UNIVERSIDAD POLITCNICA DE MADRID

FACULTAD DE INFORMTICA

Marco de Gobernanza de TI para empresas PyMEs - SMEsITGF

TESIS DOCTORAL

AUTOR: Helena Garbarino Alberti

DIRECTORES:

Dr. Jos Domingo Carrillo Verdn Dr. Ricardo Colomo Palacios

Madrid, 2014

Tesis Doctoral

Marco de Gobernanza de TI para empresas

PyMEs SMEsITGF

DEPARTAMENTO DE LENGUAJES Y SISTEMAS INFORMTICOS E

INGENIERA DEL SOFTWARE

Presentado en la

FACULTAD DE INFORMTICA

De la

UNIVERSIDAD POLITCNICA DE MADRID

Para la obtencin del

GRADO DE DOCTOR EN INFORMTICA

AUTORA: DA. HELENA GARBARINO

DIRECTORES: DR. D. JOS CARRILLO VERDN

DR. D. RICARDO COLOMO PALACIOS

Madrid, Julio de 2014

ii

TRIBUNAL

PRESIDENTE: ANTONIO AMESCUA

SECRETARIO: EDMUNDO TOVAR

VOCALES: CARLOS JUIZ, ANDRS SILVA, ANTONIO FERNNDEZ

iii

A MI MADRE SUSANA, A LA MEMORIA DE MIS PADRES AMRICO DEP Y SALO ZL,

A MIS HIJAS RAQUEL Y ALEJANDRA Y A TI, MI AMADO DANIEL.

GRACIAS!

iv

AGRADECIMIENTOS He transitado un largo camino desde que comenc a soar con esta tesis, un

camino que se remonta ms all del comienzo oficial en este programa de

doctorado. Durante este lapso no han sido pocas las personas que han contribuido

de una forma u otra para alcanzar la meta, a las que agradec y a aquellas que no

tuve la oportunidad, gracias!

En primer lugar quiero agradecer a mis estimados directores Dr. Jos

Carrillo Verdn y Dr. Ricardo Colomo Palacios, muchas gracias por sus enseanzas,

su apoyo, su generosidad y su calidad humana, por sus invalorables consejos y su

dedicacin.

Quiero agradecer a la Universidad ORT por invitarme a participar de este

programa de doctorado, al Ing. Mario Fernndez por ofrecerme sus conocimientos

en el rea, sus consejos y el haberme alentado en cada una de las etapas de esta

investigacin. Asimismo a la Dra. Patricia Corbo, por impulsarme y facilitarme los

caminos para concluir este proyecto. Al Ing. Julio Fernndez por su apoyo y por

permitirme considerarlo mi mentor. Tambin quiero agradecer a mis compaeros

docentes, quienes estuvieron siempre dispuestos a colaborar en mis ausencias.

Gracias a Nora y a Tato, quienes me impulsaron y me inspiraron en este largo

camino.

Quiero resaltar y agradecer al laboratorio de especialidades farmacuticas,

quienes me han brindado todo su apoyo en la implantacin del marco de

gobernanza en su empresa. A Lilin, Jos y Enrique quienes estuvieron siempre

dispuestos y presentes. A todo el equipo que particip del proyecto: gracias!

Finalmente quiero agradecer desde lo ms profundo de mi corazn a mi

familia. Muchas gracias por su apoyo y por su amor, por esperarme y ser

generosos. A mi madre quien me ense a ser la persona que soy, gracias por el

esfuerzo y el amor de toda una vida. A mis hijas Raquel y Alejandra, son mi razn

de vivir, sin ellas nada tendra sentido. A Diego y a Pablo, mis hijos del corazn.

Un prrafo muy especial es para mi esposo Daniel, no podra haber soado

con este proyecto sin su apoyo. Este ha sido un largo viaje que comenzamos juntos

y los logros conseguidos son de los dos, cada captulo de esta tesis no podra haber

sido escrito si t no hubieras estado all, siempre presente, siempre dando lo

mejor. Gracias! todo mi amor es para ti.

Helena Garbarino Montevideo, Julio 2014

v

RECONOCIMIENTOS

El desarrollo de este trabajo ha sido posible gracias al apoyo de las siguientes

instituciones:

- Universidad ORT Uruguay - Facultad de Ingeniera

- Universidad Politcnica de Madrid, dentro del marco del programa de

doctorado conjunto (ORT-UPM)

- Programa de Desarrollo Tecnolgico de la Repblica Oriental del Uruguay

- Fondo de beca UPM-Banco Santander.

vi

RESUMEN La tecnologa de la informacin y su utilizacin en las empresas ha sido y es un

elemento de debate ya que las organizaciones cuentan con grandes xitos y

grandes fracasos. Gran parte de estos ltimos asociados a una falta de visin

estratgica integral en relacin a la utilizacin de TI en la organizacin lo que ha

dado lugar al rea del conocimiento llamada Gobernanza de TI y a la publicacin de

numerosos marcos y estndares.

Un campo sensible y econmicamente muy importante tanto para Uruguay como a

nivel mundial son las empresas medianas y pequeas (PyMEs), las que no logran

aplicar de manera efectiva los marcos y estndares, es por esta razn que el

objetivo final de esta tesis es el de construir un marco que permita a las PyMEs

incorporar un marco efectivo para gobernar y gestionar TI adecuadamente

obteniendo el valor esperado de las inversiones realizadas.

Para alcanzar este objetivo general se ha realizado un estudio de campo que

permita conocer la situacin de la gobernanza y la gestin de TI en PyMEs del

Uruguay; a partir de este estudio se pudo analizar cules son los factores ms

significativos que no permiten la correcta aplicacin de buenas prcticas de

gobernanza de TI en stas empresas.

Los resultados encontrados llevaron a la construccin de un marco de gobernanza

de TI con foco en PyMEs, a la definicin de un modelo de madurez asociado al

marco y a una gua de implantacin. En el marco de gobernanza propuesto,

compatible con el estndar ISO/IEC 38500:2008, se han fortalecido los procesos

que, por las caractersticas propias de las PyMEs presentan debilidades

estructurales y se han reducido o eliminado aquellos que por las mismas razones

no son aplicables a este tipo de organizacin. Finalmente se validaron los

resultados en un entorno empresarial definiendo un estudio de caso.

Los resultados obtenidos con una mejora porcentual consolidada del 46% en el

conjunto de indicadores definidos llevan a considerar que la aplicacin del marco

fue exitosa. Por ser un estudio de caso nico, los resultados no deben ser

generalizados y una oportunidad de trabajo futuro es replicar el mismo estudio en

otras empresas.

vii

ABSTRACT Information technology (IT) and its use in the enterprise context is a discussion

element because organizations have numerous successes and failures using it.

Most of the IT failed projects have a lack of integral strategic vision in relation with

IT use in the organization. This fact has resulted in the IT Governance (ITG) area of

knowledge. A large number of standards and frameworks have been published in

relation with it.

Small and medium enterprises (SMEs) are an important and sensible field in all

economies around the world, particularly in Uruguay, an underdeveloped country

of South America. Commonly, SMEs cannot apply successfully ITG frameworks

because of the intrinsic complexity or because a lack of knowledge and culture

respect this field, so the objective of this thesis is build a framework that allows

SMEs to incorporate an effective framework to govern and manage IT properly,

helping enterprises get the expected value of its IT investments.

In a first place, has been conducted a field study to know the quality of actual

practices relatively to the ITG and IG management in Uruguayan SMEs. With the

obtained results in the study we can make a diagnostic of the most significant

factors that prevent the proper application of good IT governance practices in

these companies.

The obtained results were the inputs to the definition of a IT governance

framework with focus in SMEs, a maturity model associated with it and a

implementation guide. The proposed framework is ISO/IEC 38500 standard

compatible always with an SME vision so, sensible and weak processes have been

strengthened and other ones have been eliminated because have no application in

these type of organization.

Finally the results were validated in a business environment by defining a case

study.

The results obtained with a consolidated percentage improvement of 46% in the

defined set of indicators suggest that the implementation of the framework was

successful. As a single case study, the results should not be generalized and an

opportunity for future work is to replicate the same study in other companies.

viii

GLOSARIO

Trmino Definicin

Acreditacin Declaracin formal por una autoridad designada de aprobacin de que un sistema est aprobado para operar en un modo particular de seguridad utilizando un conjunto prescrito de salvaguardas.

Activo Cualquier cosa que tenga valor para la organizacin.

Amenaza Capacidades, intenciones y mtodos de ataque de los adversarios para aprovecharse, o cualquier circunstancia o evento con el potencial para causar dao a la informacin o al sistema.

Anlisis de Riesgos Proceso de identificar los riesgos de seguridad, determinar su magnitud e identificar las reas que necesitan salvaguardas.

Argumento de Aseguramiento

Conjunto de demandas estructuradas de aseguramiento, soportados por la evidencia y el razonamiento, que demuestran claramente cmo se han satisfecho las necesidades de seguridad.

Aseguramiento Grado de confianza de que las necesidades de conformidad de la informacin con leyes, normas, controles y objetivos tanto internos como externos se satisfacen.

Autenticidad Prop