Guía de actividades y rúbrica de evaluación - Unidad 2- Fase 4
- Documentación de estrategias
Tabla 2 Componentes y estrategias de gobernanza TI.docx.
COMPONENTES ESTRATEGIAS PROPUESTAS
ORGANIZACIONALES GOBERNANZA TI ISO 38500
CORPTBANK
Procesos - Realizar una evaluación de los
procesos actuales de la
organización para identificar
oportunidades de mejora y de las TI que ayuden a cumplir
establecer nuevos procesos
relacionados con el uso de las TI,
buenas prácticas y actividades que
deben realizar el personal.
-Liderar la implementación y beneficios.
adaptación de los procesos, ya sea
utilizando procesos ya existentes o
nuevos que contribuyan a la gestión
de las TI y la reducción de riesgos
en la organización.
- Supervisar el cumplimiento
adecuado de los procesos para
realizar correcciones oportunas y
lograr los objetivos establecidos.
Estructuras -Realizar una evaluación de la
estructura organizacional actual,
organizacionales
con el objetivo de identificar áreas
de mejora en cuanto a los roles,
permisos y tareas asignadas a los
miembros de la organización.
-Liderar las acciones y
responsabilidades de los usuarios y
departamentos para garantizar que
se ejecuten de manera adecuada.
- Supervisar que se cumpla y
mantenga la estructura
organizacional definida, junto con
las tareas, roles y responsabilidades
establecidos, para asegurar que se
alcancen los objetivos de la
organización a través del uso
efectivo de las TI.
Principios, políticas y - Realizar una evaluación de las
políticas y normas para el uso de
procedimientos
las TI en la organización, con el fin
organizacionales de detectar áreas de mejora.
-Encargarse de llevar a cabo la
implementación de políticas,
principios y procedimientos para el
uso de las TI, así como las mejoras
identificadas en la etapa anterior.
-Supervisar que se estén siguiendo
correctamente los procedimientos
ESTRATEGIAS PROPUESTAS
GOBIERNO DE TI COBIT
- Es importante establecer los
objetivos claros de la organización
para poder proponer procesos y uso
dichos objetivos.
-Definir procesos que permitan la
optimización de recursos, gestión
de riesgos, transparencia y otros
- Es importante establecer una
estructura de gobierno de TI que
defina los roles y responsabilidades
de cada área de la organización,
para permitir la integración efectiva
de los distintos procesos y lograr
una optimización de estos.
-Además, es necesario coordinar y
conectar las actividades y tareas de
los equipos de TI y de negocios, de
manera que se asegure una
alineación adecuada entre el uso de
las TI y los objetivos de la
organización, para lograr su
cumplimiento.
-
Se busca asegurar la alineación de
los objetivos de la organización con
el uso de las TI mediante la
definición de políticas, principios y
procedimientos.
-Se debe planificar e implementar
estos principios, políticas y
procedimientos para contribuir a los
objetivos de la organización,
asegurándose de incluir la gestión
de riesgos, el manejo adecuado de
 establecidos y se estén cumpliendo la información, la segmentación de
las políticas para el uso de las TI en roles y privilegios, entre otros
la organización. aspectos relevantes.

Información - Realizar una evaluación del - Establecer medidas de seguridad

manejo de las tecnologías de la apropiadas para asegurar la
corporativa
información y de la información que protección y disponibilidad de la
se almacena o procesa a través de información, así como la
ellas. confidencialidad e integridad de los
datos.
-Encargarse de liderar la
implementación de buenas -Asegurarse de que la información
prácticas, permisos y alcance de sensible sea resguardada y no sea
uso para los usuarios en relación al expuesta ni utilizada en acciones
manejo de las TI y la información que puedan poner en riesgo a la
confidencial de la empresa. organización.

- Supervisar constantemente el uso

y la seguridad de la información
corporativa, incluyendo la
información que se considera
confidencial.
Cultura, ética y - Realizar una evaluación de los - Implementar una cultura
conocimientos, formación, conducta organizacional basada en la ética y
comportamiento
y ética del personal de la el cumplimiento de políticas y
organización, con el fin de normas establecidas por la
establecer una cultura organización.
organizacional que promueva un
uso adecuado de las TI y mejore la - Diseñar y aplicar un plan de
seguridad de la información. capacitación y sensibilización en
cuanto a TI, y vigilar las acciones
-Encabezar programas de de los usuarios para detectar
capacitación y sensibilización para posibles comportamientos riesgosos
el personal de la organización, a fin que puedan afectar a la
de promover una cultura adecuada organización.
en el uso de las TI.

- Supervisar el cumplimiento de las

políticas y buenas prácticas
establecidas en la cultura
organizacional, con especial
atención en la gestión de riesgos y
el uso de las TI.
Personas, habilidades - Evaluar las competencias y - Establecer un enfoque
destrezas del personal en relación a estructurado en la definición de
y competencias.
la gestión de TI y la gestión de actividades para garantizar la
riesgos. ubicación adecuada del personal, su
capacidad, conocimiento y
-Diseñar y liderar un plan de habilidades. Esto se hace con el fin
fortalecimiento para el personal de de contribuir al logro de los
la organización, con un enfoque objetivos empresariales.
específico en la gestión de TI y su
contribución para lograr los -Planificar programas de formación
objetivos de la organización. y capacitación con el objetivo de
mejorar los resultados, aumentar la
- Supervisar el progreso del confianza en el uso de las
personal y asegurar que las tecnologías de la información y
capacitaciones se estén llevando a lograr un uso óptimo de los
cabo de manera efectiva, y que se recursos disponibles.
estén logrando mejoras en la
gestión de TI. En caso de ser
necesario, tomar medidas
proactivas para asegurar que la
formación se adapte a las
necesidades de la organización.
Servicios, - Realizar una evaluación de los - Asegurar que los servicios y
servicios, infraestructura y niveles de servicio de TI cumplan
infraestructura y
aplicaciones existentes en la con las necesidades de la
aplicaciones
 organización, con el objetivo de organización y sus clientes,
establecer una estrategia que evaluando y supervisando
permita una mejor administración y continuamente su desempeño.
uso de las TI.
- Encargarse de la correcta -Desarrollar aplicaciones y
implementación de las TI para soluciones que cumplan con los
ofrecer soporte a los servicios y requerimientos de la organización,
aplicaciones que son fundamentales utilizando las TI de manera
para la organización. adecuada y evaluando los riesgos
- Supervisar de forma continua la correspondientes.
implementación y administración
adecuada de los recursos TI para
mejorar los servicios y aplicaciones,
y optimizar la infraestructura de la
organización.

2. El grupo debe argumentar qué acciones son necesarias

dentro la Gobernanza TI asociada a la seguridad informática y
alineada con el gobierno corporativo de la financiera
CORPTBANK, para planificar y efectuar las siguientes
actividades propias del modelo de la ISO 38500 de forma
óptima y continua:
• Evaluación del uso actual y futuro de las TI.
1. Crear un departamento de Tecnología de la Información (TI)
con la capacitación y experiencia adecuadas para desarrollar un
plan que supervise y monitoree las prácticas actuales de
tecnología de la información. El objetivo es identificar y corregir
las prácticas inadecuadas que los usuarios de la organización
puedan estar realizando, lo que podría representar un riesgo
para la seguridad de la información.
2. Revisar y establecer un registro de los dispositivos tecnológicos
y recursos informáticos que se encuentran disponibles en la
organización, así como identificar los objetivos y alcances
previstos para su implementación. En resumen, se busca
conocer con claridad qué tecnologías están disponibles y qué
actividades se pueden realizar con ellas.
3. Es necesario crear normas y directrices precisas para el manejo
de las Tecnologías de la Información (TI) y asegurar que estas
sean conocidas por todos los empleados de la empresa.
También es fundamental establecer los límites, funciones y
autorizaciones que los usuarios pueden tener en el uso de las
TI.
• Preparación y la ejecución directa de planes y políticas para
garantizar que el uso de las TI cumplen los objetivos de
negocio.
 1. Es esencial elaborar un plan de trabajo gradual para llevar a
cabo los cambios e implantar las políticas de manera
progresiva, sin generar efectos negativos ni interferir con las
operaciones de la organización. El objetivo es mejorar el uso de
las TI y minimizar los riesgos futuros.
2. Es esencial establecer las responsabilidades individuales y de
los equipos involucrados en la transición de procesos, lo que
permitirá que la implementación de las políticas se lleve a cabo
sin contratiempos ni afectaciones en la operatividad de la
organización. Esto está estrechamente relacionado con la
definición de un plan de trabajo progresivo que permita la
ejecución de los cambios de manera escalonada y sin generar
un impacto negativo.
3. Es fundamental establecer directrices normativas que sirvan
como referencia para adaptar los procesos a las necesidades y
objetivos del negocio. En este sentido, la adopción de
estándares como la ISO 27001 resulta relevante para contar
con una guía que facilite la adaptación de los procesos y la
consecución de los objetivos.
• Controlar la conformidad con las políticas de la organización
con las obligaciones externas.

1. Una vez implementadas las políticas y procesos, es importante

realizar evaluaciones periódicas para asegurar su correcta
adopción y verificar que estén cumpliendo con los objetivos de
la organización. Estas evaluaciones pueden ser medidas a
través del desempeño y operatividad de la organización con el
objetivo de mejorar el uso de las TI y minimizar riesgos.
2. Es importante seguir definiendo o actualizando las políticas y
controles establecidos en función de los nuevos desafíos o
requerimientos que surjan, con el objetivo de mejorar los
procesos y el uso de las tecnologías de la información para
lograr los objetivos de la organización.
3. Es necesario establecer planes de contingencia en caso de que
las estrategias implementadas en etapas anteriores no hayan
sido exitosas o no hayan tenido el efecto positivo deseado.