
Puntuación, de 0 a 5. Rendimiento real 4.

® Área de gestión de recursos (ITIL)

• Número de incidencias resueltas en menos de 24 horas. Puntuación, de 0 a

5. Rendimiento real 3.

11
 • Satisfacción de los SLA (Service Level Agreement) por parte del cliente.
Puntuación, de 0 a 5. Rendimiento real 3.

¯ Área de gestión del riesgo (ISO 27002)

• Porcentaje de sanciones por incumplimiento legal del comercio electrónico.

Puntuación, de 0 a 5. Rendimiento real 3.
• Satisfacción en la resolución de incidencias de seguridad. Puntuación, de 0
a 5. Rendimiento real 3.

A partir de los valores suministrados, resulta evidente ponderar el nivel de madurez

del caso práctico de servicio de comercio electrónico. De esta manera, se alcanza, en
media, un ı́ndice de 3 en las áreas de Gobierno de las TIC. En este sentido, el nivel de
madurez consolida un proceso definido, dado que se ha perfilado un marco organizativo
y de procesos en el ámbito de la gestión de las actividades TIC. La Figura 2 pone de
manifiesto el nivel de madurez de las cuatro áreas de Gobierno de las TIC.

Alineamiento estratégico

5
4
3
2
1
Gestión del riesgo 0 Entrega de valor

Comercio electrónico

Gestión de recursos

Figura 2: Modelo de madurez del Gobierno de las TIC

Consecuentemente, es preciso persistir en la mejora constante del nivel de madurez

del Gobierno de las TIC, para escalar un peldaño más y ası́ alcanzar el nivel 4, proceso
gestionado y medible. Si se maximiza el valor de las TIC y la gestión de los riesgos
derivados, la dirección de la empresa intensificará la confianza depositada en las TIC,
auténtico revulsivo en las estrategias de negocio corporativas.

6. Conclusiones

El presente documento revela las verdaderas atribuciones que pueden encomendar-

se a las TIC en el ámbito empresarial. Sin embargo, los modelos de integración de las
nuevas tecnologı́as en las estrategias de negocio aún se encuentran, en general, en una
fase inicial. Se prevé un camino largo, pero no por ello menos interesante. En cualquier
caso, los resultados de este trabajo dejan entrever ciertas peculiaridades o conductas

12
empresariales, que se vienen manifestando, por influjo de las TIC, en los últimos años.
De estos antecedentes pueden extraerse las siguientes consideraciones finales:

¶ El Gobierno de las TIC no es una ciencia exacta. Requiere disciplina y compro-

miso. La implantación de un Gobierno de las TIC aconseja:
• Efectuar un análisis del nivel de madurez de los procesos TIC reinantes en
la empresa considerada.
• Crear un grupo de trabajo, dedicado exclusivamente al Gobierno de las
TIC.
• Definir una estrategia de Gobierno de las TIC, esto es, programar y ejecutar
proyectos en las diferentes áreas de Gobierno de las TIC.
• Definir un plan de formación y certificación en Gobierno de las TIC, como
CGEIT (Certified in the Governance of Enterprise IT), avalado por ISACA.

· El Gobierno de las TIC debe adaptarse a las estructuras, estrategias y cultura de

la organización, es decir, no es lo mismo el comercio electrónico que una gran
corporación financiera.
¸ El Gobierno de las TIC reivindica el compromiso de los ejecutivos de la or-
ganización. Como cualquier otra metodologı́a, se precisa del apoyo de la alta
dirección para reforzar la implantación del Gobierno de las TIC.
¹ El Gobierno de las TIC admite la revisión de los marcos existentes (ITIL, CO-
BIT, CMMI, etc.), esto es, incorporar los modelos de control ya implantados a
las diferentes áreas de Gobierno de las TIC.

º El Gobierno de las TIC reclama la inclusión de los procesos TIC más importantes
en el Cuadro de Mando Integral (CMI), de forma que las áreas de trabajo del
Gobierno de las TIC participen del plan estratégico del Gobierno Corporativo.

Para finalizar, es menester resaltar la dificultad que entraña la implantación del Go-
bierno de las TIC cuando el CIO (Chief Information Officer), también denominado
director de Tecnologı́as de la Información, no forma parte de la dirección ejecutiva. Si
no se proponen medidas tecnológicas (a todas luces, aptas para el negocio) desde la alta
dirección, las TIC no se considerarán socias del negocio y, por tanto, resultará prácti-
camente imposible lograr un nivel de madurez lo suficientemente elevado.

13
Referencias

[1] Committee of Sponsoring Organizations of the Treadway Comission.

[Website] http://www.coso.org/

[2] Cadbury Report (Committee on the Financial Aspects of Corporate Governance).

1992.
[Online available] http://www.ecgi.org/codes/documents/cadbury.pdf
[3] Information Systems Audit and Control Association.
[Website] http://www.isaca.org/

[4] Turnbull Report (Guidance for Directors on the Combined Code). 2005.
[Online available] http://www.frc.org.uk/documents/pagemanager/frc/...
[5] Principios de Gobierno Corporativo. OCDE (Organización para la Cooperación y
el Desarrollo Económicos). 2004.
[Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf

[6] Annual Report (Bank for International Settlements). 1999.

[Online available] http://www.bis.org/publ/ar99e.pdf
[7] Weill, P. and Ross, J., IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results, Harvard Business Press, 2004.

[8] IT Governance Institute, COBIT (cuarta edición), Information Systems Audit and
Control Foundation, 2006.
[Online available] Clic aquı́ para la descarga de COBIT 4.1 en español
[9] Bon, J. V., Fundamentos de la gestión de servicios de TI basada en ITIL V3, Van
Haren Publishing, 2007.

[10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A Management
Guide, Van Haren Publishing, 2009.
[11] Integración de Modelos de Madurez de Capacidades (CMMI), desarrollado por
el Instituto de Ingenierı́a de Software (SEI), perteneciente a la Carnegie Mellon
University (USA).
[Website] http://www.sei.cmu.edu/cmmi/

14
A. Niveles de madurez del Gobierno de las TIC

CMMI (Capability Maturity Model Integration) constituye un modelo de referencia

que, a diferencia de otros modelos, se fundamenta en prácticas acomodables a cualquier
dominio de producción, concediendo un enfoque global e integrado de la organización.
Su propósito no es otro que alcanzar los objetivos del negocio. De esta forma, CMMI
permite a empresas complejas, compuestas de varias áreas de negocio, instaurar de una
manera sencilla un sistema de salvaguarda de la calidad.
El Software Engineering Institute (SEI), adscrito a la Carnegie Mellon University,
en USA, creador del modelo CMMI y de la mayorı́a de sus predecesores, ha elaborado
sus modelos bajo la premisa de que la calidad de un producto o servicio es altamente
dependiente de los procesos que los producen y mantienen. Por ello, la mejora continua
de los procesos debiera incrementar paulatinamente el nivel de capacidad y madurez
de una organización, conforme a los niveles de la Tabla 2.

Tabla 2: Índices de penetración del Gobierno de las TIC

Gobierno de las TIC inexistente. Ausencia total de pro-

0 [inexistente]
1 [inicial/ad hoc]
2 [repetible, pero intui-
tivo]
3 [proceso definido]
4 [proceso gestionado
y medible]
cesos TIC
Se reconoce la necesidad de atender cuestiones relacio-
nadas con el Gobierno de las TIC, si bien no se advier-
ten procesos estandarizados. Subordinación a la inicia-
tiva y experiencia del equipo de gestión
Se observan prácticas regulares de Gobierno de las TIC,
como reuniones de revisión, creación de informes de
rendimiento, etc., con la participación voluntaria de sta-
keholders del negocio. No obstante, se carece de comu-
nicación formal entre procedimientos, depositándose la
responsabilidad en personas
Se especifica un marco organizativo dirigido a la ges-
tión de actividades TIC. Se institucionalizan las prácti-
cas exitosas, si bien las técnicas empleadas resultan aún
insuficientes
Se implantan polı́ticas de mejora de los procesos TIC.
La dirección recibe los resultados en forma de cuadro de
mando. Se trabaja conjuntamente en el proceso de ma-
ximización del valor de las TIC y la gestión de riesgos
asociados a las TIC

Se despliegan prácticas de Gobierno de las TIC median-

5 [proceso optimizado]
te aproximaciones sofisticadas, en base a técnicas efec-
tivas. Se manifiesta una verdadera transparencia en la
estrategia de las TIC. Los procesos TIC evolucionan po-
sitivamente, incluyéndose benchmarking externo y au-
ditorı́as independientes que confieran confianza a la di-
rección

15