El documento trata sobre marcos de gobierno de tecnologías de la información. Explica varios marcos como COBIT, ITIL, ISO 27000 y 9000. COBIT se enfoca en alinear TI con los objetivos del negocio mediante procesos de gobierno y gestión. ITIL provee un marco para la gestión de servicios de TI a lo largo de su ciclo de vida. ISO 27000 y 9000 establecen estándares para la gestión de seguridad de la información y calidad respectivamente.

1. INSTITUTO TECNOLÓGICO SUPERIOR DE LA MONTAÑA
INGENIERÍA INFORMÁTICA
ASIGNATURA:
FUNDAMENTOS DE GESTION DE SERVICIOS DE TI
REPORTE DE INVESTIGACION UNIDAD III
Marco de gobierno de tecnologías de la información
DOCENTE: Ing. Freddy Ramírez Villalobos
INTEGRANTES:
Eufemia Martínez Martínez
María Fernanda Hernández Romero

2. 2
INTRODUCCION
En este reporte se aborda todo el contenido de marco de gobierno de tecnologías de la información.
El Gobierno de TI es una organización basada en TI ya que es esencial para el desarrollo en el cual maneja una pirámide donde ubicamos los diferentes rangos o categorías, esta se divide conforme a los mandos del personal de una dirección, el propósito es el liderazgo, estructurar organizar y hacer que los procesos e garanticen que una organización de TI, genere un soporte y extienda las estrategias y objetivos del negocio.
El gobierno de TI hace constante el uso de herramientas ya que se considera importante y esencial para una buena organización y tener una buena empresa la cual genere valor.

3. 3
MARCO DE GOBIERNO DE TECNOLOGIAS EN LA INFORMACION
El Gobierno de las TI es una parte integral del Gobierno Corporativo, e implica alinear los procesos y recursos de TI con los objetivos de la
Organización. Este punto, que resulta sencillo de incluir en cualquier definición de objetivos, es el auténtico núcleo de una estrategia de TI con éxito…. porque no se debe olvidar que
el sentido y la razón de ser de las TI en la mayoría de las empresas es aportar valor al negocio de la compañía, y no solo darle soporte.
¿Qué es el Gobierno de TI?
El Gobierno TI es un conjunto de procedimientos, estructuras y comportamientos utilizados para dirigir y controlar la organización hacía el logro de sus objetivos.
COBIT® (Control Objectives for Information and Related Technology) es un marco de referencia para Gobierno de TI. Este marco permite conectar los riesgos del negocio con las necesidades de control.
Los objetivos del gobierno corporativo son:
• Proveer dirección estratégica
• Asegurar que los objetivos son logrados
• Establecer una adecuada administración de riesgos

4. 4
Verificar que los recursos de la empresa son utilizados responsablemente El gobierno de TI es parte integral del gobierno corporativo.
Beneficios de implementar una solución de Gobierno de TI en su organización.
 Definir y alcanzar resultados medibles, por medio de los objetivos de control de COBIT
 Adoptar buenas prácticas aceptadas internacionalmente
 Estar orientado a la administración y soportado por herramientas y entrenamiento
 Implementar la mejora continua
 Alinear la organización con los principales estándares de la industria
La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales, públicos y de negocios.
Como resultado, hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:
• Mantener información de alta calidad para soportar las decisiones del negocio.
• Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas estratégicas y generando beneficios al negocio a través de un uso de las TI eficaz e innovador.
• Alcanzar la excelencia operativa a través de una aplicación de la tecnología fiable y eficiente.
• Mantener los riesgos relacionados con TI en un nivel aceptable
• Optimizar el coste de los servicios y tecnologías de TI
• Cumplir con las constantemente crecientes leyes, regulaciones, acuerdos contractuales y políticas aplicables.
Existen múltiples marcos de gobierno TI

5. 5
COBIT (Control Objectives for Information and related Technology de ISACA)
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.

6. 6
Principios de COBIT 5 para el gobierno y la gestión de las TI empresariales:
Principio 1. Satisfacer las Necesidades de las Partes Interesadas—Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos.
COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicos.
Principio 1
Principio 2: Cubrir la Empresa Extremo a Extremo—COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:

7. 7
– Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa.
– Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.
Principio 2
Principio 3: Aplicar un Marco de Referencia único integrado—Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la empresa.

8. 8
Principio 3
Principio 4: Hacer Posible un Enfoque Holístico: Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjunto de catalizadores para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa.
Principio 4
Principio 5: Separar el Gobierno de la Gestión: El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión.

9. 9
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de gestión de la TI empresarial en dos dominios diferentes de procesos:
Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de evaluación, orientación y supervisión (EDM).
.
• Gestión: Contiene cuatro dominios, en consonancia con las áreas de responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and Monitor - PBRM), y proporciona cobertura extremo a extremo de las TI. Estos dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1. Los nombres de estos dominios han sido elegidos de acuerdo a estas designaciones de áreas principales, pero contienen más verbos para describirlos:
– Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
– Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
– Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
– Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Principio 5

10. 10
Biblioteca de Infraestructura de Tecnologías de Información, abreviada ITIL (del inglés Information Technology Infrastructure Library).
En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "ciclo de vida del servicio" separando y ampliando algunos subprocesos hasta convertirlos en procesos especializados. Esta modificación responde a un enfoque empresarial para grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a consolidar el modelo para conseguir aún mejores resultados. Es por ello que los especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si no cuentan con un modelo ITIL consolidado y aspiran a una expansión a muy largo plazo.
ITIL v3 consta de 5 libros basados en el ciclo de vida del servicio:
1. Estrategia del Servicio
Se enfoca en el estudio de mercado y posibilidades mediante la búsqueda de servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta en marcha. Así mismo se analizan posibles mejoras para servicios ya existentes. Se verifican los contratos con base en las nuevas ofertas de proveedores antiguos y
posibles nuevos proveedores, lo que incluye la renovación o revocación de los contratos vigentes.
2. Diseño del Servicio
Una vez identificado un posible servicio el siguiente paso consiste en analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible, capacitación del personal y se planifican aspectos como seguridad y prevención ante desastres. Para la puesta en marcha se toman en consideración la reasignación de cargos (contratación, despidos, ascensos, jubilaciones, etc), la infraestructura y software a implementar.

11. 11
3. Transición del Servicio
Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza la información disponible acerca del nivel real de capacitación de los usuarios, estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara un escenario para realizar pruebas; se replican las bases de datos, se preparan planes de roll back (reversión) y se realizan las pruebas. Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados, de los cuales dependerá la implementación del servicio. En la evaluación se comparan las expectativas con los resultados reales.
4. Operación del Servicio
En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y accesos al servicio.
5. Mejora Continua del Servicio
Se utilizan herramientas de medición y feedback para documentar la información referente al funcionamiento del servicio, los resultados obtenidos, problemas ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e investigación referentes al servicio y disponer de la información al resto de los usuarios.
ISO 27000
Marco de referencia para la gestión de la seguridad de la información cuidando la disponibilidad, la integridad y la confiabilidad.
ISO 27000 es un conjunto de estándares desarrollados o en fase de desarrollo por ISO
International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información (SGSI). Se basa en un ciclo de vida PDCA de mejora continua, al igual que

12. 12
otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).
ISO 17799 / ISO 27000
 proporciona información sobre la forma de garantizar la seguridad de la información.  describe un marco de gestión que se aplicará.
 requiere para establecer el enfoque de una organización para la gestión de riesgos de seguridad de información.
ISO/IEC 17799
Denominada también como ISO 27002; es un estándar para la seguridad de la información. ISO/IEC 17799 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)”.

13. 13
Tres elementos en la gestión del riesgo como se mencionan en la norma ISO 17799 / ISO 27000 media:
1. Identificación de Riesgos y Evaluación : ISO 17799 / BS 7799 requieren para justificar la idoneidad del enfoque de evaluación, las herramientas y las técnicas elegidas. Los siguientes datos de evaluación de riesgos deben documentarse: - la valoración de los activos - la identificación de los riesgos (amenazas y vulnerabilidades) - evaluación de la probabilidad y las consecuencias de los riesgos que se producen - cálculo del riesgo.
2. Riesgo plan de tratamiento : El plan de tratamiento de riesgos coordina los tratamientos para reducir los riesgos e implementar los controles necesarios para proteger la información.Esto demuestra la decisión de aceptar un riesgo, transferirlo o reduce su probabilidad o consecuencia. Además, el plan de tratamiento del riesgo proporcionará información sobre los métodos de tratamiento del riesgo como seleccionado, se proponen (que son en su lugar y que) los controles y el calendario de aplicación de los tratamientos y controles.
3. Tratamiento del riesgo : El tratamiento del riesgo es el paso para poner en práctica todos los tratamientos y los controles establecidos en el plan de tratamiento de riesgos

14. 14
ISO 9000
Las normas de administración de la calidad se refieren a tres grandes componentes: el cliente, el producto, y la organización. Hay varios modelos para obtener calidad y excelencia en organizaciones y empresas, y muchos países han adoptado sus propios modelos. Uno de los modelos de calidad de uso más extendido y adaptable es la serie de norma ISO 9000.
“ISO 9000 representa un consenso internacional sobre buenas prácticas de administración cuyo propósito es asegurar que la organización pueda entregar, de manera repetida y sistemática, productos o servicios que satisfacen los requisitos de calidad del cliente.
Estas buenas prácticas se han reunido en un conjunto de requisitos para un sistema de administración de la calidad, sin importar lo que hace su organización, su tamaño o si pertenece al sector público o privado.
La familia de normas ISO 9000 se basa en principios fundamentales de administración de la calidad. Un principio de administración de la calidad es una regla u opinión de gran
alcance y esencial para dirigir y operar una organización, cuyo objeto es mejorar continuamente el desempeño y el valor a largo plazo centrándose en el cliente y en las partes interesadas y, al mismo tiempo, atendiendo las necesidades de todos los demás actores.
Principios de administración de la calidad • Enfoque en el cliente (parte interesada).
• Liderazgo.
• Participación de la gente.
• Enfoque en los procesos.
• Enfoque sistémico frente a la administración.
• Mejoramiento continuo.
• Enfoque empírico frente a la toma de decisiones.
• Relaciones de beneficio mutuo entre proveedores.

15. 15
Al aplicar la ISO 9000 a los gobiernos se debe esperar que los resultados incluyan: o Mejor servicio a los ciudadanos. o Administración más transparente del municipio. o Costos de servicio más bajos mediante una operación eficiente. o Sistemas de comunicación y manejo de la información más sólidos. o Una organización revigorizada. o Más medidas centradas en el ciudadano.
Beneficios del ISO 9000
Implementar un sistema de calidad es una tarea difícil para cualquier compañía. Incluso para aquellas que practica la Administración de la Calidad Total, la implementación de un sistema ISO 9000 puede tomar muchos meses.
Hay dos tipos de beneficios, dependiendo parcialmente de cómo se aplica la norma. En ocasiones las plantas implementan ISO 9000 por razones contractuales (un cliente pone la condición del ISO 9000 en su contrato). Esto obliga a la compañía a certificarse en ISO 9000. Otras compañías adoptan la norma ISO 9000 por razones por razones no – contractuales (simplemente como un modelo para un sistema ideal de calidad).
Componentes del ISO 9000
La norma ISO 9000 es un conjunto de reglas de sentido común relativas al sistema de calidad. No aplica a productos o servicios específicos, esto es, no esta de hecho orientada a los resultados (productos y/o servicios). En lugar de ello, la norma ISO 9000 gobierna al sistema que la compañía usa para controlar y asegurar la calidad.
El ISO 9000 puede ser implementado por dos razones básicas: Contractuales y no – contractuales.
Hay tres “partes” publicadas del ISO 9000 para cubrir tales aplicaciones contractuales.

16. 16
ISO 9001 es la parte más completa. Esta se refiere a compañías cuyo proceso es cubre el diseño/desarrollo de productos, la producción, la instalación y el servicio por contrato. El ISO 9001 incluye 20 secciones que describen varios elementos del sistema de calidad.
El alcance del ISO 9002 es más limitado. Este se refiere a compañía que hacen productos en que las actividades de diseño y servicio no están incluidas. El ISO 9002 incluye a 18 de las 20 secciones del ISO 9001; la redacción de estas secciones es prácticamente idéntica.
ISO 9003 es la parte más limitada de la norma. Se aplica a compañía que solo realizan funciones de inspección final y pruebas. El ISO 9003 incluyo a 12 de las 20 secciones del ISO 9001.
Val IT
Val IT es un marco de gobierno que consiste en un conjunto de guias de principios, y una serie de procesos conforme a esos principios que se definen como un conjunto de prácticas clave de gestión.
El objetivo del Val IT es ayudar a asegurar que las organizaciones consigan valor de las inversiones en TI, con un costo adecuado y un aceptable nivel de riesgo. Esta propuesta

17. 17
del ITGI proporciona guías, procesos y prácticas de soporte para ayudar a la dirección a comprender y llevar a cabo las inversiones en TI.
Val IT ayuda a las organizaciones a:
 Incrementar la comprensión y transparencia de los costos, riesgos y beneficios, dando lugar a una gestión mucho mejor informada.
 Incrementar la probabilidad de seleccionar las inversiones que tienen potencial de generar un mayor retorno.
 Incrementar la probabilidad de éxito al ejecutar las inversiones.
 Reducir el costo por no hacer cosas que deben ser realizadas, y tomar acciones correctivas al respecto.
 Reducir el riesgo de falla y “sorpresas” en los costos y las entregas.
La relación entre Val IT y COBIT se refleja de la siguiente manera:
 Val IT soporta los objetivos de negocio logrando un valor óptimo en las inversiones en TI, dentro de un costo adecuado y con un aceptable nivel de riesgo.
 Guiado por un conjunto de principios aplicados en el proceso de gestión del valor.
 Que son posibles por las prácticas clave de control con referencias a COBIT que son medidas por métricas de desempeño y resultado.

18. 18
El Marco Val IT
Existen un conjunto de términos que se emplean dentro del marco del Val IT :
o Valor. Resultado final del negocio después de una inversión en TI, donde el resultado pueden ser financiero, no financiero o una combinación de ambos.
o Cartera. Una agrupación de programas, proyectos, servicios o recursos seleccionados para optimizar el retorno de negocio.
o Programa. Un grupo estructurado de proyectos interdependientes que son necesarios y suficientes para lograr resultado comercial y entregar valor. Estos proyectos incluyen: cambios en la naturaleza del negocio, procesos comerciales, el trabajo realizado por las personas, así como las competencias requeridas para llevar a cabo el trabajo, habilitando tecnología y estructura organizacional. El programa de inversión es la unidad primaria de inversión dentro de Val IT.
o Proyecto. Un conjunto estructurado de actividades relacionadas para entregar a la empresa una capacidad definida (eso es necesario pero NO suficiente para lograr un resultado comercial requerido) basada en un plan acordado y presupuestado.
Procesos y Prácticas de Gestión
Las prácticas de gestión son características de los procesos con éxito. Cada empresa necesita considerar sus propias políticas, tolerancia al riesgo y el entorno antes de seleccionar las prácticas de gestión que mejor se aplican a la empresa. Las prácticas de gestión clave vienen proporcionadas por los siguientes tres procesos:

19. 19
1. Gobierno de Valor (VG, Value Governance), formado por 11 prácticas de gestión que comprenden:
 Establecer el gobierno, seguimiento y control.
 Proporcionar dirección estratégica a las inversiones.
 Definir las características de la cartera de inversiones.
2. Gestión de Cartera (PM, Portfolio Management), formado por 14 prácticas de dirección que engloban:
o Identificar y mantener los perfiles de los recursos. o Definir los márgenes de la inversión. o Evaluar, priorizar y seleccionar, aplazar o rechazar las inversiones. o Dirigir la cartera global.
o Monitorear e informar el desarrollo de la cartera.
3. Gestión de Inversión (IM, Investment Management), formado por 15 prácticas de dirección que cubren:
o Identificar los requisitos de negocio.
o Desarrollar una clara comprensión de los programas de inversión candidatos. o Analizar las alternativas.
o Definir y documentar un caso de negocio detallado, incluyendo el detalle de los beneficios.
o Asignar claramente las responsabilidades. o Gestionar el programa a través de su ciclo de vida económico completo.
o Monitorear e informar el desarrollo del programa.

20. 20
Fundamentos para la generación de estrategias de TI.
La Estrategia del servicio define directrices para el diseño, desarrollo e implementación de la Gestión de Servicio como un recurso estratégico.
La Estrategia del servicio es fundamental en el
contexto de los procesos que se realizan en las otras fases del Ciclo de Vida del Servicio en ITIL (Diseño del Servicio, Transición del Servicio, Operación del Servicio y Mejora Continua del Servicio).
¿Qué es la estrategia?
Procede del mundo militar, donde generalmente se define como la distribución y aplicación de recursos militares para cumplir los objetivos de un plan. En la Gestión del Servicio, la estrategia también debe mantener el vínculo entre políticas y tácticas.
El objetivo de la Estrategia del Servicio es identificar a la competencia y competir con ella diferenciándose de los demás y ofreciendo un mejor rendimiento.
ITIL menciona los siguientes elementos básicos para los proveedores de servicios:
 Enfoque de mercado: Saber dónde y cómo competir.
 Capacidades distintivas: Crear activos distintivos y rentables, que sean apreciados por el negocio.
 Estructura basada en el rendimiento: Posiciones organizativas factibles y medibles, como considerar que los servicios son un activo estratégico que se debe mejorar continuamente.
Las cuatro “P” de la estrategia (según Mintzberg, 1994)
Un proveedor de servicios que sepa cuáles son sus objetivos de servicio y comprenda los factores que diferencian sus productos está listo para iniciar el Ciclo de Vida del Servicio.
Perspectiva: Tener una visión y un enfoque claro.
Posición: Adoptar una postura bien definida.
Plan: Formarse una idea de cómo debe desarrollarse la organización.

21. 21
Patrón: Mantener la coherencia de decisiones y acciones.
Gobierno de tecnologías de la información.
¿Qué es Gobierno Corporativo?
Es un conjunto de responsabilidades y prácticas ejercidas por el directorio y gerentes para brindar dirección estratégica, asegurar el logro de los objetivos del negocio, la gestión adecuada de los riesgos y verificar la utilización de los recursos de manera responsable.
Según la Organización para la Cooperación y Desarrollo Económico, “La estructura del gobierno corporativo especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los accionistas y otros agentes económicos que mantengan algún interés en la empresa. El Gobierno Corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa, los medios para alcanzar estos objetivos, así como la forma de hacer un seguimiento a su desempeño”
• Con ello se espera evitar por ejemplo:
• Especulaciones del mercado de valores sobre todo en negocios basados en el uso efectivo de tecnología de la información.
• Fracasos de gestión de las políticas de información y comunicación, sentido de la responsabilidad y subestimación de posibles consecuencias.
• Faltas en la forma de decisión del directorio, comités y estructuras de control.
• La aprobación por parte del directorio de las estrategias corporativas de riesgo propuesto por los gerentes generales, sin ninguna objeción o crítica.

22. 22
Entonces ¿Qué significa Gobierno de la Tecnología de la Información?
Es la responsabilidad del directorio y gerentes como parte integral del Gobierno Corporativo, que consiste en brindar liderazgo, estructura organizacional y procesos, que garanticen que la Tecnología de la Información de la empresa, sostiene y extiende, las estrategias y objetivos del negocio.
Para iniciar el desarrollo de un buen gobierno de TI debe de cumplir con los siguientes puntos:
Contar con una visión compartida que indique claramente que no es un Proyecto (pese a tener que manejar ciertas partes del mismo como un proyecto), no es un esfuerzo temporal y tampoco tiene el objetivo de lograr una certificación. Viene a ser parte de la operación y debe formar parte de los esfuerzos de mejora continua, buscando un mayor nivel de madurez, validados por auditoria interna y/o por un ente externo con similar fin.
Utilizar un marco de referencia, el mas conocido es “Control Objetives for Information and related Technology” (CobiT), enfocado en el negocio, orientado a los procesos, basado en controles y medible. Los principales dominios son: Planear y Organizar, Adquirir e Implementar, Entregar y brindar Soporte, Monitorear y Evaluar.
La experiencia indica que el mejor camino es realizar un inventario de servicios corporativos de TI y análisis de riesgos de negocios provenientes del uso de la Tecnología de la Información que brinda soporte al mismo. Esto permitirá responder a las siguientes preguntas: ¿Cuánto debemos gastar en TI?, ¿Qué procesos de negocio deberían priorizar las inversiones de TI?, ¿Qué capacidades de TI necesita una organización de clase mundial?, ¿Cuan buenos son nuestros servicios de TI y que es lo que necesitamos realmente?, ¿Que riesgos de privacidad y seguridad aceptaremos?
La experiencia también indica que se debe incorporar a grupos de personas como: gerentes de negocios (gerente general, de finanzas, de TI, de Operaciones), ejecutivos de TI, líderes por cada unidad de negocio, dueños de procesos y sus

23. 23
delegados y usuarios finales clave en determinadas actividades. Para todos ellos, se debe establecer niveles de responsabilidad y decisión.
¿Se imaginan ustedes controlar 34 procesos de CobiT, asegurar gobernabilidad y alineación con los objetivos del negocio de manera manual?. El desarrollo de las buenas practicas de Gobierno de TI, necesariamente involucra el uso de una herramienta (software)diseñada específicamente para gestionar información relevante de CobiT.
Es imprescindible la participación de empresas de Consultoría para temas específicos, como lo referente a capacitación, procesos, herramientas, cultura empresarial, acompañamiento, entre otros.
Desarrollar Buen Gobierno de TI, tiene inicio y no tiene fin, la mejora continua es parte preponderante y es posible determinar el grado de madurez de los proceso involucrados.
Gobierno de la Tecnología características más relevantes:
Alineamiento estratégico: Las TI deben diseñarse desde el principio para apoyar y soportar la estrategia de la Organización, estableciendo prioridades que enlacen claramente los planes de TI con los objetivos estratégicos de la compañía (definidos en un Balance Scorecard o Cuadro de Mando Integral, por ejemplo), identificando responsabilidades y tareas.
• Entrega de valor: Se trata de ejecutar el plan estratégico definido anteriormente, validando y demostrando que TI está efectivamente ofreciendo beneficios a la organización (y no pensando en los mundos de yupi, como a veces sucede). También habla de la optimización de compras, pero aquí desde el punto de vista estratégico, es decir, no se trata sólo de que el gasto sea óptimo, sino de validar si éste gasto es el necesario, de forma razonada (ya hablaremos de ROI, mentiras y cintas de video) .
• Gestión de Recursos: Su objetivo es la definición y gestión eficiente de los recursos de TI, lo que suele incluir aplicaciones, información, infraestructuras y

24. 24
por supuesto, personas (las grandes olvidadas, que trataremos de rescatar en este blog). En este punto también se presta especial atención a algunos elementos clave, como la optimización del conocimiento y de las infraestructuras.
• Gestión de Riesgos: Las principales regulaciones obligan (legalmente) a la alta dirección a conocer el riesgo operativo al que se enfrenta la organización, y de aceptar el riesgo residual que se decidan (y afrontar las consecuencias de que éste se materialice). Este punto trata pues de la componente TIC del riesgo operativo y persigue asegurar que las TI cumplen tanto con las regulaciones y leyes aplicables como con las políticas internas vigentes.
• Medición del rendimiento: Trata de medir y conocer en todo momento el estado y grado de implementación de la estrategia o plan definido, de acuerdo a las cambiantes necesidades de la organización. Para ello se deben monitorizar de forma regular elementos como el estado de los proyectos, rendimiento de los procesos, uso de recursos y aspectos económicos o entrega del servicio (típicamente a través de la gestión del nivel de servicio y variables asociadas)… el CIO debe tener en la cabeza no sólo el planteamiento estratégico sino cual está siendo el cumplimiento del mismo en cada una de estas dimensiones, para poder responder de forma ágil a cambios en el negocio.

25. 25
CONCLUSION
En conclusión hacer uso del marco del gobierno de TI es un paso muy importante para todo aquel corporativo o empresa que desea maximizar sus beneficios y anticiparse al mercado.
Con la implementación del gobierno de TI no existen proyectos de tecnología aislados, sino por el contrario son proyectos del negocio con soporte de TI.
Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.
El gobierno de TI no es algo que podamos evitar, la evolución tecnológica y su apego en las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.

26. 26
REFERENCIAS BIBLIOGRAFICAS
ISACA (2012) Lanza el Marco de Referencia para el Buen Gobierno de COBIT 5. Recuperado de http://www.isaca.org/About-ISACA/Press-room/NewsReleases/Spanish/Pages/ISACA-Issues- COBIT-5-Governance-Framework-Spanish.aspx
ISACA (2012) Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa. Recuperado de http://www.isaca.org/COBIT/Documents/COBIT5-FrameworkSpanish.pdf
BITCompany (2012) Gobernando ITIL con CobiT. Recuperado de http://www.bitcompany.biz/gobierno-corporativo-de-it-itil-o-cobit/#.VG1MQPmG-b9
(2013)Fundamentos para la generación de estrategias de TI. Recuperado de http://fundamentotic.blogspot.mx/2013/10/31-fundamentos-para-la-generacion- de.html
ITIL (1990) Information Technology Infrastructure Library. Recuperado de http://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library#ITIL_v3
CobiT e ITIL(2007) Marco de trabajo. Recuperado de http://es.slideshare.net/rsoriano/cobit-itil- iso-27000-marcos-de-gobierno NOWECO (2007) Risk Management Software and ISO 17799 / ISO 27000.Recuperado de http://www.noweco.com/risk/riske13.htm
upan1 (2003) Normas Internacionales para la Calidad Gubernamental (5th G.F.).Recuperado de http://unpan1.un.org/intradoc/groups/public/documents/un/unpan012640.pdf