Download - Marco Gobierno TI sector publico

Transcript
Page 1: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 1/124

 

 

Marco de Gobierno TI para

el Sector Público

Andrés Pastor Bermúdez

www.CrisolTic.com  Julio 2010

Page 2: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 2/124

 

INDICE DE CONTENIDOS

Índice

Índice ................................................................................................................. i 

Índice de figuras ................................................................................................. i 

Índice de tablas .................................................................................................. i 

1  Gobierno TI ................................................................................................. 1 

1.1. Introducción. ............................................................................................... 2 

1.2. Definición. ................................................................................................... 5 

1.3. Gobierno TI vs Gestión TI. .......................................................................... 7 

1.4. Gobierno corporativo y Gobierno TI ........................................................... 7 

1.5. Mecanismos de Gobierno TI ....................................................................... 8 

1.5.1. Estructuras formales organizativas ...................................................... 9 

1.5.2. Sistema de gestión de procesos .......................................................... 9 

1.5.3. Mecanismos de integración ................................................................ 10 

1.5.4. Medición del rendimiento ................................................................... 10 

1.5.5. Gestión de recursos ........................................................................... 11 

2  Marcos de Referencia ............................................................................... 12 

2.1. Introducción. ............................................................................................. 13 

2.2. ISO 38500. ............................................................................................... 13 

2.2.1. Principios ........................................................................................... 14 

2.2.2. Modelo ............................................................................................... 15 

2.2.3. Relación principios-modelo de gobierno ............................................. 16 

Page 3: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 3/124

 

 Indice de contenidos

ii

2.2.4. Beneficios .......................................................................................... 19 

2.3. COBIT. ..................................................................................................... 19 

2.3.1. Áreas focales del Gobierno de TI. ...................................................... 22 

2.3.2. Orientación al negocio ....................................................................... 24 

2.3.3. Orientación a procesos ...................................................................... 27 

2.3.4. Basado en controles .......................................................................... 30 

Controles del negocio y controles de TI ................................................ 32 

Controles generales de TI y de aplicación ............................................ 33 

2.3.5. Medidas e Indicadores ....................................................................... 34 

Modelos de madurez ............................................................................ 34 

Medición del desempeño ...................................................................... 40 

2.3.6. El modelo del marco de trabajo de COBIT ......................................... 42 

2.4. PMBOK. ................................................................................................... 44 

2.4.1. ¿ Qué es un proyecto?. ...................................................................... 44 

2.4.2. Ciclo de vida y fases del proyecto ...................................................... 46 

2.4.3. Áreas de conocimiento ....................................................................... 48 

2.4.4. Despliegue de procesos en un proyecto ............................................ 51 

2.4.5. Proyectos y Gobierno TI ..................................................................... 54 

2.5. Buenas prácticas ITIL ............................................................................... 55 

2.5.1. Estructura ITIL ................................................................................... 55 

2.5.2. Módulos principales ITIL .................................................................... 60 

Soporte de Servicios ............................................................................. 60 

Prestación de Servicios ........................................................................ 63 

Page 4: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 4/124

 

 Indice de contenidos

iii

2.5.3. Gestión del SLA y seguridad en ITIL .................................................. 65 

3  Comparativa de modelos .......................................................................... 67 

3.1. Introducción. ............................................................................................. 68 

3.2. Cobit e Iso 38500 ..................................................................................... 68 

Responsabilidad ................................................................................... 69 

Estrategia ............................................................................................. 69 

Adquisición ........................................................................................... 70 

Desempeño .......................................................................................... 70 

Conformidad ......................................................................................... 70 

Comportamiento humano ...................................................................... 71 

Evaluar ................................................................................................. 72 

Dirigir .................................................................................................... 72 

Monitorizar ............................................................................................ 72 

3.3. Cobit y PMBOK ........................................................................................ 74 

3.4. Cobit e ITIL ............................................................................................... 78 

3.5. Cobit e ISO 17799 .................................................................................... 84 

4  Gobierno TI en el Sector Público ............................................................... 86 

4.1. Introducción. ............................................................................................. 87 

4.2. Definición del Sector Público .................................................................... 87 

4.3. Estructura General de un Ministerio. ......................................................... 89 

4.4. La Seguridad Social.................................................................................. 90 

4.4.1. Estructura .......................................................................................... 91 

4.4.2. Sistema de Gestión de la Calidad ...................................................... 93 

4.4.3. Cobit y el SGC de la GISS ................................................................. 94 

Page 5: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 5/124

 

 Indice de contenidos

iv

4.5. Diferencias con el Sector Privado. ............................................................ 96 

5  Propuesta de modelo de Gobierno para el Sector Público ........................ 99 

5.1. Introducción. ........................................................................................... 100 

5.2. Características del modelo ..................................................................... 100 

5.3. Elementos del Modelo ............................................................................ 101 

5.3.1. Concienciación de la alta dirección .................................................. 102 

5.3.2. Definición estructuras organizativas ................................................. 102 

Comité de estrategia TI ................................................................... 103 

Comités de impulso (Steering commitees) ...................................... 103 

Definición de responsabilidades ...................................................... 103 

Función TI ....................................................................................... 103 

5.3.3. Cuadro de mando integral para TI .................................................... 104 

5.3.4. Sistema de gestión de procesos (SGP) ............................................ 106 

Selección de procesos COBIT ......................................................... 107 

5.3.5. Gestión del rendimiento ................................................................... 108 

5.3.6. Soporte a las mejores prácticas de gestión ...................................... 109 

5.3.7. Estructura del modelo ...................................................................... 110 

5.3.8. Implantación del modelo .................................................................. 111 

Page 6: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 6/124

 

  Índice de figuras 

Índice de figuras

Ilustración 1. Evolución de las fuerzas fundamentales que afectan a lasorganizaciones. 2 

Ilustración 2. Modelo de Gobierno Iso38500 16 

Ilustración 3 – Áreas Focales del Gobierno de TI 22 

Ilustración 4 - Interrelaciones de los componentes de COBIT 23 

Ilustración 5 - Principio Básico de COBIT 24 

Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI 26 

Ilustración 7 - Administración de recursos para garantizar las metas de TI 27 

Ilustración 8 - Modelo de control 31 

Ilustración 9 - Representación gráfica de los modelos de madurez 35 

Ilustración 10 - Las tres dimensiones de la madurez 37 

Ilustración 11 – Admin., control, alineación y monitorización de COBIT 42 

Ilustración 12 - El cubo de COBIT 42 

Ilustración 13 - Marco general de trabajo de COBIT 43 

Ilustración 14. Factores que afectan a los proyectos 46 

Ilustración 15. Ciclo de vida de un proyecto 47 

Ilustración 16. Grupos de procesos de un proyecto 48 

Ilustración 17.Dimensiones temporal y funcional de un proyecto 51 

Ilustración 18.Despliegue de procesos en un proyecto 53 

Ilustración 19: De negocio a tecnología 55 

Ilustración 20: independencia entre departamentos 56 

Page 7: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 7/124

 

  Índice de figuras

ii

Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL 57 

Ilustración 22: Etapas de transformación ITIL 57 

Ilustración 23: Perspectiva global de ITIL 59 

Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional 60 

Ilustración 25: Área de responsabilidad de Soporte a Servicio 61 

Ilustración 26: Procesos dentro del Soporte a Servicios 61 

Ilustración 27: Área de responsabilidad de Prestación de Servicio 64 

Ilustración 28: Procesos dentro de la Prestación de Servicios 64 

Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK 77 

Ilustración 30. Correspondencia entre ITIL y COBIT 83 

Ilustración 31. Cobit vs. Iso 17799 85 

Ilustración 32. Sector Público vs. Sector privado 88 

Ilustración 33. Estructura General de un Ministerio 90 

Ilustración 34. Estructura de la Seguridad Social 91 

Ilustración 35. Estructura detallada del MTIN 92 

Ilustración 36. Estructura de la GISS 93 

Ilustración 37. Cobit Vs. SGC de la GISS 95 

Ilustración 38. Cuadro de mando Integral 105 

Ilustración 39. Cuadro de mando integral TI 106 

Ilustración 40. Procesos esenciales de COBIT 108 

Ilustración 41. Estructura del modelo de Gobierno TI 110 

Page 8: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 8/124

 

  Índice de Tablas 

Índice de tablasTabla 1. Ranking de estrategias del CIO del sector público ............................... 4 

Tabla 2. Ranking de expectativas de la alta dirección del sector público ........... 5 

Tabla 3. Gobierno corporativo y Gobierno TI ..................................................... 8 

Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI ............... 18 

Tabla 5. Responsabilidades del Negocio y de TI ............................................. 33 

Tabla 6. Modelos de madurez ......................................................................... 39 

Tabla 7. Relaciones COBIT-ISO 38500 ........................................................... 74 

Tabla 8. Mapa de Procesos y Subprocesos de la GISS .................................. 94 

Tabla 9. Diferencias Sector Público y Privado ................................................. 97 

Page 9: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 9/124

 

 

1 Gobierno TI

Page 10: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 10/124

 

GOBIERNO TI

2

1.1. Introducción.

En el pasado, las tecnologías de la información (TIC) eran exclusivamente una

herramienta empleada para mecanizar los procesos que se venían realizando hasta el

momento de forma manual, por lo que la alta dirección de la organización podía

delegar, ignorar o evitar las decisiones relativas a las TIC.

Hoy en día, el panorama es completamente distinto; En gran parte de las

organizaciones actuales, la información y las tecnologías que la soportan se han

convertido en piezas fundamentales para la sustentabilidad de la actividad de la

organización y garantía del crecimiento del negocio. Las TIC no son solo un factor de

supervivencia y prosperidad, sino una oportunidad para diferenciarse y obtener una

ventaja competitiva.

Según el informe Cómo sacarle provecho a la complejidad , realizado por IBM

tras entrevistarse con más de 1.500 CEOs de todo el mundo, la tecnología continúa

creciendo como uno de los factores que más importa a los directivos de las

organizaciones de todo el mundo.

Ilustración 1. Evolución de las fuerzas fundamentales que afectan a las organizaciones.

Es cierto que las TIC están al alcance de todas las organizaciones, por lo que

pudiera no considerarse un factor diferenciador, pero lo cierto es que el valor provienede que sepamos obtener el máximo provecho de estas tecnologías: solo aquellas

Page 11: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 11/124

 

GOBIERNO TI

3

organizaciones que realicen una gestión TI eficaz y gobiernen eficientemente sus

tecnologías de la información estarán en una posición de ventaja respecto a sus

competidores.

Por otra parte, esta dependencia significativa de las TIC implica que existe una

vulnerabilidad inherente en organizaciones con sistemas de información grandes y/o

complejos.

Por ejemplo, una indisponibilidad de los sistemas o de la red pueden

convertirse en un riesgo inasumible para una entidad financiera, no solo por las

pérdidas de ingresos durante el tiempo de la caída, sino también por el impacto en la

imagen corporativa y su repercusión en el mercado de valores.

Este riesgo inherente se ve agravado por amenazas informáticas externas,

errores, abusos, virus, cibercrimen, fraude electrónico, etc.

Por otra parte, las inversiones en tecnologías de la información suponen una

parte importante de los ingresos de las organizaciones. Según un informe de la

consultora Forrester Reseach (1), las empresas invierten entre un 1,5% y un 12,5% de

sus ingresos en actividades y recursos relacionados con las tecnologías de lainformación. Los consejos de administración reclaman obtener un valor claro  de estas

inversiones.

Adicionalmente, las organizaciones están sujetas a un mayor control financiero,

con lo que están obligadas a cumplir diferentes normativas en función del sector y del

país en el que desarrollen su actividad (Sarbanes-Oxley, HIPAA, Basel II, etc).

Este ambiente turbulento no le es ajeno a las administraciones públicas. Según

las investigaciones de la consultora Gartner (2), la administración pública va a seguir

enfrentándose en 2010 y en años sucesivos a una situación de recorte en los

Page 12: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 12/124

 

GOBIERNO TI

4

presupuestos y de los recursos, a la vez que se van a incrementar las exigencias

sobre los servicios prestados.

En este contexto, las prioridades del CIO1 del sector público se centran en las

actividades principales de negocio y en consolidar operaciones. Pero llama la atención

que, en el ranking de estrategias del CIO, aparece por segundo año consecutivo la

mejora del Gobierno TI en la organización . Esto demuestra la sensibilidad de los

directivos TI del sector público con aspectos que podríamos identificar con una mejor 

gestión de la función TI.

Tabla 1. Ranking de estrategias del CIO del sector público

Es cierto que, en la previsión que los CIOs realizan para el año 2013, la mejora del Gobierno TI pasaría a un discreto noveno puesto, pero esto puede explicarse como

que los CIOs entienden que para dicho año sus organizaciones habrán puesto en

1 CIO, Chief Information Officer, Directivo responsable de las TIC en una organización.

Page 13: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 13/124

 

GOBIERNO TI

5

marcha proyectos de mejora del Gobierno TI, pudiéndose centrar en otros aspectos de

la gestión aún no resueltos.

Sin embargo, si nos fijamos en las expectativas de la parte del negocio del

sector público, esto es, en los responsables de la gestión de los servicios públicos, no

aparece una mención explícita al Gobierno TI. Sin embargo, sí puede desprenderse de

esta lista que las TIC siguen jugando un papel clave en las operaciones principales y

en la productividad del sector público.

Tabla 2. Ranking de expectativas de la alta dirección del sector público

En cualquier caso y como veremos a lo largo de este estudio, los principales

obstáculos de la gobernabilidad TI de las organizaciones son, precisamente, la falta de

sensibilización o de conocimiento de la alta dirección con sus responsabilidades en el

gobierno TI y la confusión por parte de los CIOs y responsables de la función TI entre

Gestión de la TI y Gobierno TI .

1.2. Definición.

Las tecnologías de la información y su uso en las organizaciones han

experimentado una transformación radical durante las últimas décadas. Varios

académicos e instituciones han formulado teorías y mejores prácticas en este ámbito

del conocimiento, lo que ha dado lugar a una variedad de definiciones del término

Gobierno TI .

La Capacidad de la organización para controlar la formulación e

implementación de la estrategia en TI y guiarla en la dirección adecuada con el fin de

Page 14: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 14/124

 

GOBIERNO TI

6

obtener ventaja competitiva para la corporación. (Ministerio de Comercio e Industria

Inglés, 1999.)

El Gobierno TI es responsabilidad tanto de la dirección como de la 

administración ejecutiva y consiste en el liderazgo, la estructura de la organización y 

los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de 

la empresa. (IT Governance Institute, 2001).

Gobierno TI es la capacidad de la organización ejercida por su consejo de 

dirección, la dirección ejecutiva y la dirección de TI para controlar la formulación e 

implementación de su estrategia en TI y, de esta manera, asegurar la fusión de TI y 

negocio (Van Grembergen, 2002).

El proceso que asegura el uso eficiente y efectivo de las TIC en una 

organización de forma que esta alcance sus objetivos (Gartner).

El sistema mediante el cual se dirige y controla el uso actual y futuro de las 

tecnologías de la información (ISO/IEC 38500).

Especificación de las capacidades decisorias y el marco de rendición de 

cuentas para estimular las conductas más adecuadas en el uso de las tecnologías de 

la información (Peter Weill,, Jeanne Ross. 2004)

Aunque todas las definiciones anteriores presentan diferencias en algunos

aspectos, todas ellas comparten explícita o implícitamente algunas ideas que son la

base del Gobierno TI:

El Gobierno de las TI es parte integral del sistema de Gobierno de la

organización.Por esta razón, el Gobierno de las TI es responsabilidad de la alta

dirección de la organización (Consejo de dirección, dirección ejecutiva).

Debe focalizarse e los nexos de unión entre las actividades del negocio

y el uso de las TI (alineamiento TI-Negocio).

Se implementa apoyado en un sistema de procesos, estructuras y

responsabilidades, aunque no se centra en CóMO deben

implementarse dichos procesos sino en QUÉ es lo que deben

garantizar.

Page 15: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 15/124

 

GOBIERNO TI

7

Los objetivos del Gobierno TI deben expresarse en términos del

negocio, no de las tecnologías de la información.

Deben establecerse indicadores de rendimiento (eficacia y eficiencia)que representen el valor para el negocio.

En general, consideraremos la definición del ITGI (IT Governance Institute)

como la más completa y aceptada actualmente.

1.3. Gobierno TI vs Gestión TI.

Según la ISO/IEC 38500 la Gestión TI es El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la 

organización. Está sujeta a la guía y monitorización establecida mediante el gobierno 

corporativo .

De esta definición se desprende que la gestión TI se centra en la provisión

interna de productos y servicios TI, así como a la gestión de la operación de los

sistemas de información. El objeto del Gobierno TI es más amplio y se centra en

asegurar un adecuado rendimiento y la transformación necesaria de las TIC para

satisfacer las demandas internas del negocio y las demandas externas de los clientes

de la organización.

Esto no quita importancia a la Gestión TI ni lo convierte en algo sencillo. Sin

embargo, sí establece una diferencia fundamental: mientras que la gestión TI puede

ser susceptible de externalizarse, el Gobierno TI es una responsabilidad específica e

interna a la organización, por lo que no puede delegarse.

1.4. Gobierno corporativo y Gobierno TI

El Gobierno corporativo es el sistema por el que las entidades, públicas o

privadas, son dirigidas y controladas. La dependencia de las actividades del negocio

de las TIC es tan directa que los aspectos de Gobierno corporativo no pueden

desligarse de los del Gobierno TI.

Por ello, el Gobierno TI debe ser una parte integral del Gobierno corporativo y

es, por lo tanto, responsabilidad del consejo de dirección de la organización. En este

Page 16: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 16/124

 

GOBIERNO TI

8

sentido, es conveniente que el CIO forme parte de los órganos directivos de la

organización al más alto nivel.

En el fondo, se trata de que la dirección de la organización tenga los

mecanismos necesarios para responder a las siguientes preguntas:

Preguntas sobre el Gobierno

corporativo

Preguntas sobre el

Gobierno TI

¿Cómo pueden los accionistas

conseguir que la dirección de la

organización obtenga beneficios de su

aportación de capital?

¿Cómo puede la alta dirección

conseguir que su CIO y la

organización TI proporcionen

valor al negocio?

¿Cómo pueden los accionistas

asegurarse de que la dirección no se

apropie de su capital o lo invierta en

malos proyectos?

¿Cómo puede la alta dirección

conseguir que su CIO y la

organización TI no se apropien

del capital o lo inviertan en malos

negocios?

¿Cómo controlan los accionistas a la

dirección?

¿Cómo controla la alta dirección a

sus CIOs y a la organización TI?

Tabla 3. Gobierno corporativo y Gobierno TI

1.5. Mecanismos de Gobierno TI

Una vez aclarado el concepto de Gobierno TI y vista su relación con la Gestión

TI y con el Gobierno corporativo, vamos a identificar los mecanismos de Gobierno TI

más comunes.

Esta labor, determinar los mecanismos más adecuados de Gobierno TI, no es

una tarea sencilla. Los mecanismos que funcionan para unas organizaciones, no son

siempre efectivos para otras semejantes, lo que convierte a esta disciplina en un arte

más que en una ciencia.

Page 17: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 17/124

 

GOBIERNO TI

9

Sin embargo, sí se pueden determinar prácticas, procesos, estructuras y

mecanismos relacionales que pueden ayudar a establecer elementos globales de

Gobierno TI. A continuación, describiremos algunos de los más comunes.

1.5.1. Estructuras formales organizativas

El Gobierno TI debe estar apoyado en unas estructuras organizativas que

faciliten y soporten los objetivos perseguidos.

Por un lado, deben existir responsables nominales de las diferentes

tareas TI a todos los niveles de la organización y estos deben estar separados

del resto de funciones del negocio. Esto aplica tanto al máximo responsable dela función TI (CIO) como a los responsables de las tareas funcionales o

encargados de los procesos TI.

Por otro lado, deben articularse estructuras organizativas, fijas o

temporales, que permitan la relación entre la función TI y el negocio de forma

que ambos puedan alcanzar el objetivo conjunto de aportar valor a la

organización. Normalmente, estas estructuras se concretan en comités

ejecutivos o consultivos, equipos de trabajo, equipos de proyectos, etc.

1.5.2. Sistema de gestión de procesos

Las mejores prácticas conocidas recomiendan que las actividades de

cualquier organización se estructuren en una serie de procesos estables,

medibles que se establecen inicialmente y se revisan de manera periódica

permitiendo la mejora continua.

Adicionalmente, las organizaciones parten de unas mejores prácticasespecíficas para organizar sus procesos. En particular, en el ámbito de las TIC,

COBIT se conforma como un marco de referencia que permite, entre otras

cosas, identificar los procesos más aceptados así como establecer criterios de

control, indicadores de rendimiento y modelos de madurez, como se explicará

con detalle en el siguiente capítulo.

Page 18: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 18/124

 

GOBIERNO TI

10

1.5.3. Mecanismos de integración

Los mecanismos de integración facilitan la puesta en marcha de

relaciones de colaboración y la participación activa de ejecutivos de la

organización, responsables de TI y otros interesados (shareholders).

Normalmente, estos mecanismos se han establecido en las

organizaciones de manera informal. Actualmente, las organizaciones más

avanzadas han formalizado estas relaciones basadas en dos ideas:

Aprendizaje compartido: Se define como la co-creación de un

entendimiento mutuo de los objetivos entre miembros de la unidadde negocio y la de TI. La idea es que cuando los directivos de la

organización entienden la perspectiva del otro en la toma de

decisiones, pueden anticipar sus acciones y coordinarse de

manera adaptativa.

Diálogo estratégico: Implica explorar y debatir ideas en

profundidad antes de la toma de decisiones. Esto implica una

comunicación rica, no estructurada de los diferentes puntos de

vista de TI y del negocio. La intención es resolver las divergencias

de manera cooperativa. Cuando no se consigue, es necesario

utilizar mecanismos activos y pasivos de resolución de conflictos.

Los mecanismos activos de resolución de conflicto requieren la

confrontación y competición, mientras que los pasivos intentan

precisamente suavizar el conflicto con estrategias de evitación.

Estas técnicas son muy novedosas y, para que sean efectivas,

requieren un grado de madurez previo en las organizaciones.

1.5.4. Medición del rendimiento

Las medidas de rendimiento permiten conocer a la dirección de la

organización que los procesos TI están consiguiendo los requerimientos de

negocio. Esto se consigue por medio de una monitorización de los factores

habilitadores de dichos procesos.

La medición del rendimiento es tradicionalmente una actividad asociada a

la gestión de las TIC. Sin embargo, para que se pueda llegar a tener un

Page 19: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 19/124

 

GOBIERNO TI

11

Gobierno TI efectivo, es condición necesaria la medición de la actividad TI. La

diferencia principal entre ambas perspectivas es el nivel de agregación de los

datos y el objetivo principal perseguido: mientras la gestión TI se centra en losaspectos operacionales de la organización TI, el Gobierno TI se centra en

aquellos indicadores que afectan a la actividad del negocio.

Por lo tanto, es necesario medir para establecer un Gobierno TI. Como

indica Guldentops (3) realizar actividades de TI sin un mecanismo de medición

no es dirigir ni gobernar las TI, sino solo ―prácticar‖. 

1.5.5. Gestión de recursos

La gestión de recursos consiste en establecer e implementar las

capacidades necesarias en la organización para satisfacer las necesidades de

negocio. Este objetivo conlleva disponer de una infraestructura TI económica e

integrada dónde las nuevas tecnologías se introduzcan de manera juiciosa y los

sistemas obsoletos se reemplacen y/o actualicen adecuadamente y, para ello, es

necesario reconocer la importancia de las personas en la organización, además

del hardware y software.

Por este motivo, es necesario procurar formación al personal de forma

que mantengan al día sus competencias técnicas, así como establecer unas

adecuadas políticas de retención y motivación.

Page 20: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 20/124

 

 

2 Marcos de

Referencia

Page 21: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 21/124

 

MARCOS DE REFERENCIA

13

2.1. Introducción.

Existe una creciente preocupación en la alta dirección de las empresas acercade las actividades de la función TI. Como ya se ha comentado anteriormente, el papel

que juegan las TICs en las organizaciones es cada vez más vital, no solo para

mantener la competitividad, sino para garantizar las operaciones diarias.

Los consejos de administración de las empresas son conscientes de que una

parada en sus sistemas significa una pérdida inmediata de los ingresos de la

compañía, por no hablar de las consecuencias de la pérdida de imagen.

Asimismo, la dirección se ve en la necesidad de justificar el valor de las

importantes inversiones en las TICs, asegurar el cumplimiento normativo a la vez que

se minimizan los riesgos en un entorno sujeto a amenazas internas y externas.

Todos estos factores han propiciado la aparición de modelos, metodologías y

prácticas (ITIL, PMBOK, COBIT, etc), dirigidas a garantizar un mejor gobierno o un

rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas

han sido desarrolladas por la propia dirección de las áreas TI mientras que otras

externas tienen como propósito el control externo de las propias unidades TIC.

El propósito de este capítulo es describir las prácticas y metodologías más

comunes en el ámbito del gobierno TI

2.2. ISO 38500.

La ISO/IEC 38500:2008 (4) es la primera norma internacional que trata sobre el

concepto de Gobierno TI en las organizaciones. Esta norma, denominada ―Corporate governance of information technology ‖ fija los estándares para el buen gobierno de los

procesos y decisiones empresariales relacionadas con los sistemas y tecnologías de la

información.

Fue publicada en junio de 2008 en base a la norma australiana AS8015:2005 y

es la primera de una serie sobre normas de gobierno de TIC. Está alineada con los

principios de gobierno corporativo recogidos en el ―Informe Cadbury‖ y en los

―Principios de Gobierno Corporativo de la OCDE.‖ 

Page 22: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 22/124

 

MARCOS DE REFERENCIA

14

Los objetivos principales de la norma se pueden concretar en:

• Asegurar que, si la norma es seguida de manera adecuada, las partes

implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores,

etc.), puedan confiar en el gobierno corporativo de TIC.

• Informar y orientar a los directores que controlan el uso de las TIC en su

organización.

• Proporcionar una base para la evaluación objetiva por parte de la alta

dirección en el gobierno de las TIC.

Es conveniente hacer notar que la norma está dirigida principalmente a la alta

dirección de las organizaciones para hacerles entender y ayudarles a cumplir sus

obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus

organizaciones.

No es, por lo tanto, un estándar de Gestión de las TI , sino de Gobierno TI en el

sentido más estricto.

2.2.1. Principios

La norma define seis principios de un buen gobierno corporativo de TIC:

Responsabilidad—Todos los grupos e individuos de la organización

deben comprender y aceptar sus responsabilidades tanto en el uso

(demanda) como en la provisión de los servicios de TI. La

responsabilidad sobre una acción lleva aparejada la autoridad para surealización.

Estrategia—La estrategia de negocio de la organización tiene en cuenta

las capacidades actuales y futuras de las TIC. Los planes estratégicos

de TIC satisfacen las necesidades actuales y previstas derivadas de la

estrategia de negocio.

Adquisición—Las adquisiciones de TI se hacen por razones válidas, en

base a un análisis apropiado y continuo, con decisiones claras y

Page 23: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 23/124

 

MARCOS DE REFERENCIA

15

transparentes. Hay un equilibrio adecuado entre beneficios,

oportunidades, costes y riesgos tanto a corto como a largo plazo.

Rendimiento—La TI está dimensionada para dar soporte a la

organización, proporcionando los servicios con la calidad adecuada

para cumplir con las necesidades actuales y futuras.

Conformidad—La función de TI cumple todas las legislaciones y normas

aplicables. Las políticas y prácticas al respecto están claramente

definidas, implementadas y exigidas.

Factor humano—Las políticas de TIC, prácticas y decisionesdemuestran respeto al factor humano, incluyendo las necesidades

actuales y emergentes de toda la gente involucrada.

2.2.2. Modelo

Una vez establecidos los principios básicos que deben regir el Gobierno TI de

las organizaciones, la norma ISO 38500 define el modelo básico para que la altadirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución

de tres tareas fundamentales:

Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo

estrategias, propuestas y acuerdos de aprovisionamiento (internos y

externos).

Dirigir—Dirigir la preparación y ejecución de los planes y políticas,

asignando las responsabilidades al efecto. Asegurar la correcta

transición de los proyectos a la producción, considerando los impactos

en la operación, el negocio y la infraestructura. Impulsar una cultura de

buen gobierno de TIC en la organización.

Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de

la TIC, asegurando que se ajusta a lo planificado.

Page 24: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 24/124

 

MARCOS DE REFERENCIA

16

Ilustración 2. Modelo de Gobierno Iso38500

2.2.3. Relación principios-modelo de gobierno

Una vez definidos los principios y el modelo de gobierno, la norma estableceuna guía general de las prácticas requeridas para implementar los principios. Para ello,

establece una relación entre los principios y las 3 tareas fundamentales de la alta

dirección (evaluar, dirigir y monitorizar).

En cualquier caso, es responsabilidad de cada organización identificar las

acciones específicas que se requieran para implementar los principios, en función de

la naturaleza de la organización y de un análisis apropiado de los riesgos y

oportunidades en el uso de la TI.

Page 25: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 25/124

 

MARCOS DE REFERENCIA

17

Para cada uno de los principios, la norma proporciona una breve guía u

orientación sobre como evaluar, dirigir y monitorizar la función de TIC.

Son orientaciones muy generales que no incluyen mecanismos, técnicas o

herramientas concretas a utilizar:

Principios Evaluar Dirigir Monitorizar

Asignación de

responsabilidades uso

actual y futuro de la TI

Planes se realicen de

acuerdo a las

responsabilidades

acordadas

Se establecen mecanismos

adecuados de gobierno de TI

Competencia de personal

con responsabilidades en

TI

Asegurarse de que recibe

información necesaria

para cumplir su

responsabilidad y rendir

cuentas

La dirección reconoce y

entiende sus

responsabilidades en TI

Medida del desempeño

responsables gobierno TIC

Desarrollo de TI y procesos

negocio de forma que

soporten las necesidades

de negocio

Creación y uso de planes

y políticas de forma que

se aseguren beneficios

para la organización de

las actividades de TI

Progreso propuestas

aprobadas de forma que se

alcanen objetivos en plazos

establecidos

Evaluar actividades de TIC

y

alineamiento con

objetivos de la

organización

Alentar propuestas

innovadoras para

responder a

oportunidades y

necesidades

Mejores prácticas Utilizar recursos asignados

Satisfacción interesadosUso de TIC, alcanzando

beneficios esperados

Valoración y evaluación de

riesgos TI de acuerdo a

estandares

Diferentes alternativas enlas inversiones

balanceando riesgo y valor

del dinero para la

organización

Activos TI adquierenmanera apropiada, con

documentación adecuada

y asegurando que se

proporciona la capacidd

requerida

Inversiones proporcionan

realmente las capacidades

requeridas

Acuerdos de provisión

respalden necesidades

del Negocio

Entendimiento por parte d

ela organización y de los

proveedores de cuales las

intenciones y necesidades

de la organización en las

adquisiciones

Responsabilidad

Adquisición

Estrategia

Page 26: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 26/124

 

MARCOS DE REFERENCIA

18

Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI

Principios Evaluar Dirigir Monitorizar

Medios propuestos para

asegurar que la TI sustenta

procesos de negocio enfuncionalidad y capacidad

Asignación recursos

suficientes Grado TIC sustenta negocio

Riesgos: continuidad de

operaciones

Asignar prioridades y

restricciones

Grado en el que los recursos

e inversiones son priorizados

de acuerdo a las necesidades

de negocio.

Riesgos : integridad de

información, protección de

activos, Propiedad

intelectual

Datos correctos,

actualizados, protegidosPolíticas precisión datos

Decisiones uso TIC apoyo

al

negocio

Grados de seguimineto

políticas uso eficiente TICEficacia y desempeño

gobierno de TIC

TIC cumple obligaciones,

normas y directrices

Dirigir al personal

responsable de

establecer mecanismos

que asegure que se

cumplen obligaciones,

normas y directrices TI

Cumplimiento y

conformidad

(auditorias/informes)

Conformidad gobierno de

TIC

Establecer y aplicar

políticas (uso

TI interno)

Reportes y prácticas de

auditoría oportunos,

completos, adecuados a las

necesidades de negocio)

Personal TIC cumple

directrices

desarrollo y conducta

Actividades de TIC para

asegurar que se cumplan

obligaciones

mediambientales, reciclado,

legales, privacidad, etc

Ética rija acciones

relacionadas TIC

Actividades de TIC para

identificar

comportamiento humano

Actividades TI

compatibles factor

humano

Actividades de TIC,

identificar,

prestar atención al

comportamiento personasInformar cualquier

individuo

(riesgos, problemas)

Prácticas de trabajo

consistente uso apropiado

de TIC

Administración riesgos

según políticas y proced.

Escalado a los decisores

Cumplimiento

Factor humano

Rendimiento

Page 27: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 27/124

 

MARCOS DE REFERENCIA

19

2.2.4. Beneficios

ISO/IEC 38500 es beneficioso por las siguientes razones:

Destaca la importancia del gobierno de TI debido a los riesgos

involucrados y a las significativas inversiones requeridas.

Incentiva a las empresas a utilizar estándares apropiados para

apuntalar su gobierno de TI.

Provee un marco de 6 principios básicos para que los directores lo

utilicen cuando evalúen, dirijan y supervisen el uso de las TI en sus

empresas. Seguir estos principios ayudará a los directores a balancear

riesgos y propiciar oportunidades derivadas del uso de las TI.

Es aplicable a todas las empresas, desde las más pequeñas hasta las

más grandes, independientemente del propósito, diseño y estructura de

la propiedad.

Aclara que un buen gobierno corporativo de TI puede ayudar a los

directivos a asegurar la conformidad con las obligaciones (regulatorias,legales, contractuales y de derecho común) sobre el uso aceptable de

TI, y asegurar que este uso contribuya positivamente al desempeño de

la empresa.

Asimismo, deja claro que los sistemas inadecuados de TI pueden

exponer a los directivos al riesgo de incumplimiento con una gama cada

vez más amplia de legislación.

2.3. COBIT.

Los Objetivos de Control para la Información y la Tecnología relacionada  

(conocidos generalmente por su acrónimo COBIT®) brindan un conjunto de buenas

prácticas a través de un marco de trabajo basado en procesos, y presenta las

actividades de una estructura manejable y lógica. Las buenas prácticas de COBIT

están enfocadas fuertemente en el control y menos en la ejecución, es decir, indican

más qué se debe conseguir sin focalizarse en el cómo .

Page 28: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 28/124

 

MARCOS DE REFERENCIA

20

Una de las características de COBIT es que está orientado al negocio,

vinculando las metas de negocio con las metas de TI, proporcionando métricas y

modelos de madurez para medir sus logros, e identificando las responsabilidadesasociadas de los propietarios de los procesos de negocio y de TI.

Otra característica es su enfoque hacia procesos, mediante un modelo que

subdivide TI en 34 procesos de acuerdo a cuatro áreas de responsabilidad (Planear,

Construir, Ejecutar y Monitorizar) que básicamente coinciden con el conocido ciclo de

Deming (Plan-Do-Check-Act).

Pero, de todas las buenas características que presenta COBIT, la que más ha

influido en el éxito de COBIT es su dualidad de orientación hacia el Negocio y hacíalas TIC, estableciendo un puente de enlace entre ambos mundos y definiendo un

lenguaje común que ha permitido a los gestores entender el valor estratégico de las

TIC y a los responsables de los sistemas de la información, la importancia de conducir

sus acciones hacia el aporte del valor al negocio.

De manera más general, el empleo de un marco como COBIT satisface las

necesidades de la Dirección y aporta una serie de beneficios que facilitan que se

logren tanto los objetivos de la TI como los del negocio. Esto lo logra:

Asegurando una mejor alineación, basándose en su enfoque en el

negocio.

Facilitando la implantación de políticas, procedimientos, prácticas y

estructuras organizativas, para garantizar los objetivos perseguidos y

prevenir eventos no deseados.

Facilitando una medición objetiva sobre el estado actual de las TIC enuna organización y facilitando el asesoramiento para determinar dónde

se requieren mejoras. Así la dirección posee información que le

permitirá tomar decisiones frente a riesgos, de forma rápida y

asegurando el éxito.

Proporcionando a la Dirección una visión más clara sobre lo que hace la

unidad de TI.

Page 29: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 29/124

 

MARCOS DE REFERENCIA

21

Definiendo la propiedad y la responsabilidad de los diferentes procesos

TI de la organización.

Facilitando una evaluación de la capacidad de dichos procesos, basada

en sus modelos de madurez.

Optimizando las inversiones realizadas en las TI.

Facilitando el entendimiento de todos los participantes, al basarse en un

lenguaje común.

En definitiva, COBIT se ha convertido en el integrador de las mejores prácticas

de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender

y administrar los riesgos y beneficios asociados con la TI.

Page 30: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 30/124

 

MARCOS DE REFERENCIA

22

2.3.1. Áreas focales del Gobierno de TI.

COBIT, basándose en componentes, da soporte al Gobierno de TI al brindar

un marco de trabajo que garantiza las siguientes áreas focales:

Alineación Estratégica entre TI y el negocio

Entrega de Valor: TI da soporte el negocio maximizando los beneficios

y minimizando los costes

Administración de Recursos: Uso de los recursos de TI de manera

responsable, optimizando el conocimiento y la infraestructura.

Administración de Riesgos de TI: La dirección debe tomar conciencia

de los mismos, definir el riesgo que está dispuesta a asumir, definir la

responsabilidad de su administración y comprender los requisitos de

cumplimiento.

Medición del desempeño: Monitoriza el uso de los recursos, el

desempeño de los procesos y la entrega del servicio.

Ilustración 3  – Áreas Focales del Gobierno de TI 

Page 31: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 31/124

 

MARCOS DE REFERENCIA

23

Los componentes de COBIT se interrelacionan entre sí, ofreciendo soporte

para las necesidades de gobierno, de administración, de control y de auditoría, tal

como se muestra en la siguiente figura:

Ilustración 4 - Interrelaciones de los componentes de COBIT

Page 32: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 32/124

 

MARCOS DE REFERENCIA

24

2.3.2. Orientación al negocio

La orientación al negocio es, como hemos indicado, la característica

principal de COBIT. Está diseñado principalmente como guía integral para la

Dirección y para los propietarios de los procesos de negocio.

El marco de trabajo COBIT se basa en el siguiente principio: Con el fin 

de proporcionar la información requerida para lograr sus objetivos, la empresa 

necesita invertir y administrar y controlar los recursos de TI usando un conjunto 

estructurado de procesos que ofrezcan los servicios que suministran dicha 

información.

Ilustración 5 - Principio Básico de COBIT

La administración y el control de la información están en el centro del

marco de COBIT y garantiza la alineación con las necesidades del negocio.

Este marco de trabajo se rige por una serie de criterios de control, un

conjunto de metas definidas para el negocio y la TI, y para ello se debe apoyar

en una serie de recursos y administrarlos correctamente.

Page 33: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 33/124

 

MARCOS DE REFERENCIA

25

COBIT define siete criterios que deben aplicar a la información de la

organización, a saber:

Eficacia: La información debe proporcionarse de una manera

oportuna, correcta, consistente y utilizable.

Eficiencia: Debe ser generada con un uso óptimo de recursos.

Confidencialidad: Es necesario que se proteja la información

sensitiva contra revelación no autorizada.

Integridad: La información debe ser precisa y completa.

Disponibilidad: Debe estar disponible cuando el negocio la

necesite.

Cumplimiento normativo: La organización, en el uso de la

información, debe acatar aquellas leyes, reglamentos y acuerdos

contractuales.

Confiabilidad: He de proporcionarse la información apropiadapara que la Dirección administre y ejercite sus responsabilidades

de gobierno.

Junto con estos criterios, COBIT define de un conjunto de metas

genéricas de negocio y de TI, ofreciendo así una base para el desarrollo de

métricas que permitan la comparación con respecto a estas metas.

La siguiente ilustración muestra cómo la estrategia de la empresa debe

traducirse en objetivos para el uso de funcionalidades facilitadas por TI (Las

metas de negocio para TI). Estos objetivos a su vez, deben conducir a una

clara definición de los propios objetivos de la TI (las metas de TI), y luego éstas

a su vez definir los recursos y capacidades de TI (la arquitectura empresarial

para TI) necesarios para ejecutar con éxito la parte que le corresponde a TI de

la estrategia empresarial.

Page 34: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 34/124

 

MARCOS DE REFERENCIA

26

Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI

Estas metas deben monitorizarse para asegurarse que lo que se está

entregando en la actualidad se corresponde con las expectativas.

Para que el cliente comprenda las metas u objetivos de la TI y los datos

de monitorización de la TI, se deben expresar en términos de negocio

significativos para el cliente.

Para responder a los requisitos que el negocio tiene hacia TI, laempresa debe invertir en los recursos necesarios para crear una capacidad

técnica adecuada para dar soporte al negocio.

Los recursos de TI identificados en COBIT son:

Aplicaciones: tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.

Información: datos de entrada, procesados y generados por los

sistemas de información, y que son utilizados por el negocio.

Page 35: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 35/124

 

MARCOS DE REFERENCIA

27

Infraestructura: Es la tecnología y las instalaciones que

permiten el procesamiento de las aplicaciones.

Personas: Referido al personal necesario para planear,organizar, adquirir, implementar, entregar, soportar, monitorizar y

evaluar los sistemas y los servicios de información. Estas

pueden ser internas, por outsourcing o contratadas, de acuerdo

a como se requieran.

Ilustración 7 - Administración de recursos para garantizar las metas de TI

La figura anterior resume cómo las metas de negocio para TI influyen en

la manera en que se manejan los recursos necesarios de TI por parte de los

procesos de TI para lograr las metas de TI.

2.3.3. Orientación a procesos

El marco de trabajo de COBIT proporciona un modelo de procesos de

referencia y un lenguaje común para que cada uno en la empresa visualice y

administre las actividades de TI.

Page 36: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 36/124

 

MARCOS DE REFERENCIA

28

Un modelo de procesos fomenta la propiedad de los procesos,

permitiendo que se definan las responsabilidades, facilitando además la

medición y monitorización del desempeño de TI.

COBIT define las actividades de TI en un modelo genérico de procesos

en cuatro dominios:

Planear y Organizar (PO). Este dominio cubre las estrategias y las

tácticas, y tiene que ver con identificar la manera en que TI pueda

contribuir al logro de los objetivos del negocio. Es necesario

implementar una estructura organizativa y una estructura tecnológica

apropiada.

Adquirir e Implementar (AI). Para llevar a cabo la estrategia de TI, las

soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas

así como la implementación e integración en los procesos del negocio.

Además contempla el cambio y el mantenimiento de los sistemas

existentes para garantizar que las soluciones sigan satisfaciendo los

objetivos del negocio. 

Entregar y Dar Soporte (DS). Este dominio cubre la entrega en sí de

los servicios necesarios, lo que incluye la prestación del servicio, la

administración de la seguridad y de la continuidad, el soporte del

servicio a los usuarios, la administración de los datos y de las

instalaciones. 

Monitorizar y Evaluar (ME). Todos los procesos de TI deben evaluarse

de forma regular en el tiempo en cuanto a su calidad y cumplimiento de

los requisitos de control. Este dominio abarca la administración del

desempeño, la monitorización del control interno, el cumplimiento

regulatorio y la aplicación del gobierno. 

COBIT proporciona una lista completa de 34 procesos que se pueden

utilizar para verificar la integridad de las actividades y de las responsabilidades;

no obstante, no necesitan aplicarlos todos, incluso pueden combinarse según

las necesidades de cada empresa.

Page 37: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 37/124

 

MARCOS DE REFERENCIA

29

Para cada uno de estos procesos, existe un enlace entre el negocio y

cada una de las metas u objetivos de la TI que son soportadas. Se proporciona

también información de cómo se pueden medir esos objetivos, cuales son losprincipales entregables y quién es el responsable. 

Page 38: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 38/124

 

MARCOS DE REFERENCIA

30

2.3.4. Basado en controles

COBIT define el concepto de Control como el conjunto de políticas,

procedimientos, prácticas y estructuras organizativas diseñadas para brindar una

seguridad razonable y que los eventos no deseados se eviten en lo posible o

sean detectados y corregidos cuanto antes, de forma que se aumenta el valor y

se disminuye el riesgo.

COBIT define una serie de objetivos de control para la totalidad de los 34

procesos.

Estos Objetivos de Control de TI proporcionan un conjunto completo derequisitos de alto nivel a considerar por parte de la Dirección para el control

eficaz de cada uno de los procesos de TI.

La Dirección de la empresa debe realizar una selección de estos

Objetivos de Control de la siguiente manera:

Seleccionando sólo aquellos que son aplicables.

Decidir sobre aquellos que van a ser implementados.

Decidiendo de qué manera van a ser implementados (frecuencia,

intervalo, automatización, etc.).

Aceptando el riesgo de aquellos que no se implementan.

Para tener una visión del modelo de control estándar de COBIT y de los

principios que sigue, podemos hacerlo mediante la siguiente figura, utilizando

como ejemplo la siguiente analogía: cuando se ajusta la temperatura ambiente(estándar) para el sistema de calefacción (proceso), el sistema verificará de

forma constante (comparar) la temperatura ambiente (información de control) e

indicará (actuar) al sistema de calefacción para que genere más o menos calor.

Page 39: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 39/124

 

MARCOS DE REFERENCIA

31

Ilustración 8 - Modelo de control

Debido a que los objetivos de control de TI de COBIT están organizados

por procesos de TI, el marco de trabajo brinda vínculos claros entre los

requisitos de gobierno de TI, los procesos de TI y los controles de TI.

Cada uno de los procesos de TI de COBIT tiene un objetivo de control

de alto nivel y un número de objetivos de control detallados.

Los objetivos de control se identifican por dos caracteres que

representan el dominio (PO, AI, DS y ME) más un número de proceso y un

número de objetivo de control. Además de los objetivos de control, cada

proceso COBIT tiene requisitos de control genéricos que se identifican con

PCn, que significa número de control de proceso.

Los controles efectivos reducen el riesgo, aumentan la probabilidad de

la entrega de valor y aumentan la eficiencia debido a que habrá menos errores.

Además, COBIT ofrece ejemplos ilustrativos para cada proceso con:

Entradas y salidas genéricas

Actividades y guías sobre roles y responsabilidades

Metas de actividades clave

Métricas

Page 40: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 40/124

 

MARCOS DE REFERENCIA

32

Los propietarios de procesos, además de evaluar qué controles son

necesarios, deben entender qué entradas requieren de otros procesos y quérequieren otros de sus procesos (salidas), además de tener claros los roles y

responsabilidades para cada proceso.

Controles del negocio y controles de TI

El sistema de controles internos impacta a TI en tres niveles:

Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se

establecen políticas y se toman decisiones de cómo aplicar y administrar los

recursos empresariales para ejecutar la estrategia de la compañía.

Al nivel de procesos de negocio, se aplican controles para actividades

específicas del negocio. La mayoría de los procesos de negocio están

automatizados e integrados con los sistemas aplicativos de TI, y por tanto

muchos de los controles a este nivel están automatizados. Estos se conocen

como controles de las aplicaciones . Sin embargo, algunos controles dentro del

proceso de negocios permanecen como procedimientos manuales, como la

autorización de transacciones, la separación de funciones y las conciliaciones

manuales.

Para soportar los procesos de negocio, TI proporciona servicios, por lo

general de forma compartida, por varios procesos de negocio, así como

procesos operativos y de desarrollo de TI que se proporcionan a toda la

empresa, y mucha de la infraestructura de TI provee un servicio común (es decir,

redes, bases de datos, sistemas operativos y almacenamiento). Los controles

aplicados a todas las actividades de servicio de TI se conocen como controles 

generales de TI .

Page 41: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 41/124

 

MARCOS DE REFERENCIA

33

Controles generales de TI y de aplicación

Los controles generales son aquellos que están incrustados en los

procesos y servicios de TI. Algunos ejemplos son:

Desarrollo de sistemas

Administración de cambios

Seguridad

Operación de los equipos

Los controles incluidos en las aplicaciones del proceso de negocios se

conocen por lo general como controles de aplicación. Ejemplos:

Integridad (Completitud)

Precisión

Validez

Autorización

Segregación de funciones

La responsabilidad de los controles de aplicación es una unión de

responsabilidades de extremo a extremo entre el Negocio y la TI, pero la

naturaleza de las responsabilidades es diferente en ambos casos:

El Negocio 

es responsable de: 

La unidad TI 

es responsable de: I 

Definir adecuadamente los requisitos

funcionales y de control. 

Automatizar e implementar los requisitos

funcionales del negocio y los controles.

Usar adecuadamente los servicios

automatizados.

Establecer controles para mantener la

integridad de los controles de aplicación.

Tabla 5. Responsabilidades del Negocio y de TI

Page 42: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 42/124

 

MARCOS DE REFERENCIA

34

Los procesos de TI de COBIT abarcan a los controles generales de TI,

pero no los controles de las aplicaciones, debido a que son responsabilidad de

los dueños de los procesos del negocio, y como se describió anteriormente,

están integrados en los procesos de negocio.

2.3.5. Medidas e Indicadores

Las empresas deben medir dónde se encuentran y dónde se requieren

mejoras, e implementar un juego de herramientas gerenciales para monitorizar

esta mejora de sus propios sistemas de TI. COBIT lo hace por medio de:

Modelos de madurez que facilitan la evaluación y la identificación de

las mejoras necesarias en la capacidad.

Metas y mediciones de desempeño para los procesos de TI , que

demuestran cómo los procesos satisfacen las necesidades del negocio

y de TI.

Metas de actividades para facilitar el desempeño efectivo de los

procesos.

Modelos de madurez

De acuerdo con COBIT, el propietario del proceso debe poder

autoevaluar de forma progresiva, contra los objetivos de control. Esto responde

a tres necesidades:

Una medición relativa de dónde se encuentra la empresa

Una manera de decidir hacia dónde ir de forma eficiente

Una herramienta para medir el avance contra la meta

Page 43: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 43/124

 

MARCOS DE REFERENCIA

35

Si se usan los procesos de madurez desarrollados para cada uno de los

34 procesos TI de COBIT, la Dirección podrá identificar:

El desempeño real de la empresa: Dónde se encuentra la empresa hoy

El estatus actual de la industria: La comparación

El objetivo de mejora de la empresa: Dónde desea estar la empresa

La evolución necesaria entre‘ tal como está‘ y ‗cómo debería ser‘

Para hacer que los resultados sean utilizables con facilidad en

resúmenes gerenciales, se requiere contar con un método gráfico de

presentación, como se muestra en la siguiente figura:

Ilustración 9 - Representación gráfica de los modelos de madurez 

COBIT ha definido un modelo de madurez para cada uno de los 34

procesos de TI, con una escala de medición creciente como se indica a

continuación:

0 No existente. Carencia completa de cualquier proceso reconocible.

La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Se reconoce que los problemas existen y necesitan serresueltos, pero no existen procesos estándar, en su lugar existen enfoques ad

Page 44: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 44/124

 

MARCOS DE REFERENCIA

36

hoc que tienden a ser aplicados de forma individual o caso por caso. El

enfoque es desorganizado.

2 Repetible. Se siguen procedimientos similares en diferentes áreas

que realizan la misma tarea. No hay entrenamiento o comunicación formal de

los procedimientos estándar.

3 Definido. Los procedimientos se han estandarizado y documentado, y

se han difundido a través de entrenamiento. Sin embargo, se deja que el

individuo decida utilizar estos procesos.

4 Administrado. Es posible monitorizar y medir el cumplimiento de losprocedimientos y tomar medidas de si los procesos trabajan de forma efectiva.

Los procesos están bajo constante mejora y proporcionan buenas prácticas.

5 Optimizado. Los procesos se han refinado hasta un nivel de mejor

práctica, se basan en los resultados de mejoras continuas y en un modelo de

madurez con otras empresas. TI se usa de forma integrada para automatizar el

flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad,

haciendo que la empresa se adapte de manera rápida.

La ventaja de un modelo de madurez es que es relativamente fácil para

la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se

requiere desarrollar una mejora.

La capacidad de gestión del proceso no es lo mismo que el rendimiento

del proceso. La capacidad viene determinada por el negocio y las metas de la

TI.

La capacidad, la cobertura del riesgo y el control son dimensiones de la

madurez de un proceso como se ilustra en la siguiente figura:

Page 45: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 45/124

 

MARCOS DE REFERENCIA

37

Ilustración 10 - Las tres dimensiones de la madurez

Así podemos decir que el modelo de madurez es una forma de medir

hasta qué punto están bien desarrollados los procesos administrativos, esto

es, qué capacidad tienen en realidad.

Los modelos de madurez se desarrollan con el modelo genérico

cualitativo al cual se añaden, en forma creciente, algunos principios contenidos

en los siguientes atributos, a través de niveles:

Conciencia y comunicación

Políticas, estándares y procedimientos

Herramientas y automatización

Habilidades y experiencia

Responsabilidad y rendición de cuentas

Establecimiento y medición de metas

Page 46: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 46/124

 

MARCOS DE REFERENCIA

38

La tabla de atributos de madurez que se muestra en la figura siguiente,

lista las características de cómo se administran los procesos de TI y describe

cómo evolucionan desde un proceso no existente hasta uno optimizado. Estosatributos se pueden usar para una evaluación más integral, para un análisis de

brechas y para la planificación de mejoras.

Page 47: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 47/124

 

MARCOS DE REFERENCIA

39

Tabla 6. Modelos de madurez 

Page 48: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 48/124

 

MARCOS DE REFERENCIA

40

Los modelos de madurez COBIT se enfocan a la capacidad, y no

necesariamente en el desempeño o rendimiento. El desempeño, o la forma en

que la capacidad se usa y se implanta, está condicionada por la rentabilidad(riesgo asumido y relación entre coste y eficiencia).

Un entorno de control implantado de forma adecuada, se logra cuando

se han conseguido los tres aspectos de madurez (capacidad, desempeño y

control). El incremento en la madurez reduce el riesgo y mejora la eficiencia,

generando menos errores, más procesos predecibles y un uso rentable de los

recursos.

Medición del desempeño

Las métricas y las metas se definen en COBIT de acuerdo a tres niveles:

Las metas y métricas de TI que definen lo que el negocio espera de

TI.

Metas y métricas de procesos que definen lo que el proceso de TI

debe generar para dar soporte a los objetivos de TI.

Métricas de desempeño de los procesos para indicar si es probable

alcanzar las metas.

Las metas se definen de arriba hacia abajo, empezando en las metas

de negocio que determinarán el número de metas que soportará TI, las metas

de TI decidirán las diferentes necesidades de las metas de proceso, y cadameta de proceso establecerá las metas de las actividades.

Los términos KGI (Key Goal Indicador – Indicador Clave de meta) y KPI 

(Indicator Key Performance  – Indicador clave de desempeño o rendimiento),

que se utilizaban en la anterior versión de COBIT, han sido substituidos por

estos dos tipos de métricas:

Page 49: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 49/124

 

MARCOS DE REFERENCIA

41

Las medidas de resultados (outcome measures) definen medidas que

informan de la gestión, a posteriori, de cómo una función de TI, proceso o

actividad han alcanzado sus objetivos.

Los indicadores de rendimiento o desempeño (performanceindicators) definen mediciones que determinan hasta qué punto el negocio, la

función de TI o el proceso TI se está ejecutando de forma adecuada y nos

indican si es probable que se alcancen los objetivos. Se pueden medir antes de

que los resultados sean claros. Miden las metas de las actividades, las cuales

son las acciones que el propietario del proceso debe seguir para lograr un

desempeño efectivo del proceso.

Las métricas, para que sean efectivas deben tener las siguientescaracterísticas:

Una alta proporción entendimiento-esfuerzo (el entendimiento del

desempeño y del logro de las metas frente al esfuerzo de lograrlos)

Deben ser comparables internamente

Deben ser comparables externamente, con otra empresas

Es mejor tener pocas métricas que una lista más larga de menor calidad

Debe ser fácil de medir y no se debe confundir con las metas

Page 50: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 50/124

 

MARCOS DE REFERENCIA

42

2.3.6. El modelo del marco de trabajo de COBIT

El marco de trabajo COBIT relaciona los requisitos de información y de

gobierno a los objetivos de la función de servicio de TI. El modelo de procesos

COBIT permite que las actividades de TI y los recursos que los soportan seanadministrados y controlados, basados en los objetivos de control de COBIT, y

alineados y monitorizados usando los objetivos y las métricas.

Ilustración 11 – Admin., control, alineación y monitorización de COBIT

Para resumir, los recursos de TI son manejados por procesos de TI para

lograr metas de TI que respondan a los requisitos del negocio. Este es el

principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT:

Ilustración 12 - El cubo de COBIT

Page 51: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 51/124

 

MARCOS DE REFERENCIA

43

En detalle, el marco de trabajo general COBIT se muestra gráficamente

en la siguiente figura con el modelo de procesos de COBIT compuesto de

cuatro dominios que contienen 34 procesos genéricos, administrando los

recursos de TI para proporcionar información al negocio de acuerdo con los

requisitos del negocio y de gobierno.

Ilustración 13 - Marco general de trabajo de COBIT

Page 52: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 52/124

 

MARCOS DE REFERENCIA

44

2.4. PMBOK.

La Guía del PMBOK es un estándar en la gestión de proyectos desarrollado

por el Project Management Institute (PMI).La primera versión de PMBOK fue

publicada en 1987. Esta versión consta de 37 procesos.

La segunda versión fue publicada el 2000, basado en los comentarios

recibidos de parte de los miembros. PMBOK fue reconocido como estándar por el

American Nacional Standards Institute (ANSI) en 1998, y más adelante por el

Instituto de los Ingenieros Electrónicos Eléctricos y (IEEE). Esta versión consta de

39 procesos.

La tercera versión fue publicada en 2004, con mejoras importantes en laestructura del documento, adiciones a los procesos, términos y dominios del

programa y de portafolios. Esta versión consta de 44 procesos. 

La cuarta versión fue publicada en 2008 (5). No introdujo cambios mayores,

pero sí se organizó de manera más precisa, clara y fácil de entender. Esta versión

consta de 42 procesos y es la versión vigente en la actualidad.

PMI pretende definir, mantener y difundir un cuerpo de conocimiento con

dos objetivos principales:

Mejorar el desarrollo de proyectos en diferentes industrias mediante el

uso de buenas prácticas.

Definir procesos de gestión de proyectos estándares y homogéneos

para todo tipo de proyectos

2.4.1. ¿ Qué es un proyecto?.

Según PMBOK, un proyecto es un esfuerzo temporal que se lleva a

cabo para crear un producto, servicio o resultado único.

La naturaleza temporal de los proyectos indica un principio y un final

definidos. El final se alcanza cuando se logran los objetivos del proyecto o

cuando se termina el proyecto porque sus objetivos no se cumplirán o no

pueden ser cumplidos, o cuando ya no existe la necesidad que dio origen alproyecto.

Page 53: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 53/124

 

MARCOS DE REFERENCIA

45

Todo proyecto debe crear un resultado único, lo que lo distingue de

tareas repetitivas realizadas en trabajos permanentes. Por ejemplo, una tarea de

oficina realizada todos los días no es un proyecto, aunque requiera alguna

planificación.

Un proyecto suele ser algo más complejo. Dirigir un proyecto por lo

general implica:

identificar requisitos,

abordar las diversas necesidades, inquietudes y expectativas de

los interesados según se planifica y efectúa el proyecto,

equilibrar las restricciones contrapuestas del proyecto que se

relacionan, entre otros aspectos, con:o el alcance,

o la calidad,

o el cronograma,

o el presupuesto,

o los recursos y

o el riesgo

Para dirigir un proyecto, PMBOK ha identificado 42 procesos que

permiten transformar la ejecución de un proyecto en una serie de procesos

concatenados, y no solo como una serie de actividades, donde para cada

proceso se consideren:

Entradas

Herramientas y técnicas

Salidas

Asimismo, la dirección de proyectos implica un equilibrio entre

diferentes variables. Tradicionalmente, se ha hablado de una triple

dependencia del proyecto respecto al coste, alcance y tiempo en el sentido de

que es posible realizar un cambio en uno de estos aspectos sin alterar los

otros dos.

Realmente, la dependencia es más amplia en el sentido de que los

factores que se afectan mutuamente en el desarrollo de un proyecto son,

además de los mencionados, la Calidad, Los Riesgos del proyecto y lasatisfacción del cliente.

Page 54: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 54/124

 

MARCOS DE REFERENCIA

46

Ilustración 14. Factores que afectan a los proyectos

Asimismo, PMBOK distingue dos dimensiones o formas de clasificar los

distintos procesos y actividades del proyecto: La dimensión temporal en la que

se considera el ciclo de vida de un proyecto y la dimensión funcional , que hacereferencia a las diferentes áreas de conocimiento que se ponen en juego para

alcanzar los objetivos del proyecto.

Vamos a ver cada una de estas dos dimensiones a continuación:

2.4.2. Ciclo de vida y fases del proyecto

Empezando con la dimensión temporal, cada proyecto sigue una

evolución desde su inicio hasta que finaliza. El ciclo de vida del proyecto es unconjunto de fases del mismo, generalmente secuenciales y en ocasiones

superpuestas, cuyo nombre y número se determinan por las necesidades de

gestión y control de la organización, la naturaleza propia del proyecto y su área

de aplicación.

En general, cualquier proyecto, por simple que sea, se estructura de

acuerdo a la siguiente estructura del ciclo de vida:

Inicio

Coste

Satisfacióndel cliente

Page 55: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 55/124

 

MARCOS DE REFERENCIA

47

Organización y preparación

Ejecución de los trabajos del proyecto

Cierre del proyecto

Vemos en la figura que en cada fase se obtienen unos resultados concretos

(acta de constitución del proyecto, Plan del proyecto, entregables, etc) y que los

niveles de costo son bajos al inicio del proyecto, alcanzan su punto máximo según se

desarrolla el trabajo y caen rápidamente cuando el proyecto se acerca al cierre.

Ilustración 15. Ciclo de vida de un proyecto

Desde el punto de vista de los procesos y del ciclo de vida, PMBOK

establece cinco grupos de procesos que se corresponden con las distintas

etapas del proyecto indicadas en la figura anterior, más un sexto grupo de

procesos de control:

Procesos de Iniciación.- Autorización del proyecto o de una fase.

Proceso de Planificación.- Definición y redefinición de objetivos,

selección de la mejor alternativa entre posibles cursos de acción

Proceso de Ejecución.- Coordinación de las personas y de otros

recursos necesarios

Proceso de Control.- Aseguramiento de que se cumplan los objetivos

del proyecto, mediante la supervisión y la medición regular de avances.

Proceso de Cierre.- Formalización de la aceptación del proyecto o deuna fase.

TiempoInicio Final

Comienzodel proyecto

Ejecución del trabajoCosto $ Organizacióny preparación

Cierre

Acta deconstitución

Plan delproyecto

Entregablesaceptados

Page 56: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 56/124

 

MARCOS DE REFERENCIA

48

Ilustración 16. Grupos de procesos de un proyecto

Esta es el ciclo de vida más sencillo en la que el proyecto consta de una

única fase. Es común encontrar proyectos con varias fases, secuenciales o

incluso superpuestas.

2.4.3. Áreas de conocimiento

Si, en vez de en la dimensión temporal, nos fijamos ahora en la

dimensión funcional , podemos agrupar los procesos de la dirección de proyectos

de acuerdo a las siguientes áreas de conocimiento :

La administración de la Integración del Proyecto, describe los procesos y

actividades que sirven para integrar los diversos elementos de la dirección deproyectos, lo que incluye:

• Desarrollar el Acta de Constitución del Proyecto

• Desarrollar el Plan para la Dirección del Proyecto

• Dirigir y Gestionar la Ejecución del Proyecto

• Monitorear y Controlar el Trabajo del Proyecto

• Realizar Control Integrado de Cambios

• Cerrar el Proyecto o la Fase

Procesos deIniciación

Procesos dePlanificación

Procesos deControl

Procesos deEjecución

Procesos deCierre

 

Page 57: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 57/124

 

MARCOS DE REFERENCIA

49

La gestión del Alcance del Proyecto, con los procesos involucrados en

garantizar que el proyecto incluya todo (y únicamente) el trabajo requerido para

completarlo exitosamente, lo que incluye:

• Recopilar los Requisitos• Definir el Alcance

• Crear la Estructura de Desglose del Trabajo (EDT)

• Verificar el Alcance

• Controlar el Alcance

La gestión del Tiempo del Proyecto, se centra en los procesos que se

utilizan para garantizar la conclusión a tiempo del proyecto. Incluye:

• Definir las Actividades

• Secuenciar las Actividades

• Estimar los Recursos para las Actividades

• Estimar la Duración de las Actividades

• Desarrollar el Cronograma

• Controlar el Cronograma

La gestión de los Costos del Proyecto, describe los procesos involucrados

en planificar, estimar, presupuestar y controlar los costos de modo que se

complete el proyecto dentro del presupuesto aprobado. Para ello, es necesaria

la realización de las siguientes actividades:

• Estimar los Costos

• Determinar el Presupuesto

• Controlar los Costos

La gestión de la Calidad del Proyecto, describe los procesos involucrados en

planificar, dar seguimiento, controlar y garantizar que se cumpla con los

requisitos de calidad del proyecto, lo que incluye:

• Planificar la Calidad

• Realizar el Aseguramiento de Calidad• Realizar el Control de Calidad. 

Page 58: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 58/124

 

MARCOS DE REFERENCIA

50

La gestión de los Recursos Humanos del Proyecto, los procesos

involucrados en la planificación, adquisición, desarrollo y gestión del equipo del

proyecto. Para ello es necesario:

• Desarrollar el Plan de Recursos Humanos• Adquirir el Equipo del Proyecto

• Desarrollar el Equipo del Proyecto

• Gestionar el Equipo del Proyecto. 

La gestión de la Comunicación, identifica los procesos involucrados en

garantizar que la generación, recopilación, distribución, almacenamiento y

disposición final de la información del proyecto sean adecuados y oportunos.

Esto incluye la necesidad de:

• Identificar a los Interesados

• Planificar las Comunicaciones

• Distribuir la Información

• Gestionar las Expectativas de los Interesados

• Informar el Desempeño

La gestión del Riesgo del Proyecto, describe los procesos involucrados en laidentificación, análisis y control de los riesgos para el proyecto, a saber:

• Planificar la Gestión de Riesgos

• Identificar los Riesgos

• Realizar Análisis Cualitativo de Riesgos

• Realizar Análisis Cuantitativo de Riesgos

• Planificar la Respuesta a los Riesgos

• Dar seguimiento y Controlar los Riesgos. 

La gestión de Adquisiciones, describe los procesos involucrados en la

compra o adquisición de productos, servicios o resultados para el proyecto.

Esto incluye:

• Planificar las Adquisiciones

• Efectuar las Adquisiciones

• Administrar las Adquisiciones

• Cerrar las Adquisiciones

Page 59: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 59/124

 

MARCOS DE REFERENCIA

51

Esta división sea probablemente más intuitiva y conocida que la dimensión

temporal. Hay que tener en cuenta que los procesos no se ejecutan de manera

secuencial. Incluso es posible que algunos procesos no se ejecuten en algúnproyecto dado que PMBOK es un conjunto estructurado de buenas prácticas

que deben adaptarse en cada organización y proyecto en función de la

naturaleza del proyecto, cultura de la organización y otras variables.

En la siguiente figura se muestran las dos dimensiones de un proyecto.

Ilustración 17.Dimensiones temporal y funcional de un proyecto

2.4.4. Despliegue de procesos en un proyecto

Una vez entendido el carácter dual de un proyecto en la dimensiones temporal

y funcional, es necesario atender a cómo encajan los procesos definidos por el

PMI en un proyecto tipo.

Ya hemos indicado que los procesos no siguen una progresión secuencial pero

sí es cierto que las actividades de cada proceso se intensifican en unas etapas

temporales concretas.

Así, por ejemplo, el proceso de Estimación de costos del proyecto  se realiza

por lo general en la etapa de Planificación del proyecto.

También es cierto que unos procesos se realizan antes que otros; No es

posible realizar el proceso anterior sin haber realizado el proceso Estimación 

de recursos.

Sin embargo, el proceso de planificación es iterativo ya que la planificación decada aspecto del proyecto (inversiones, recursos humanos, plazos, etc) se

Dimensión temporal

Iniciación Planificación Ejecución Control Cierre

Dimensión funcional

Gestión de compras

Gestión de riesgos

Gestión de la comun icación

Gestión de RRHH

Gestión de costos

Gestión del tiempo

Gestión de la calidad

Gestión del alcance

Gestión de integración

   G  e  s   t   i   ó  n   d  e   l  a

  c  o  n   f   i  g  u  r  a  c   i   ó  n

Page 60: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 60/124

 

MARCOS DE REFERENCIA

52

establecen por medio de refinaciones sucesivas hasta el cierre de la baseline o

planificación base del proyecto.

Incluso en la propia ejecución del proyecto se establecen mecanismos de

control que pueden impactar en la planificación inicial, teniendo que recalcularlos plazos, costes u otros parámetros del proyecto.

De una manera gráfica, representamos en la siguiente figura la

correspondencia de cada uno de los procesos definidos en PMBOK con su

marco temporal y con su área de conocimiento:

Page 61: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 61/124

 

MARCOS DE REFERENCIA

53

Ilustración 18.Despliegue de procesos en un proyecto

Definiciónactividades

Secuenciación actividades

Estimaciónde recursos

Iniciación Planificación Ejecución Control Cierre

Gestión decompras

Gestión de

riesgos

Gestión de lacomunicación

Gestión deRRHH

Gestión decostos

Gestión deltiempo

Gestión de lacalidad

Gestión delalcance

Gestión deintegración

   G  e  s   t   i   ó  n   d  e   l  a

  c  o  n

   f   i  g  u  r  a  c   i   ó  n

Recopilarrequisitos

Definiciónalcance

Verificaciónalcance

Controlcambioalcance

Desarrolloplan proyecto

Ejecuciónplan proyecto

Control globalcambios

Planificacióncalidad

Garantíacalidad

Controlcalidad

Estimaciónduración

actividades

Desarrolloprogramación

Controlprogramación

Estimacióncostos

Presupuestocostos

Control decostos

Planificaciónorganizativa

Planificacióncomunicacion

es

Distribucióninformación

Reporterendimiento

Identificaciónriesgos

Análisiscualitativo

 

Análisiscuantitativo

Controlmedidas

Planificacióncompras

Cierrecontratos

Planeaciónde riesgos

Planes derespuestas

Cierre deproyecto

CreaciónEDT

Gestionar alos

interesados

Supervisa ycontrolar el

trabajo

Identificarinteresados

Administrarcontratos

Efectuaradquisiciones

Incorporación personal

 

Desarrollode equipo

Gestiónde

equipo

Actaproyecto

Page 62: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 62/124

 

MARCOS DE REFERENCIA

54

2.4.5. Proyectos y Gobierno TI

A menudo, los proyectos se utilizan como el medio para cumplir con el plan

estratégico de una organización, que está íntimamente relacionado con el Gobierno 

corporativo  de la organización, dentro del cual se enmarca el Gobierno TI. Por lo

general, los proyectos se autorizan como resultado de una o más de las siguientes

consideraciones estratégicas:

Demanda del mercado (por ej., una compañía automotriz que autoriza

un proyecto para construir más automóviles de bajo consumo en

respuesta a la escasez de combustible),

Oportunidad estratégica/necesidad comercial (por ej., un centro de

capacitación que autoriza un proyecto de creación de un curso nuevo,

para aumentar sus ganancias),

Solicitud de un cliente (por ej., una empresa eléctrica que autoriza un

proyecto para construir una nueva subestación a fin de abastecer un

nuevo parque industrial),

Adelantos tecnológicos (por ej., una compañía de productos

electrónicos que autoriza un proyecto nuevo para desarrollar unacomputadora portátil más pequeña, más económica y más veloz, a

partir de adelantos en materia de memorias de computadoras y

tecnología electrónica), y

Requisitos legales (por ej., un fabricante de productos químicos autoriza

un proyecto para sentar las pautas para la manipulación de un nuevo

material tóxico).

De esta manera, los porfolios de proyectos resultan un medio para alcanzar las

metas y los objetivos de la organización, a menudo en el contexto de un plan

estratégico. Los programas, proyectos y otros trabajos relacionados que lo

constituyen se priorizan. De esta manera, el plan estratégico de una organización se

convierte en el principal factor que guía las inversiones en los proyectos. Al mismo

tiempo, los proyectos retroalimentan los programas y portafolios mediante informes de

estado y solicitudes de cambio que pueden ejercer un impacto sobre otros proyectos,

programas o portafolios. Se acumulan necesidades de proyectos, incluso de recursos,

y se comunican nuevamente a nivel del portafolio, lo que marca a su vez la direcciónpara la planificación de la organización.

Page 63: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 63/124

 

MARCOS DE REFERENCIA

55

2.5. Buenas prácticas ITIL

El modelo de buenas prácticas ITIL (Information Technology Infraestructure

Library) fue desarrollado a finales de 1980 y se ha convertido en el estándar mundial

de facto en la Gestión de Servicios Informáticos. ITIL pertenece y depende de la OGC

(Office of Government Comerce) de Gran Bretaña y ha servido de base para el

estándar ISO 20000.

Iniciada como una guía para el gobierno del Reino Unido, la estructura base ha

demostrado ser útil para las organizaciones en todos los sectores a través de su

adopción por innumerables compañías como base para consulta, formación y soporte

de herramientas de software. Actualmente consta de 7 libros que, de una forma

integrada y coherente, define las mejores prácticas para la gestión de las diferentes

áreas de servicios de TI. Sus directrices están pensadas para adaptarse a las

necesidades específicas de cada organización.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez

más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en

aumento, ha provocado la necesidad creciente orientar los departamentos TI hacia la

calidad en los objetivos del negocio, y demanda que satisfaga los requisitos y las

expectativas del cliente. Por ello en los últimos años, a pasado el énfasis de estar enel desarrollo de aplicaciones TI a la Gestión de Servicios TI.

2.5.1. Estructura ITIL

La filosofía ITIL supone un cambio de gran envergadura para una

organización clásica. Se ha de considerar que el objetivo de cualquier empresa es

la gestión de las tareas que producen un bien o servicio, y estás cada vez se

apoyan más en el soporte tecnológico, el cual llega a ser crítico.

Ilustración 19: De negocio a tecnología

Page 64: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 64/124

 

MARCOS DE REFERENCIA

56

Las organizaciones se han dividido en áreas de responsabilidad,

relacionando las necesidades de negocio y tecnología que la sustenta. Así

aparecen las áreas de Servicios TI como Monitorización, Service Desk,

Mantenimiento, etc.

Ilustración 20: independencia entre departamentos

El problema aparece cuando las aplicaciones de las áreas no están

integradas y no existe una fuente común ―contrastada‖ de datos; es entonces

cuando la comunicación entre departamentos depende del factor humano (El

responsable avise con correos, teléfono, etc.). Todo esto motiva que no haya

una visión única de negocio, sino que está dividida según la visión de cada

departamento.

ITIL parte de la necesidad de un repositorio central, CMDB

(Configuration Management Data Base) y la gestión de Configuración, que

proporciona información coherente y actualizada de los componentes que

forman un servicio y de sus interrelaciones. La información recogida en esta

base de datos tiene que reflejar en todo momento la realidad operativa, y por

extensión el Catálogo de Servicios de la organización. También ha de recoger

la evolución de los diferentes componentes a lo largo de su ciclo de vida y

servir como fuente de información al resto de actividades de la organización TI.

Page 65: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 65/124

 

MARCOS DE REFERENCIA

57

Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL

La transformación a ITIL requiere la adecuada Gestión de Servicio y

cambiar la actuación de la organización TI, pasando de realizar las tareas de forma

reactiva a hacerlo de forma proactiva. Por todo ello, la perspectiva de la

organización cambia de un punto de vista Técnico o de Sistemas a un punto de

vista de Negocio o Servicios.

Ilustración 22: Etapas de transformación ITIL

La división de las áreas de trabajo según las recomendaciones de ITIL son:

Negocio . Los servicios son proporcionados por los empleados de la

empresa (Usuarios de las herramientas y procedimientos ITIL) y son

consumidos por los Clientes.

Page 66: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 66/124

 

MARCOS DE REFERENCIA

58

Perspectiva de Negocio . Los servicios se definen según la evolución de

las necesidades de los Clientes. Se estudia la viabilidad económica,

planificación de los nuevos servicios, relación con los proveedores y la

comunicación interna de los hitos alcanzar en la empresa.

Los servicios definidos en la Perspectiva de Negocio, están

implementado con procesos que se ejecutan en hardware y

componentes tecnológicos.

o  Prestación de Servicio . Monitorizando el estado del HW y SW se

puede saber cual es la calidad del Servicio que se está dando al

usuario. Con ello se puede conocer que Servicios son los más

rentables, o conocer la razón del coste excesivo de éstos (Los

costes de mantenimiento, licencias, número de incidencias muy

alto, etc.)

o  Soporte a Servicio . Los errores detectados por la monitorización

y/o comunicados al Centro de Atención se registran para su

corrección. Los errores entra en el workflow de ser corregidos,

planificado su cambio y su posterior despliegue en producción.

La Gestión de Infraestructura  se encarga de las comunicaciones y

mantenimiento de los componentes tecnológicos. Es importante

adecuar el soporte físico a las necesidades del SW que prestan losservicios de negocio.

Gestión de Aplicación . Actualmente las organizaciones necesitan

desarrollar SW para automatizar los procesos de negocio e implemente

su lógica. Se denomina Gestión de Aplicación a la gestión del ciclo de

vida de este SW hasta su implantación en producción. 

Planificando la Implantación de la Gestión de Servicio. Las

organizaciones no son estáticas en el tiempo, desarrollar nuevos

servicios, mejorar los existentes e introducir nuevas herramientas esbásico en todas las empresas. Esto lleva a establecer un plan

estratégico que defina los objetivos a medio y largo plazo, teniendo en

cuenta las dependencias entre todas las áreas de trabajo en la

organización. A esta área del marco de ITIL se le denomina

Planificando la Implantación de la Gestión de Servicio .

Page 67: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 67/124

 

MARCOS DE REFERENCIA

59

Ilustración 23: Perspectiva global de ITIL

La idea principal sobre la cual se construye ITIL, es la existencia de

dependencias entre los recursos a la hora de gestionar los servicios TI. Se

aconseja que la información sobre dichos recursos se encuentre centralizada

en una base de datos CMDB. De esta forma podemos medir, planificar y

cuantificar cada uno de los servicios de forma independiente, estableciendo

relaciones entre los recursos y los servicios.

ITIL abarca conceptos de gestión y organización presentes en las

organizaciones TI como soluciones individuales. Desde esta nueva perspectiva

se mantienen interrelacionados aspectos como BSM (Gestión de Negocio),

ITAM (Gestión de Activos), Gestión de la Configuración y Help Desk, entre

otros. Estos conceptos son reubicados en el mapa ITIL para contrastar

información, eliminar duplicidades, costes, incongruencias… 

Page 68: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 68/124

 

MARCOS DE REFERENCIA

60

Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional

ITIL identifica las tareas que se desarrollan en las organizaciones TI y surelación, además de permitir una visión End-to-End (Extremo a Extremo) de la

organización, lo que a su vez proporciona más dinamismo en los cambios de la

organización.

2.5.2. Módulos principales ITIL

Como se ha comentado en el punto anterior existen dos módulos que se

convierten en la espina dorsal de la gestión de las organizaciones TI dentro del

marco ITIL. Ya que gestionan la mayoría de los procesos que relaciona los

servicios de Negocio y infraestructura que los soporta.

Estos módulos, de los que se hablará más detenidamente en este

apartado, son Soporte de Servicios y Prestación de Servicios.

Soporte de Servicios

El núcleo sobre el que se apoya una organización que adopte una filosofíaITIL es el Soporte a Servicios, centrado en la gestión de HW y SW para mejorar la

calidad de los mismos.

 

Usuario

Perspectiva de

Negocio

 

Tecnología

 

lanific

ando

la

Implementa

ción

de la

Gestió

n de

 

estión

de

Aplica

ción

 

Prestación de

Soporte

de Servicioestión de

Page 69: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 69/124

 

MARCOS DE REFERENCIA

61

Ilustración 25: Área de responsabilidad de Soporte a Servicio

Las actividades de este módulo se encuentran desglosadas por su

naturaleza y alcance en varios grupos, como se muestra en la Ilustración

Ilustración 26: Procesos dentro del Soporte a Servicios

Gestión de Incidencias

Su objetivo es restaurar el servicio normal tan pronto como sea

posible, minimizando el impacto negativo de una incidencia sobre el

negocio. De esta forma, la organización puede asegurar el cumplimiento

de los SLAs en términos de calidad, tiempos y disponibilidad.

Page 70: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 70/124

 

MARCOS DE REFERENCIA

62

La forma de canalizar todas las incidencias es a través de un

Centro de Servicio único, que las recibirá y gestionará en su ciclo de

vida, manteniendo informado al usuario en todo momento.

Un ejemplo de esto podría ser el fallo en un proceso batch, de locual se informa a la Gestión de Incidencias, que tomará las medidas

adecuadas para el reestablecimiento del servicio que se vea afectado.

Gestión de Problemas

Su fundamento es la prevención y corrección permanente de los

incidencias, identificando y corrigiendo los problemas, tanto de forma

reactiva como proactiva. Por ello da soporte a la Gestión de Incidencias,

proporcionando información y soluciones temporales o parches.Asimismo, mantiene un registro de los errores conocidos para

consultarlo en el ámbito de sus funciones.

Como consecuencia de este conocimiento puede proponer al

área de Gestión de Cambios las Peticiones de Cambio (RFC) que sean

necesarias para el reestablecimiento de la calidad del Servicio.

Igualmente, realiza Revisiones Post Implementación (PIR), para

asegurar que los cambios han surtido los efectos buscados, sin crear

problemas de carácter secundario.

La Gestión de Problemas no debe confundirse con la Gestión de

Incidencias. Esta última, no se preocupa de encontrar y analizar las

causas subyacentes a una determinada incidencia sino exclusivamente

a restaurar el servicio. Sin embargo existe una fuerte interrelación entre

ambas.

Continuando con el ejemplo anterior, la Gestión de Problemas seencargaría de buscar las causas del fallo en la ejecución del proceso

batch y proponer una solución (RFC) que será atendida en la Gestión

del Cambio.

Gestión de Cambio

Tiene como objetivo desarrollar una metodología estándar para

gestionar los cambios, manejándolos con rapidez y con el menor

impacto posible. De esta forma se asegura en todo momento la calidad

Page 71: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 71/124

 

MARCOS DE REFERENCIA

63

y continuidad del servicio TI y se provee una mejor visión del riesgo y

costes.

En el caso de ejemplo, se analizaría la petición de cambio

solicitada desde la Gestión de Problemas, se aprobaría y planificaría.También se elaborarían planes de back-out con el fin de volver a la

situación inicial en caso necesario.

Gestión de Despliegues

Se centra en el diseño e implementación de los procedimientos

de distribución e implantación, asegurándose de que se pone en

marcha únicamente las versiones correctas, consistentes y autorizadas,

que serán implementadas en el entorno de producción tras suverificación en un entorno realista de pruebas.

Se ha de garantizar que el proceso de cambio cumple las

especificaciones de la RFC correspondiente y, en colaboración con la

Gestión de Cambios y Configuraciones, que todos los cambios se ven

correctamente reflejados en la CMDB.

En el ejemplo, la Gestión de Despliegue se encargaría de llevar

a cabo el cambio finalmente aprobado bajo las mejores condiciones

para el servicio.

Gestión de la Configuración

Constituye junto con la CMDB el núcleo de la solución ITIL. Su

función es proveer y mantener información precisa de la configuración y

su documentación, apoyando todos los procesos vistos en la Gestión

global de los Servicios.

Prestación de Servicios

Bajo esta denominación quedan englobadas todas las actividades

encargadas de monitorizar y gestionar la calidad de los Servicios desde la

perspectiva de negocio y financiera.

Page 72: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 72/124

 

MARCOS DE REFERENCIA

64

Ilustración 27: Área de responsabilidad de Prestación de Servicio

Se apoya en los grupos descritos anteriormente y se subdividen en

varias categorías, como se aprecia en la siguiente figura:

Ilustración 28: Procesos dentro de la Prestación de Servicios

Los procesos involucrados en la Prestación de Servicios se

apoyan en el conjunto de los procesos de Soporte a Servicios. Para

asegurar los objetivos del negocio, se ha de gestionar adecuadamente

la visión financiera, la continuidad, la capacidad y la disponibilidad de

los servicios. Para lograrlo, es vital disponer de la información que

Page 73: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 73/124

 

MARCOS DE REFERENCIA

65

proveen los procesos de Soporte a Servicios, que detallan la situación

de los recursos TI de la organización, desde el punto de vista de los

servicios que se ofrecen.

Gestión de la DisponibilidadSe trata de asegurar que los Servicios TI están diseñados para

proveer los recursos de disponibilidad que requiere el negocio, siendo el

punto de registro de todos los eventos que afectan a la disponibilidad TI.

Asimismo se ha de desarrollar un Plan de Mantenimiento.

Gestión de la Capacidad

La finalidad de la Gestión de la Capacidad es ajustar los costes

de la capacidad TI con las necesidades presentes y futuras del negocio,generando proyecciones fiables y manteniendo un Plan de Capacidad.

Gestión Financiera

Las actividades englobadas en este ámbito son de tipo

presupuestario, contable y de política de precios. Se identificará el coste

real de la provisión de Servicios TI, controlando y gestionando su lado

financiero.

Gestión de la Continuidad

Debe actuar proactivamente para asegurar la continuidad del

negocio en todo momento, gestionando el riesgo y elaborando Planes

de Contingencia para ocasiones de desastre. Otro aspecto importante

es la concienciación en toda la organización y la realización de pruebas

de forma regular.

2.5.3. Gestión del SLA y seguridad en ITIL

El objetivo fundamental de la Gestión del Nivel de Servicio es la

definición, negociación y mejora de la calidad de los servicios TI. Esta calidad se

concreta en el Acuerdo de Nivel de Servicio (SLA), que detalla el Servicio a

prestar, consensuado por ambas partes, Organización TI y Cliente.

Esta cuestión constituye el eje central del Negocio y por ello ha de

manejar una visión global y completa de toda la organización. De ahí su relación

con todas y cada una de las áreas de gestión que se han visto hasta este

momento, tanto de Soporte como de Prestación.

Page 74: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 74/124

 

MARCOS DE REFERENCIA

66

Finalmente y abarcando varias áreas, la Gestión de la Seguridad tiene

como objetivo el cumplimiento de los requisitos de seguridad en los SLAs,

asegurando además un nivel de seguridad básico independiente de los

requisitos externos.

Page 75: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 75/124

 

 

3 Comparativa de

modelos

Page 76: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 76/124

 

COMPARATIVA DE MODELOS

68

3.1. Introducción.

Una vez descritos los diferentes marcos de gobierno TI, vamos a realizar una

comparativa entre los diferentes modelos y normas descritos, identificando los

aspectos de Gobierno TI contemplados en cada uno de ellos a fin de poder hacer una

recomendación de uso.

Partimos del hecho reconocido de que COBIT es actualmente el marco más

amplio y aceptado, con lo que estableceremos correspondencias de este con el resto

de normas, estándares y buenas prácticas.

3.2. Cobit e Iso 38500

De la descripción realizada en el capítulo anterior del marco COBIT y de la

norma ISO 38500 podemos comprender que ISO 38500 no se posiciona como una

alternativa a COBIT, sino como un complemento a este.

La misma norma ISO 38500 recomienda a la alta dirección de las

organizaciones el uso de una selección de marcos, normas y estándares para llevar acabo sus funciones de gobierno TI.

En cualquier caso, lo verdaderamente importante de cualquier mecanismo de

Gobierno TI es el que la dirección de la organización, al nivel más alto, sea consciente

de la necesidad y participe activamente en establecer y monitorear el sistema de

gobierno TI elegido.

En este sentido, la mayor coincidencia de COBIT e ISO 38500 no está en la

coincidencia en los procesos, actividades o principios, sino en la identificación de laalta dirección como responsable del Gobierno TI de la organización, y en la necesidad

de un alineamiento de las actividades de TI y negocio como fuente de valor.

Una de las publicaciones de ITGI, Board Briefing on IT Governance  (6)

proporciona orientación sobre los roles y responsabilidades para el gobierno de TI en

las empresas y para la función de TI, ya sea interna o tercerizada, y describe la forma

de establecer un eficaz comité ejecutivo (estratégico) de TI.

Page 77: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 77/124

 

COMPARATIVA DE MODELOS

69

Dado que el estándar ISO 38500 no define un conjunto concreto de procesos,

no es posible establecer una equivalencia a nivel de procesos. Realmente ISO 38500

se centra más en QUÉ se debe hacer, mientras que COBIT se focaliza en el CÓMO .

Vamos a analizar con mayor detalle las partes de COBIT que dan soporte a los

principios definidos en la norma ISO 38500.

Responsabilidad

Según este principio de la norma ISO 38500, se requieren estructuras

de organización de gobierno apropiadas, así como funciones y

responsabilidades correctamente asignadas por la dirección, que proporcionenclaridad en cuanto a la autoría y la rendición de cuentas por las tareas y

decisiones importantes.

Veamos cómo ayuda COBIT a conseguir esto:

ITGI, en publicaciones complementarias al propio modelo, como

en Board Briefing on IT Governance  , proporciona orientación

sobre los roles y responsabilidades de la dirección y de la

función TI para garantizar el Gobierno TI.

COBIT proporciona matrices RACI de responsabilidades en los

distintos procesos.

Estrategia

En la publicación Board Briefing on IT Governance  se explica cómo

debe implementarse una planificación estratégica TI efectiva alineada

con la estrategia de la organización de forma que aporte valor.

Asimismo, en el dominio Planificar y organizar PO, se definen los

procesos necesarios para una planificación efectiva por parte de la

función TI.

Page 78: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 78/124

 

COMPARATIVA DE MODELOS

70

Adquisición

El dominio Adquirir e Implementar AI proporciona una guía sob re cómo

adquirir e implementar soluciones viables incluyendo la especificación

de requisitos, implementación, pruebas, formación a usuarios, etc.

Asimismo, en el dominio PO se contemplan procesos de planificación

de inversiones así como planificación de de programas y proyectos.

Desempeño

La medición efectiva del desempeño requiere de la definición clara de

objetivos e indicadores que deben ser establecidos de arriba abajo, de manera

coordinada y consistente. COBIT facilita el buen desempeño de las

organizaciones por medio de:

Definición de objetivos de TI asociados con los objetivos de la

organización con indicadores concretos y procesos de revisión

continuos y comparación con modelos de madurez.

Los procesos PO1 (Definir un plan estratégico de TI) y DS1 (Definir y

gestionar los acuerdos de servicio) ofrecen orientaciones específicaspara establecer metas concretas de desempeño.

El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se

focaliza en las responsabilidades de la dirección ejecutiva para esta

actividad.

Asimismo, el proceso ME4 (Supervisar y evaluar el gobierno de TI) se

orienta en la propia medición del desempeño del gobierno TI.

Conformidad

El cumplimiento normativo es uno de las mayores preocupaciones de

las organizaciones actuales. COBIT ayuda a cumplir con las diferentes

normativas con los siguientes recursos.

La base de COBIT es la definición de controles. El ambiente necesario

para la definición y evaluación de controles favorece el cumplimiento deobjetivos, incluidos los impuestos por las normasx internas y/o externas.

Page 79: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 79/124

 

COMPARATIVA DE MODELOS

71

En concreto, el proceso ME2 (Monitorizar y evaluar controles TI) se

encarga de monitorizar y evaluar la consecución de los controles

internos establecidos.En el proceso ME3 (Asegurar el cumplimiento de requisitos externos),

se sientan las bases para el análisis y la supervisión de los

requerimientos externos, incluyendo los normativos.

Comportamiento humano

ISO 38500 indica que la alta dirección debe preocuparse dell

comportamiento de las personas que de una manera u otra se relacionan con

las actividades TI. Esto debe ocurrir en dos sentidos: Las personas deben

comportarse de manera que afecten positivamente el desempeño de TI y debe

garantizarse que las actividades de TI no afecten negativamente a las

personas. COBIT colabora en este propósito por medio de los siguientes

elementos:

El proceso PO4 (Definir la organización y relaciones TI) explica como la

organización y sus procesos relacionados pueden satisfacer las

necesidades del personal a todos los niveles. Asimismo, de manera

explícita define el comportamiento esperado del personal en el

desempeño de su trabajo.

Por medio del proceso PO6 (Comunicar la dirección objetivos de la

gerencia) se asegura que los objetivos de la organización son

comunicados claramente y que la cultura laboral favorece una actitud

correcta del trabajador hacia el control y el riesgo.

PO7 (Gestión de los recursos humanos de TI) es el proceso específico

de COBIT para alinear el comportamiento de las personas con las

metas corporativas, la definición de responsabilidades y el

mantenimiento del conocimiento.

El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de

asegurar que los usuarios conocen lo necesario para garantizar un uso

eficaz de los sistemas TI.

Page 80: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 80/124

 

COMPARATIVA DE MODELOS

72

Evaluar

Los siguientes recursos de COBIT apoyan en la consecución de la tarea

Evaluar de ISO 38500:

Todo el modelo COBIT se basa en el ciclo de Deming que incluye

como acciones básicas la planificación inicial así como la

comprobación posterior de que las acciones se han desarrollado de

acuerdo a lo previsto

De forma más concreta, en la publicación IT Governance 

Implementation Guide: Using COBIT and Val IT, 2nd Edition , se

explica cómo focalizar la evaluación de TI en necesidades de

negocio y procesos críticos de TI, y luego, cómo realizar un análisis

de brecha respecto de las mejores prácticas.

Dirigir

No hay una correspondencia directa entre una parte concreta del

modelo COBIT y esta tarea definida en la norma ISO 38500. Sin embargo,

todo el modelo COBIT proporciona una base para evaluar la idoneidad de lasprácticas de gestión y los controles de TI, permitiendo a la dirección la

evaluación y comparación de la capacidad de los procesos de TI.

Monitorizar

La monitorización es parte de toda la filosofía de COBIT. En particular:

La publicación Board Briefing on IT Governance, describe lo que los

consejos de dirección deberían hacer para supervisar efectivamente el

gobierno corporativo.

Todo el dominio ME cubre la medición del desempeño, la efectividad del

control interno, conformidad con requisitos externos y la consecución de

un eficaz gobierno corporativo.

La siguiente figura resume las relaciones y coincidencias entre ambos modelos:

Page 81: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 81/124

 

COMPARATIVA DE MODELOS

73

ISO 38500 COBITPublicaciones complementarias (Board brief ing..)

Tablas RACI de los procesosFilosofía subyacente a todo el modelo

Actividades de supervisión del Gobierno IT en ME4

Publicaciones complementarias (Board brief ing..)

Procesos de planificación y organización PO

Planificación de inversiones

Planificación de programas y proyectos

Dominio AI (adquirir e implementar) define procesos necesarios

para la gestión de las adquisiciones

El dominio ME incluye orientaciones sobre cómo supervisar y

evaluar las inversiones y adquisiciones

Definición de objetivos claros y medibles

Alineamiento con el negocio

PO1 Definir Plan estratégico ayuda definir metas

DS1 Definir y gestionar SLAs (definir metas)

ME1 Monit. Desempeño IT (Medir cumplimiento obetivos)

ME4 Monit. Desempeño Gobierno IT (Medir cumplimiento

objetivos)

Definición de controles

ME2 Monitorizar y evaluar controles TI

ME3 Asegurar el cumplimiento de requisi tos externos

PO4 Definir la organización y relaciones TI

PO6 Comunicar la dirección objetivos de la gerencia

PO7 Gestión de los recursos humanos de TI

DS7 Educar y entgrenar a los usuarios

Basado en modelo PDCA Deming

En IT Governance Implementation Guide: Using COBIT and Val IT,

se explica cómo focalizar la evaluación de TI en necesidades de

negocio y procesos críticos de TI, y luego, cómo realizar un análisis

de brecha respecto de las mejores prácticas.

Dirigir

Todo el modelo COBIT proporciona una base para evaluar la

idoneidad de las prácticas de gestión y los controles de TI,permitiendo a la dirección la evaluación y comparación de la

capacidad de los procesos de TI

Basado en modelo PDCA Deming

Board briefing...describe lo que los consejos de dirección

deberían hacer para supervisar efectivamente el gobierno

corporativo

Todo el dominio ME cubre la medición del

desempeño, la efectividad del control interno, conformidad con

requisitos externos y la consecución de un eficaz gobierno

corporativo

Monitorizar

Responsabilidad

Estrategia

Adquisición

Desempeño

Conformidad

Comportamiento humano

Evaluar

Page 82: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 82/124

 

COMPARATIVA DE MODELOS

74

Tabla 7. Relaciones COBIT-ISO 38500

3.3. Cobit y PMBOK

Formalmente, PMBOK no es un estándar orientado hacia el Gobierno TI,

sino hacia la gestión de los proyectos, bien en el ámbito de las Tecnologías de la

Información o en cualquier otro sector.

Sin embargo, como hemos referido en el capítulo anterior, los proyectos seenmarcan normalmente en programas y porfolios, que son utilizados por las

organizaciones para implementar sus estrategias corporativas y, por ende, sus

estrategias en el ámbito de las TICs,

Asimismo, los proyectos suelen ser los marcos en los que se concretan las

inversiones de la organización, incluyendo aquellas específicas de las TICs, con lo

que es evidente la repercusión de las prácticas de la gestión de los proyectos en el

Gobierno TI de las organizaciones.

Por otro lado, COBIT no es un estándar de gestión de proyectos, aunque sí

identifica la gestión de proyectos como un proceso TI.

Si analizamos COBIT encontramos cinco procesos comunes con PMBOK:

Administrar la inversión en TI (PO5):

PMBOK trata en los procesos del área del conocimiento Gestión de costes

del proyecto los aspectos relativos a la elaboración y seguimiento del

presupuesto, gestión de costes de recursos y gestión financiera del

proyecto.

Administrar la Calidad (PO8):

La Gestión de la calidad  uno de los procesos de Cobit en el que se

establece como objetivo de control la creación de un sistema de

administración de la calidad basados en procesos y estándares probados

Page 83: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 83/124

 

COMPARATIVA DE MODELOS

75

para garantizar la mejora continua y medible de la calidad de los servicios

prestados en TI.

PMBOK cubre parcialmente este objetivo en lo que se refiere al ámbito de

los proyectos ya que cubre los procesos necesarios para planificar, dar

seguimiento, controlar y garantizar que se cumpla con los requisitos de

calidad del proyecto.

Es una coincidencia parcial en cuanto al ámbito de aplicación y será más

coincidente en tanto que la cultura de la organización esté más orientada

hacia los proyectos y menos hacia una estructura funcional del trabajo.

Evaluar y administrar riesgos de TI (PO9):

Al igual que en el caso anterior, para COBIT el ámbito de la Gestión de

riesgos es global a la organización en tanto que cubre la creación y

mantenimiento de un marco de administración de riesgos.

PMBOK cubre únicamente la gestión de riesgos del proyecto, si bien es

conveniente apuntar que en general es en los cambios (organizativos,

técnicos, etc) en donde la organización puede verse sometida a mayores

riesgos. Un análisis de amenazar y vulnerabilidades y de sus impactos

sobre la organización en los proyectos contribuye decisivamente en la

administración global de riesgos para la organización.

Administrar Proyectos (PO10):

COBIT propone este proceso con el fin de establecer un programa y un

marco de control para la administración de todos los proyectos de TI.

En el caso de PMBOK, este objetivo está implícito y se referencian las

mejores prácticas para su consecución.

Page 84: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 84/124

 

COMPARATIVA DE MODELOS

76

Por lo tanto, hay concordancia de propósitos entre ambas normas ya que

mientras COBIT establece qué  debe hacerse para garantizar la

Gobernabilidad TI, PMBOK indica cómo hacerlo. 

Adquirir recursos de TI (AI5):

Este proceso es el que define COBIT con el fin suministrar a la organización

recursos TI, incluyendo personas, hardware, software y servicios. Esto

requiere de la definición y ejecución de los procedimientos de adquisición,

la selección de proveedores, el ajuste de arreglos contractuales y la

adquisición en sí. El hacerlo así garantiza que la organización tenga todos

los recursos de TI que se requieren de una manera oportuna y rentable

PMBOK trata estos aspectos en los procesos de Gestión de los Recursos

Humanos y Gestión de Adquisiciones aunque, al igual que en los casos

anteriores, en el marco de los proyectos.

La siguiente figura resume la concordancia de procesos entre ambas

normas:

Page 85: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 85/124

 

COMPARATIVA DE MODELOS

77

Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK

Procesos Cobit

1 2 3 4 5 6 7 8 9 10 11 12 13

Planificación yorganización PO

Definir el plan

estratégico deTI.

Definir la

arquitectura

de la

información

Determinar la

direccióntecnológica.

Definir

procesos,

organ. y relac.

de TI.

Administrar la

inversión enTI.

Comunicar las

aspiraciones y

la dirección de

la gerencia.

Administrar

recursos

humanos de

TI.

Administrar

calidad.

Evaluar y

administrarriesgos de TI

Administrar

proyectos.

Adquisición eImplementación

AIIdentificar

soluciones

automatiz.

Adquirir y

mantener el

software

aplicativo

Adquirir y

mantener la

infraestruct.

tecnológica

Facilitar la

operación y el

uso

Adquirir

recursos de TI

Administrar

cambios

Instalar y

acreditar

soluciones y

cambios

Soporte yEntrega

DSDefinir y

admin. niveles

de servicio

Administrar

servicios de

terceros

Administrar

desempeño y

capacidad

Garantizar la

continuidad

del servicio

Garantizar la

seguridad de

los sistemas

Identificar y

asignar costos

Educar y

entrenar a los

usuarios

Administrar la

mesa de

servicio y los

incidentes

Administrar laconfiguración

Administrar

los problemas

Administrar

los datos

Administrar el

ambiente

físico

Administrarlas

operaciones

Monitorización MEMonitorear y

evaluar el

desempeño de

TI

Monitorear y

evaluar el

control

interno

Garantizar

cumplimiento

regulatorio

Proporcionar

gobierno de TI

Procesos Cobit cubiertos por PMBOK

1 2 3 4 5 6 7 8 9 10 11 12 13

Planificación yorganización

POAdministrar la

inversión en

TI.

Administrarcalidad.

Evaluar y

administrar

riesgos de TI

Administrarproyectos.

Adquisición eImplementación

AI Adquirir

recursos de TI

Soporte yEntrega

DS

Monitorización ME

Page 86: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 86/124

 

COMPARATIVA DE MODELOS

78

3.4. Cobit e ITILSi bien no se había planteado como un objetivo inicial de este trabajo, creemos

conveniente clarificar la relación entre ITIL y COBIT, principalmente porque muchas

organizaciones del sector público han emprendido durante los últimos años iniciativas

de implantación de las buenas prácticas ITIL.

En este punto, es necesario tomar una decisión sobre con qué versión de ITIL

realizaremos la comparativa. Desde un punto de vista académico la respuesta

evidente debiera ser la versión 3 de ITIL, que es la más reciente.

Sin embargo, es propósito de este estudio la aplicación práctica de los

contenidos desarrollados. En este sentido, las no muy numerosas iniciativas reales de

implantación de las buenas prácticas de ITIL en organismos del sector público se han

realizado teniendo en cuenta la versión 2 de ITIL. Esto es debido a que los impulsores

de estas iniciativas han sido los propios departamentos de TI, que han visto la

oportunidad de mejorar sus procesos más críticos (Gestión de incidencias y

problemas, Gestión de la configuración, Gestión del cambio, etc). Por todo ello, vamos

a elegir ITIL V2 como la versión base con la que establecer la comparación.

Si nos fijamos en los procesos de ITIL, existe una correspondencia con los

siguientes procesos de COBIT:

Determinar la dirección tecnológica (PO3): Este proceso de COBIT indica la

necesidad de determinar la dirección tecnológica para dar soporte al negocio, lo

que requiere la creación de un plan de infraestructura tecnológica y un comité dearquitectura. El plan debe incluir las actuaciones ante contingencias y la

orientación para la adquisición de recursos tecnológicos.

No hay una gran coincidencia entre este proceso COBIT y los procesos ITIL. Sí

hay una coincidencia, pero podemos decir que más en el espíritu que en la letra.

Sin embargo, hemos querido reflejar esta relación porque ITIL es el primer marco

de referencia que se apoya en la planificación, establecimiento de objetivos,

medición del rendimiento y mejora continua para un mejor control de las TICs.De hecho, parte de los procesos de COBIT están claramente basados en ITIL.

Page 87: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 87/124

 

COMPARATIVA DE MODELOS

79

Definir los procesos, organización y relaciones de TI (PO4): La organización TI

debe definirse tomando en cuenta los requerimientos de personal, funciones,delegación, autoridad, roles, responsabilidades y supervisión. Esta organización

debe estar incrustada en un marco de procesos TI para asegurar la

transparencia y control.

ITIL identifica varios de los procesos necesarios en cualquier organización TI y

facilita la asignación de responsabilidades para llevarlas a cabo, a la vez que

indica cómo deben realizarse los procesos de acuerdo a las mejores prácticas.

Administrar la inversión de TI (PO5): Cada organización TI debe establecer un

marco de trabajo para administrar las inversiones en TI abarcando el estudio de

costos, beneficios, prioridades del presupuesto y monitorización de los gastos

de forma que sea posible demostrar el valor de las inversiones para el negocio.

ITIL cubre estos aspectos en su proceso de Gestión Financiera, en el que

aborda cómo planificar y ejecutar los objetivos de negocio, promoviendo la

Gestión de la infraestructura por medio del uso eficaz y económico de los

recursos. Para ITIL se trata de decisiones estratégicas en la definición y

provisión de los servicios.

Es en los procesos del grupo de procesos Administrar e implantar  y en el grupo de

procesos Entregar y dar soporte de COBIT  en los que se da una mayor coincidencia

entre ambos marcos, como veremos a continuación:

Facilitar la operación y el uso (AI4): El conocimiento sobre los sistemas TIC debe

estar disponible, lo que requiere la generación de documentación y manuales

para usuarios y para TI. Asimismo, debe procurarse el adiestramiento de los

usuarios y de la organización en general en el uso y operación correcta de las

aplicaciones y sistemas de información.

ITIL establece el Service Desk como único punto de contacto para todas las

necesidades de servicio de los usuarios de la organización. Es la parte d elaorganización encargada de transmitir la información y la formación a los usuarios

Page 88: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 88/124

 

COMPARATIVA DE MODELOS

80

en el uso de las aplicaciones y sistemas de información. Todos los

procedimientos y usos de los sistemas deben documentarse y hacerse llegar a

los interesados.Administrar cambios (AI6): Todos los cambios relacionados con la infraestructura

y las aplicaciones dentro del ambiente de producción deben administrarse formal

y controladamente. Los cambios se deben registrar, evaluar y autorizar de

manera previa a la implantación y revisar los resultados después de esta.

La Gestión de cambios es, como hemos visto, uno de los procesos claves de

ITIL y actúa en conjunción con la gestión de configuración para asegurar un

inventario fiable de los activos TI de la organización y un control del ciclo de vidade estos, garantizando los objetivos de control del proceso tal y como ha sido

definido en COBIT.

Instalar y acreditar soluciones y cambios (AI7): Una vez completado el desarrollo

de los nuevos sistemas, deben realizarse pruebas en un ambiente dedicado con

datos de prueba relevantes, definir las instrucciones de migración al entorno de

producción y realizar una revisión post-implantación.

Se corresponde con los procesos Gestión de la entrega y gestión de cambios de

ITIL en los que se tratan profundamente los procedimientos de pruebas de

soluciones y de paso a producción.

Definir y administrar niveles de servicio (DS1): Es el proceso que permite la

identificación de los requerimientos de servicio, permite establecer los acuerdos

de nivel de servicio (SLAs) y monitoriza su cumplimiento.

Es clara la influencia de la Gestión del servicio de ITIL en la definición de las

objetivos de este proceso COBIT. ITIL no solo subscribe estos objetivos , sino

que presenta las mejores prácticas conocidas para llevarlo a cabo.

Administrar servicios de terceros (DS2): En numerosas ocasiones, las

organizaciones deciden apoyarse en terceros para proporcionar el servicio

demandados por sus clientes internos y externos. Este ejercicio requiere lagestión del establecimiento de las relaciones bilaterales con los proveedores de

Page 89: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 89/124

 

COMPARATIVA DE MODELOS

81

servicios tercerizados y la monitorización de la prestación del servicio para

verificar y asegurar su cumplimiento.

No existe en ITIL V2 un proceso específico para la gestión de servicios

tercerizados, si bien todo lo que aplica a la gestión del servicio y los demás

procesos es también de aplicación para los servicios externalizados. Hay, por lo

tanto, una coincidencia parcial.

Administrar desempeño y capacidad (DS3): Una correcta provisión del servicio

requiere una monitorización del desempeño así como una vigilancia de la

capacidad de los sistemas, estableciendo no solo los mecanismos de

monitorización, sino los planes necesarios para prever las necesidades y realizar

una entrega del servicio funcional y a tiempo.

Se corresponde con los procesos ITIL Gestión del rendimiento y Gestión de la

Capacidad, dentro de lo que se denomina Entrega o Provisión del Servicio.

Garantizar la continuidad del servicio (DS4): Hoy en día es necesario brindar

continuidad en los servicios TI, lo que requiere desarrollar, mantener y probar

planes de contingencia TI.

ITIL pone su foco en garantizar la continuidad de los servicios, es decir, en

administrar la capacidad de la organización para continuar ofreciendo el nivel

acordado de los servicios TI, incluso en el caso de una interrupción del negocio.

Garantizar la seguridad de sistemas (DS5): Un plan de seguridad de TI es

necesario para garantizar la confidencialidad, integridad y disponibilidad de los

sistemas de información, identificando las vulnerabilidades y amenazas de

seguridad y proporcionando mecanismos de monitorización, detección, reporte y

corrección de los incidentes de seguridad.

ITIL no trata de manera profunda los aspectos de seguridad de los sistemas de

información, pero los propios procesos de ITIL permiten garantizar mejor la

Page 90: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 90/124

 

COMPARATIVA DE MODELOS

82

disponibilidad e integridad de los datos, con lo que hay una coincidencia parcial

entre ambos marcos de trabajo.

Identificar y asignar costos (DS6): COBIT también establece la necesidad de

establecer un mecanismo justo y equitativo de asignar costos de TI al negocio, lo

que permitirá una mejor toma de decisiones sobre las inversiones TI.

El proceso de Gestión Financiera de ITIL, por su parte, trata sobre cómo

implementar una contabilidad exacta de servicios TI y atribuirlos a clientes o

servicios, mejorar confianza en presupuestos, facilitar la toma de decisiones

sobre inversiones, realizar un control y una gestión financiera de recursos,clasificando los costes y operando el departamento TI como una unidad de de

negocio.

Administrar la mesa de servicio y los incidentes (DS8): Es necesario para

responder de manera oportuna y efectiva a las consultas y problemas de los

usuarios finales.

Se corresponde con lo que en ITIL son los procesos de Gestión de niveles de

servicio, Gestión de incidentes y con la función del Service Desk.Hay una

coincidencia completa entre COBIT e ITIL.

Administrar la configuración (DS9): Debe garantizarse la seguridad de las

configuraciones hardware y software, lo que implica disponer de un repositorio

de configuración completo y confiable. Está muy relacionado con la gestión del

cambio, en tanto que los cambios alteran las configuraciones base.

En ITIL, la Gestión de la configuración y su repositorio, la CMDB, son el nucleo

central del soporte y la provisión de servicios TI.

Administrar los problemas (DS10): Persigue como objetivo la correcta

administración de problemas, incluyendo la identificación, clasificación,

escalación, resolución y cierre de problemas.

Se corresponde con el proceso de Gestión de problemas en ITIL.

Page 91: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 91/124

 

COMPARATIVA DE MODELOS

83

Administrar los datos (DS11): La información es el recurso más valioso de la

organización. Deben establecerse mecanismos para la administración, respaldo

y recuperación de los datos de la organización.

No hay correspondencia con algún proceso concreto de ITIL aunque, como

ocurría con la gestión de la seguridad, los procesos ITIL permiten un mayor

control de los sistemas TI y de los datos que se soportan.

La siguiente figura muestra de manera visual la correspondencia entre las

buenas prácticas ITIL y el marco de referencia COBIT. Esta relación no es de

solapamiento en tanto que el objetivo de COBIT es identificar qué  debe hacerse,

mientras que en ITIL se muestra la mejor manera de realizarlo de acuerdo a las

mejores prácticas identificadas. En este sentido, ITIL y COBIT se complementan

perfectamente.

Ilustración 30. Correspondencia entre ITIL y COBIT

Nota: Los procesos con un menor grado de coincidencia se han marcado con un color

más claro.

Procesos Cobit cubiertos por ITIL

1 2 3 4 5 6 7 8 9 10 11

Planificación yorganización

PODeterminar la

dirección

tecnológica.

Definir

procesos,

organ. y relac.

de TI.

Administrar la

inversión en

TI.

Adquisición eImplementación

AIFacilitar la

operación y el

uso

Administrar

cambios

Instalar y

acreditar

soluciones y

cambios

Soporte yEntrega

DSDefinir y

admin. niveles

de servicio

Administrar

servicios de

terceros

Administrar

desempeño y

capacidad

Garantizar la

continuidad

del servicio

Garantizar la

seguridad de

los sistemas

Identificar y

asignar costos

Administrar la

mesa de

servicio y los

incidentes

Administrar laconfiguración

Administrar

los problemas

Monitorización ME

Page 92: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 92/124

 

COMPARATIVA DE MODELOS

84

3.5. Cobit e ISO 17799

Del estudio de las metodologías y buenas prácticas en uso en el ámbito de lastecnologías de la información creemos necesario al menos hacer una referencia a los

estándares en uso sobre la seguridad de los sistemas de información.

Aunque no se había planteado como objetivo inicial, no se puede hablar de

Gobierno TI sin referirse a la seguridad de los activos que soportan los sistemas de la

información.

Una parte de los objetivos del Gobierno TIC es garantizar que las tecnologías

de la información proporcionan valor al negocio. La otra parte está referida a evitar

riesgos a la organización, máxime cuando existe una creciente dependencia de todas

las actividades de la organización en las TIC. Por ello, es necesario introducir de

manera global el análisis de riesgos y los mecanismos de securización de los activos –

materiales o no – sobre los que se apoyan las actividades del negocio.

En este sentido la ISO 17799 y su evolución en el conjunto de normas ISO

27000 son la referencia universal y cubren gran parte de los objetivos de

aseguramiento indicados en la norma ISO 17799.

Muchas organizaciones han puesto en marcha iniciativas de conformidad con

esta norma, lo que facilita la adopción de mecanismos de Gobierno TI, basados en

COBIT o en otros marcos de referencia.

Se muestra a continuación la relación de procesos COBIT cubiertos en la

norma ISO 17799.

Page 93: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 93/124

 

COMPARATIVA DE MODELOS

85

Ilustración 31. Cobit vs. Iso 17799

Procesos Cobit cubiertos por ISO 17799

1 2 3 4 5 6 7 8 9 10 11 12 13

Planificación y

organizaciónPO

Definir la

arquitectura

de la

información

Determinar la

dirección

tecnológica.

Definir

procesos,

organ. y relac.

de TI.

Comunicar las

aspiraciones y

la dirección de

la gerencia.

Administrar

recursos

humanos de

TI.

Evaluar y

administrar

riesgos de TI

Adquisición eImplementación

AIAdquirir y

mantener el

software

aplicativo

Adquirir y

mantener la

infraestruct.

tecnológica

Facilitar la

operación y el

uso

Administrar

cambios

Instalar y

acreditar

soluciones y

cambios

Soporte yEntrega

DSAdministrar

servicios de

terceros

Administrar

desempeño y

capacidad

Garantizar la

continuidad

del servicio

Garantizar la

seguridad de

los sistemas

Educar y

entrenar a los

usuarios

Administrar la

mesa de

servicio y los

incidentes

Administrar laconfiguración

Administrar

los datos

Administrar el

ambiente

físico

Administrarlas

operaciones

Monitorización MEMonitorear y

evaluar el

desempeño de

TI

Monitorear y

evaluar el

control

interno

Proporcionar

gobierno de TI

Page 94: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 94/124

 

 

4 Gobierno TI en

el Sector Público

Page 95: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 95/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

87

4.1. Introducción.

En éste capítulo, vamos a definir las organizaciones tipo sobre las que vamos acentrar este estudio. Para ello, se definirá el concepto de Sector público, se concretará

el subconjunto de organizaciones de este sector que reúnen unas características

comunes en cuanto a procedimientos, normativa aplicable, estructuras organizativas

etc, y que serán en las que centraremos el foco de nuestro estudio.

Como caso general, se describirán las características organizativas de un

departamento ministerial típico, particularizando para la Seguridad Social ya que,

como hemos comentado anteriormente, aunque es propósito de este estudio el definirun modelo de gobernabilidad TI para las diferentes organizaciones del Sector público,

es también un objetivo perseguido el que dicho modelo se aplique en la Secretaría de

Estado de la Seguridad Social , en concreto, en la GISS.

4.2. Definición del Sector Público

Desde un punto de vista formal y de acuerdo a la definición normativa (7),

forman parte del Sector Público:

a) La Administración General del Estado.

b) Los organismos autónomos dependientes de la Administración General del

Estado.

c) Las entidades públicas empresariales, dependientes de la Administración

General del Estado, o de cualesquiera otros organismos públicos vinculados o

dependientes de ella.

d) Las entidades gestoras, servicios comunes y las mutuas de accidentes de

trabajo y enfermedades profesionales de la Seguridad Social en su función pública de

colaboración en la gestión de la Seguridad Social, así como sus centros y entidades

mancomunados.

e) Las sociedades mercantiles estatales, definidas en la Ley de Patrimonio de

las Administraciones Públicas.

Page 96: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 96/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

88

f) Las fundaciones del sector público estatal, definidas en la Ley de

Fundaciones.

g) Las entidades estatales de derecho público distintas a las mencionadas en

los párrafos b) y c) de este apartado.

h) Los consorcios dotados de personalidad jurídica propia (…). 

Sin embargo, desde un punto de más conceptual, podemos visualizar el sector

público Español en contraposición con el sector privado en la siguiente figura:

Ilustración 32. Sector Público vs. Sector privado

A lo largo de este documento, nos centraremos en la organizaciones del Sector

publico sin ánimo de lucro, ya que revisten una casuística común (organización,

procedimientos, legislación aplicable, etc) que las diferencia de aquellas cuyo objetivo

principal es la consecución de beneficios.

Sector Público

Sector Privado

Sin ánimode lucro

Con ánimode lucro

Fuerzas Armadas

EmpresasONGs

Sociedades públicasmercantiles

Entidades PúblicasEmpresariales

Agencias Tributaria

Fundaciones

Seguridad Social

Ayuntamientos

EntidadesFinancieras

Universidadesprivadas

Sector Educación

Page 97: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 97/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

89

4.3. Estructura General de un Ministerio.

En esta sección, se revisa la estructura general de un departamento ministerialpara identificar la estructura típica de gestión del mismo y encuadrar la función TIC y

su ámbito de influencia.

Normalmente, cada Ministerio dispone de una unidad con rango de

Subsecretaría que tiene a su cargo las labores administrativas, técnicas y la

coordinación o vinculación del ministerio con los servicios públicos u otros organismos

estatales. Por lo general son autoridades de confianza política y su nombramiento o

remoción depende del jefe de gobierno o del correspondiente Ministro.

Esta unidad suele agrupar unidades con rango de Direcciones Generales y de

Subdirecciones Generales. Por lo habitual, una de estas Subdirecciones tiene

encomendadas las funciones relativas a las Tecnologías de la Información y de las

Comunicaciones (TIC). Su ámbito de actuación suele ser el de la propia Subsecretaría

Si el Ministerio es suficientemente grande, pueden existir otras unidades con

rango de Secretaría general e incluso como Secretaría de Estado que funcionan de

manera autónoma a la Subsecretaría general en la mayoría de los aspectos. En estemismo sentido, suelen disponer de una unidad informática que se encarga de la

Dirección TIC en el ámbito de la Unidad.

El esquema general de la estructura organizativa se muestra en la siguiente

figura:

Page 98: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 98/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

90

Ilustración 33. Estructura General de un Ministerio

En ambos casos, las unidades informáticas tienen por lo general rango de

subdirección general, lo que indica que la Dirección TIC no suele estar al mismo nivel

de decisión de los responsables de las unidades a las que da servicio, lo que dificulta

el alineamiento entre la organización y la dirección de las TICs.

4.4. La Seguridad Social.

El caso de la Seguridad Social es un caso particular de lo explicado en el

apartado anterior. Orgánicamente, se corresponde con una Secretaría de Estado

dependiente del Ministerio de Trabajo e inmigración.

DepartamentoMinisterial

Dirección, ReglasProcedimientos

 

SubsecretaríaGeneral

Ámbito de GobiernoTI

SecretaríaGeneral o de Estado

Subdirección SubdirecciónTIC

DirecciónGeneral

Subdirección SubdirecciónEntidad

ProvincialEntidad

provincial

DirecciónTIC

Ámbito de GobiernoTI

DirecciónGeneral

Page 99: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 99/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

91

Ilustración 34. Estructura de la Seguridad Social

Es conveniente destacar que la informática de la Secretaría de Estado de la

Seguridad Social está dirigida desde un único organismo denominado Gerencia

Informática de la Seguridad Social (GISS).

Si bien la GISS tiene un carácter orgánico de Subdirección General, lo cierto es

que reporta directamente al Secretario de Estado de la Seguridad Social y su titular

participa en los consejos de Dirección de los organismos que lo conforman, en

particular, en el consejo de Dirección de la Tesorería General de la Seguridad Social y

en el Consejo Superior de las Tecnologías de la Información (COTEC), órgano de

Gobierno de la Secretaría de Estado en las cuestiones relativas a las TIC. La COTEC

es presidida por el Gerente de Informática y el él participan representantes de losorganismos que conforman la Secretaría de Estado (TGSS, INSS, ISM, Intervención

general de la Seguridad Social, MTIN, etc), lo que proporciona un mecanismo de

alineamiento estratégico entre las unidades de gestión y la dirección de las TIC.

4.4.1. Estructura

En la siguiente figura podemos ver con un mayor nivel de detalle la estructura

actual del Ministerio de Trabajo e inmigración (MTIN) en el que está encuadrada la

GISS.

Ministerio deTrabajo e Inmigración

SubsecretaríaGeneral

Ámbito de GobiernoTI

Dirección, ReglasProcedimientos

 

Secretaríade Estado de la

Seguridad Social

Subdirección SubdirecciónCPD

Dirección GeneralTGSS, INSS, etc

Subdirección SubdirecciónDirecciónProvincial

DirecciónProvincial

GISS

Ámbito de GobiernoTI

DirecciónGeneral

Page 100: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 100/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

92

Ilustración 35. Estructura detallada del MTIN

La Gerencia de Informática de la Seguridad Social, con dependencia orgánica y

funcional de la Secretaría de Estado de la Seguridad social, fue creada por Orden

Ministerial de 8 de enero de 1980 como Servicio Común sin personalidad jurídica; por

Real Decreto 703/1998, de 24 de abril, pasó a depender orgánicamente de la

Tesorería General de la Seguridad Social y, finalmente, por Real Decreto 1600/2004,

de 2 de julio, queda nuevamente adscrita a la Secretaría de Estado de la Seguridad

Social.

Su misión es ser el instrumento tecnológico al servicio de la Seguridad Social

para aproximar la gestión al ciudadano:

Desde su creación, su labor ha ido destinada a mejorar las prestaciones

informáticas a los usuarios, a través de la investigación, planificación y control de los

sistemas existentes, así como su mejor aplicación y aprovechamiento, incorporando,

SECRETARÍA DE ESTADO DE LASEGURIDAD SOCIAL

GABINETE DE LASECRETARÍA DE

ESTADO

MINISTERIO DE TRABAJO E INMIGRACIÓN

DIRECCIÓN GENERAL DEORDENACIÓN DE LASEGURIDAD SOCIAL

INTERVENCIÓNGENERAL DE LASEGURIDAD SOCIAL

SERVICIO JURÍDICO DE LAADMINISTRACIÓN

SEGURIDAD SOCIAL

GERENCIA DEINFORMÁTICA DE LASEGURIDAD SOCIAL

TESORERÍA GENERALDE LA SEGURIDAD SOCIAL

(TGSS)

INSTITUTO NACIONALDE LA SEGURIDAD SOCIAL

(INSS)

INSTITUTO SOCIALDE LA MARINA

(ISM)

Page 101: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 101/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

93

siempre que el presupuesto lo permitía, adelantos tecnológicos que supusieran una

mejor y más rápida atención al ciudadano.

Sus valores, según su propia definición, se concretan en:

Calidad para cumplir en tiempo y forma los requisitos del cliente de la

manera más eficaz y eficiente, partiendo de previsiones realistas.

Relación como capacidad para interactuar y mejorar la comunicación y

conocimiento mutuo.

Agilidad para la reacción ante imprevistos.

Innovación como actitud proactiva para la detección/ aplicación de

acciones futura.

A continuación, se describe la estructura organizativa de la GISS para su futura

referencia:

 

Ilustración 36. Estructura de la GISS

4.4.2. Sistema de Gestión de la Calidad

La Gerencia de Informática de la Seguridad Social

GERENTE

Centro deAsuntosExternos

Centro de

Coordinación

Centro deServicios

Centro deTecnología

C. de Calidad,Auditoria ySeguridad

Administraciónde Recursos y

Gestión deAdquisiciones

Unidades deDesarrollo deEntidades

Secretaría

UNIDADES ORIENTADAS ALCLIENTE DE GESTIÓN UNIDADES DE SOPORTE UNIDADES DE DESARROLLO

Page 102: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 102/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

94

Procesos SubprocesosEstrategia de la Organización Desarrollo del Plan estratégico de la organización

Preparación de los planes de desarrollo TIComunicaciones Internas y Externas Preparación del Plan de Comunicación

Ejecución del Plan de Comunicación

Gestión de Normas Definición de Normas

Recursos humanos Asignación

Formación

Gestión Económica Elaboración del Presupuesto

Control Presupuestario

Contratación Gestión de la demanda de Inversiones y servicios TIC

Gestión de la Ejecución del contrato

Tramitación del Contrato

Instalación y mantenimiento de Edificios Mantenimiento

Gestión de la Seguridad Análisis y gestión de riesgos

Auditoría de la Seguridad

Gestión de la Calidad Auditorías internas de la Calidad

Definición y Seguimiento de métricas

Gestión de las No conformidades

Mantenimiento del sistema de calidad

Planificación y revisión por la Dirección

Gestión de la Demanda Gestión de la demanda de trabajos

Gestión del Servicio al Cliente Creación y mantenimiento de ANS

Gestión de la relación con el cliente

Gestión de Proyectos Incorporación del proyecto

Planificación del proyecto

Ejecución del proyecto

Cierre del Proyecto

Gestión de la Cartera de proyectos

Desarrollo y mantenimiento de aplicaciones Ejecución del desarrollo y mantenimiento

Soporte al Servicio Resolución de incidencias

Implantación del Servicio Puesta en marcha del servicio

Tabla 8. Mapa de Procesos y Subprocesos de la GISS

4.4.3. Cobit y el SGC de la GISS

A modo de referencia, creemos conveniente incluir un gráfico con la

correspondencia aproximada entre los procesos de la GISS y COBIT.

Page 103: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 103/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

95

No se trata de una correspondencia completa con las actividades d ela

organización, en tanto que muchas de las tareas que se realizan, incluso de

acuerdo a las mejores prácticas conocidas, no han sido explicitadas oprocedimentadas.

Ilustración 37. Cobit Vs. SGC de la GISS

Nota: Los procesos con un menor grado de coincidencia se han marcado con

un color más claro.

Sin embargo, la relación nos permite identificar procesos que sería conveniente

abordar para la mejora organizativa bien porque no se han puesto en marcha o

por corresponder a tareas que, aunque se vienen realizando, no han sido

explicitadas en el sistema de calidad.

La inclusión dentro del SGC no es un acto exclusivamente formal, sino que

permite encuadrarlo dentro de un sistema de monitorización y seguimiento que

facilita la mejora continua de dichas actividades.

COBIT podría enriquecerse con un sistema de ponderación de cada uno de los

procesos tal y como se hace en el modelo de excelencia Europeo EFQM, de

forma que se pudiera puntuar el grado de adecuación e una organización al

modelo COBIT.

Procesos Cobit cubiertos en la GISS

1 2 3 4 5 6 7 8 9 10 11 12 13

Planificación yorganización

PODefinir el plan

estratégico de

TI.

Definir

procesos,

organ. y relac.

de TI.

Administrar la

inversión en

TI.

Comunicar las

aspiraciones y

la dirección de

la gerencia.

Administrar

recursos

humanos de

TI.

Administrar

calidad.

Evaluar y

administrar

riesgos de TI

Administrar

proyectos.

Adquisición eImplementación

AIAdquirir y

mantener el

software

aplicativo

Adquirir

recursos de TI

Instalar y

acreditar

soluciones y

cambios

Soporte yEntrega DS

Definir y

admin. nivelesde servicio

Garantizar la

seguridad delos sistemas

Identificar y

asignar costos

Administrar la

mesa de

servicio y los

incidentes

Administrar

lasoperaciones

Monitorización ME

Page 104: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 104/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

96

4.5. Diferencias con el Sector Privado.

En esta sección analizaremos las diferencias más significativas entre el sectorpúblico y el sector privado en lo relativo a las estructuras de gestión y de gobierno TI.

En un principio, los procesos operativos de una organización del sector público

no difieren significativamente de los una organización similar del sector privado. Por

ejemplo, la Seguridad Social se asemeja mucho a cualquier empresa del Sector de los

seguros.

Sin embargo, cuando observamos las mismas organizaciones a nivel

estratégico, nos damos cuenta de las diferencias en sus estructuras y de gobierno, tal

y como se indica en la tabla siguiente:

Page 105: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 105/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

97

Sector Público S Sector Privado 

Objetivos

Políticos Maximizar valor y

ganancias a los

accionistas

Toma de decisiones Rígida, colegiada, de

arriba abajo. Alejados de

realidad y del día a día dela organización.

Flexible, personal

Provisión de fondos Poco flexible Flexible

Satisfacción trabajo Media-baja Alta

Responsabilidad

personal (accountability)

Baja, salvo decisión

política. Orientación a la

decisión colegiada

Alta

Procedimientos Rígidos.. Poco orientados

a la eficacia.

Flexibles, adaptados a la

necesidad y al mercado

Sistemas de

recompensas e

incentivación

Incipientes, mal definidos Bien definidos

Stakeholders  Políticos, votantes,lobbies, , etc.

Principalmente accionistas.

Innovación Poco incentivada Ventaja competitiva

Tabla 9. Diferencias Sector Público y Privado

Page 106: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 106/124

 

GOBIERNO TI EN EL SECTOR PUBLICO

98

Uno de las diferencias esenciales del sector público con respecto al sector

privado tiene que ver con los grupos de interés a los que tiene que satisfacer la

organización. En el caso de las organizaciones privadas, el más claro grupo deinfluencia son los accionistas; Todas las acciones del gobierno ejecutivo de la

organización responden al objetivo de satisfacer al grupo de accionistas. En el caso

del sector público, el número de grupos de influencia crece (políticos, votantes,

población en general, empresarios, funcionarios, etc).

Esta diferencia entre ambos sectores oculta otras más significativas y que

tienen que ver con qué es importante para estos grupos de interés. En las empresas

privadas, el motor principal de sus estrategias y actividades es obtener el mayor valor

económico para los accionistas. En las organizaciones públicas el factor económico es

importante, pero secundario con respecto al valor político y al servicio prestado. Esto

hace muy difícil decidir en una organización pública si una actividad o iniciativa en TI

aporta valor al negocio.

Todo ello, unido a una menor flexibilidad y dinamismo en la toma de decisiones

y en los procedimientos de gestión del sector público conforman las diferencias

esenciales entre estos dos tipos de organizaciones.

Sin embargo, a pesar de las diferencias indicadas, el sector público se mueve cada

vez más dentro de un ambiente de constantes cambios económicos y políticos y sujeto

a una dependencia creciente en las tecnologías que le sumergen el mismo clima

turbulento que afecta a las empresas del sector privado.

Este cambio no ha sido del todo aceptado en las organizaciones públicas, que miran

con recelo los mecanismos de gestión utilizados en el mundo empresarial. Existe una

preocupación de que el lenguaje del consumismo, la excesiva orientación hacia unagestión del rendimiento, la orientación hacia el mercado, etc, puedan afectar

negativamente al sector público.

Page 107: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 107/124

 

 

Propuesta de

modelo de Gobierno

para el Sector 

Público

Page 108: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 108/124

 

 Propuesta de modelo para el sector público 

100

5.1. Introducción.

En los anteriores capítulos se ha definido el alcance del concepto de Gobierno

de las TIC y estableciendo su necesidad en las organizaciones en relación con el

Gobierno corporativo, que es una de las actuales preocupaciones de las

organizaciones públicas y privadas como forma de garantizar la salubridad de la

organización ante los accionistas, ciudadanos y otros grupos de interés.

Asimismo, se han descrito y analizado los principales marcos de Gobierno y las

mejores prácticas de gestión que se aplican en el sector público. Dado que el modelo

está dirigido a éste sector, se ha definido qué se entiende en el ámbito del modelo por

sector público, identificando las características que le diferencian de organizaciones

cuyo fin principal es el de conseguir un valor económico para los accionistas.

A continuación, describiremos los elementos que conforman la propuesta de

modelo para el sector público, apoyándonos para ello en las piezas y elementos que

han sido descritos anteriormente.

El modelo permitirá identificar un subconjunto de mejores prácticas que,aplicadas en conjunto y de la manera descrita, posibilitan el establecimiento de un

Gobierno TI robusto sobre el que pueda asentarse la organización.

5.2. Características del modelo

El modelo de Gobierno TI para el sector público debe cumplir con las

siguientes características, que son deseables para garantizar su aplicabilidad:

Basado en estándares y buenas prácticas conocidas.

Simple de entender y de aplicar, para facilitar su implantación inicial.

Flexible, para poder ser adaptado a diferentes organizaciones

Centrado en las responsabilidades de Gobierno de las organizaciones y

no en la gestión de las TIC y, sin embargo, compatible con estas.

Debe tener en cuenta a los diferentes actores en las organizaciones

públicas, desde la alta dirección hasta la propia organización TIC, que

debe proporcionar los medios e indicadores sobre los que se sustenta elpropio modelo de Gobierno.

Page 109: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 109/124

 

 Propuesta de modelo para el sector público 

101

Debe facilitar los mecanismos de alineamiento estratégico entre las

actividades de la unidad TIC y de la organización.

Debe integrarse con las prácticas y herramientas de Gobiernocorporativo de la organización.

Debe disponer los medios necesarios para conocer si la organización

está haciendo un uso eficiente y efectivo de los recursos TIC, en

particular, en lo relativo a nuevos proyectos e inversiones.

5.3. Elementos del ModeloComo hemos indicado, el Gobierno TI es un concepto rico y complejo y no

existe una única aproximación para dotar a una organización de un mecanismo

único que garantice conseguir los objetivos de Gobierno TI deseados.

Por el contrario, la mayor parte de las organizaciones ponen en marcha una

serie de iniciativas y mecanismos que, de forma conjunta, permiten aproximarse a

los objetivos perseguidos.

Entre estos mecanismos, hemos seleccionado los que creemos más

adecuados, teniendo cuidado de abarcar todos los aspectos necesarios, desde

aquellos relativos a la actitud de la dirección y de las estructuras organizativas que

soportan en Gobierno TI, hasta normas y prácticas más próximas a la Gestión de

las TIC que del Gobierno TI, pero que son las piezas necesarias en las que deben

apoyarse las iniciativas de Gobierno TI para alcanzar sus objetivos.

En este sentido, nuestro modelo se basará en los siguientes elementos oaspectos diferenciados:

Concienciación para la alta dirección

Estructuras organizativas

Alineamiento con el Gobierno corporativo

Sistema de Gestión de procesos

Monitorización del rendimiento e indicadores

Soporte a la Gestión de proyectos

Page 110: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 110/124

 

 Propuesta de modelo para el sector público 

102

5.3.1. Concienciación de la alta dirección

Desde un punto de vista conceptual, no es posible elaborar un modelo

efectivo de Gobierno para el sector público sin tener en cuenta los diferentes

actores que toman parte en la consecución de una adecuada gobernanza TI.

Entre los diferentes roles identificados, el de mayor importancia es el

correspondiente a la alta dirección de la organización, personalizada en el sector

público Español en Secretarios de Estado, Directores Generales, Directores de

Agencias gubernamentales, etc, es decir, los más altos responsables de las

unidades organizativas del sector público con competencias directas sobre las

unidades TIC.

Un gobierno TI débil, desprotegería a la organización frente a influencias

externas y conduciría a resultados económicos y de servicio por debajo de las

expectativas.

Por este motivo, el modelo de Gobierno TI para el sector público debe

contemplar como objetivo inicial la implicación directa y efectiva de estos altos

cargos en el ejercicio de sus responsabilidades fiduciarias. Se propone la adopcióndel estándar ISO 38500 como medio de divulgación y asunción de las

responsabilidades de Gobierno TI del directivo del sector público. Esta decisión se

avala en que la ISO 38500 es una norma internacional, la primera que trata los

aspectos de Gobierno TI como una responsabilidad de la alta dirección, lo que

hace mucho más fácil su adopción por parte de las organizaciones.

5.3.2. Definición estructuras organizativas

El modelo de Gobierno TI, si es aceptado por la alta dirección de la

organización como su responsabilidad directa, debe tener reflejo en las

estructuras organizativas. No se trata solo se reconocer el papel de la alta

dirección en el Gobierno TI, sino de garantizar que la alta dirección juegue un

papel de manera activa.

De hecho, uno de los primeros indicadores de que la alta dirección de la

organización ha asumido su responsabilidad en el control del las TICs es que se

creen en las estructuras organizativas necesarias para ejercer el control

Page 111: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 111/124

 

 Propuesta de modelo para el sector público 

103

deseado. Entre estas estructuras y mecanismos podemos significar las

siguientes:

Comité de estrategia TI 

Formado por miembros propios y ajenos al comité de dirección de la

organización, tiene como principal misión el aconsejar al consejo de

administración o junta de accionistas sobre aspectos específicos en TI.

Suele tener delegada la capacidad de elaborar la estrategia TI y

presentarla al consejo de administración para su aprobación. Es un punto de

encuentro y alineamiento entre la función TIC y el negocio

En este sentido, es responsabilidad de este comité el asegurarse de

que los asuntos de relevancia en las TICs son incluidos en la agenda de las

reuniones del consejo y tratados adecuadamente.

Comités de impulso (Steering commitees) 

La implementación detallada de la estrategia es responsabilidad de la

dirección ejecutiva, la cual puede apoyarse en comités específicos para el

impulso de áreas específicas (estrategia, seguridad, auditorías, proyectos, etc).

Definición de responsabilidades 

Deben definirse las personas responsables (accountable) de las

diferentes actividades TI. Esto se pondrá más adelante en relación con el

establecimiento de un sistema de gestión basado en procesos y de la medición

del rendimiento organizacional como mecanismo de apoyo al gobierno TI.

Función TI 

La propia estructura de la organización debe ubicar a la dirección de las

TIC en el lugar adecuado para garantizar su relación con el negocio, a saber:

Reporte del CIO directamente al más alto responsable de la unidad de

negocio (Secretario de Estado, Director de la Agencia, etc).

Participación del CIO en los comités de dirección de la organización.

Rango de la unidad de TI similar a las correspondientes de las unidades

de negocio.

Page 112: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 112/124

 

 Propuesta de modelo para el sector público 

104

Creación de la figura de responsable TIC para las AAPP a fin de

coordinar la estrategia TIC en todo el sector público.

*Chairman o presidente, con junta (CEO, CIO, etc)

5.3.3. Cuadro de mando integral para TI

Como hemos comentado, el alineamiento con el negocio es un objetivo

necesario para que las TICS proporcionen valor a las unidades de negocio.

En este sentido, deben establecerse mecanismos que favorezcan este

alineamiento y, para que sean efectivos, es conveniente sean mecanismos similares

a los utilizados por las unidades de gestión para el gobierno corporativo.

El mecanismo más común y conocido de soporte al gobierno corporativo es

el Cuadro de mando integral (Balanced scorecard o BSC) desarrollado en los 90s

por Kaplan y Norton (8) basado en la idea de que la evaluación de una organización

no debería basarse únicamente en indicadores económicos, como era la costumbre,

sino suplementarse a otras medidas relativas a la satisfacción del cliente, los

procesos internos y la capacidad para innovar. Kaplan y Norton desarrollaron una

estructura de 3 capas para estas perspectivas: misión, objetivos y medidas.

El modelo del BSC se puede sintetizar en la siguiente figura:

Page 113: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 113/124

 

 Propuesta de modelo para el sector público 

105

Ilustración 38. Cuadro de mando Integral

Dado que este modelo es conocido y utilizado en un gran número de

organizaciones, proponemos la utilización de un modelo similar de control del

Gobierno corporativo basándolo en un Cuadro de mando Integral TI particularizando

las cuatro perspectivas:

Finanzas

Objectivos Medidas

Procesos internos denegocio

Objectivos

Clientes

Objectivos Medidas

 Aprendizaje y Crecimiento

Objectivos Medidas

¿Cómo garantizar el dinero invertido por los accionistas? 

¿Cómo nos ven nuestros clientes? 

¿En qué debemos ser excelentes? 

¿Cómo podemos continuar mejorando y creando valor? 

Page 114: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 114/124

 

 Propuesta de modelo para el sector público 

106

Ilustración 39. Cuadro de mando integral TI

El desarrollo de un modelo específico escapa del alcance de este trabajo, si

bien se pueden encontrar referencias bibliográficas (9) para su desarrollo en una

organización específica.

5.3.4. Sistema de gestión de procesos (SGP)

El BCS permite tener una visión organizada y de alto nivel del estado del

Gobierno TI en una organización. Sin embargo, esta visión tiene que estar

apoyada en la consecución de unos objetivos concretos en las diferentes

actividades TIC.

Es en este punto en el que COBIT juega un papel central integrando la

visión estratégica de la organización con las mejores prácticas de gestión de las

TIC.

COBIT nos brinda un marco idóneo para determinar las áreas de las TIC

a las que hay que prestar atención y proporciona un conjunto de objetivos a

conseguir en cada área, relacionándolos con indicadores clave de rendimiento

en la consecución de dichos objetivos.

Contribución a la corporación

Objectivos Medidas

Excelencia operacional 

Objectivos Medidas

Orientación hacia los usuarios

Objectivos Medidas

Orientación hacia el futuro

Objectivos Medidas

¿Cómo ve nuestra dirección corporativa al depto. IT? 

¿Cómo ven los usuarios al depto. IT 

¿Son los procesos IT eficientes y efectivos? 

¿Están las TIC bien posicionada para afrontar los desafíos del futuro? 

Page 115: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 115/124

 

 Propuesta de modelo para el sector público 

107

Por lo tanto, el uso de COBIT en este modelo presentará las siguientes

características:

Selección de los procesos TIC críticos para garantizar una mejor

gobernanza TI. Esto implica utilizar un subconjunto o conjunto

reducido de procesos COBIT.

Identificación de los objetivos de control (indicadores) asociados

a los procesos seleccionados.

Vinculación de los indicadores de los procesos COBIT con los

indicadores de alto nivel de las cuatro perspectivas del cuadro

de mando integral TI.Por su forma de construcción, estos indicadores del BSC TI

estarán relacionados con el cuadro de mando integral de la

organización.

En el sentido descendente, los procesos COBIT seleccionados

se apoyarán en las mejores prácticas de gestión de las TIC.

En concreto, se propone la utilización de las metodologías y

buenas prácticas siguientes:

o PMI para la Gestión de proyectos.

o ITIL para la Gestión y entrega de los Servicios TIC.

o ISO 17799 para la Gestión de la seguridad.

Selección de procesos COBIT 

Dado que Cobit es la base central del modelo e indicábamos que es

necesario hacer una aproximación sencilla inicial para facilitar la adopción

paulatina de las medidas de Gobierno TI, vamos a definir un subconjunto de

procesos COBIT prioritarios de acuerdo a las siguientes premisas:

Relevancia del proceso dentro del propio modelo.

Pueden identificarse los procesos más influyentes en el modelo

haciendo un análisis de las entradas y salidas de cada uno de los

procesos de Cobit hacia otros, lo que nos da un indicativo de su

influencia sobre otros (las salidas o output del proceso van a un

número elevado de procesos) y/o de la sensibilidad del proceso

respecto a los demás procesos (en el caso de muchos inputs

provenientes de otros procesos).

Page 116: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 116/124

 

 Propuesta de modelo para el sector público 

108

Un estudio detallado de la relevancia de los inputs y outputs de los

procesos Cobit puede verse en la bibliografía (10).P04, PO6, PO7, PO8

Procesos de vinculación de TI con la estrategia de la organización.

Procesos clave en las mejores prácticas de soporte al servicio, a

saber: Gestión de configuración, Gestión de cambios, Gestión de

incidencias y problemas.

Procesos clave para la gestión de inversiones y proyectos.

Teniendo en cuenta estas directrices, el modelo simplificado de Cobit

agruparía los siguientes procesos:

Ilustración 40. Procesos esenciales de COBIT

5.3.5. Gestión del rendimiento

Hemos comentado anteriormente que, según el ITGI, el Gobierno TI se

basa principalmente en proporcionar valor al negocio y en mitigar los riesgos

derivados del uso de las TIC.

Ambos aspectos del Gobierno TI solo pueden ser alcanzados si se

conocer con certeza y precisión la evolución de las diferentes variables que

inciden en los objetivos establecidos.

1 2 3 4 5 6 7 8 9 10

Planificación yorganización

PODefinir el plan

estratégico de

TI.

Determinar la

dirección

tecnológica.

Definir

procesos,

organ. y relac.

de TI.

Administrar l a

inversión en TI.

Comunicar la s

aspiraciones y

la dirección de

la gerencia.

Administrar

recursos

humanos de TI.

Administrar

calidad.

Evaluar y

administrar

riesgos de TI

Administrar

proyectos.

Adquisición eplementación

AIAdquirir y

mantener el

software

aplicativo

Adquirir y

mantener la

infraestruct.

tecnológica

Facilitar la

operación y el

uso

Adquirir

recursos de TI

Administrar

cambios

Soporte yEntrega

DSDefinir y admin.

niveles de

servicio

Garantizar lacontinuidad del

servicio

Garantizar laseguridad de

los sistemas

Identificar y

asignar costos

Administrar l a

mesa de

servicio y los

incidentes

Administrar laconfiguración

Administrar los

problemas

Monitorización MEMonitorear y

evaluar el

desempeño de

TI

Monitorear y

evaluar el

control interno

Garantizar

cumplimiento

regulatorio

Page 117: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 117/124

 

 Propuesta de modelo para el sector público 

109

El modelo propuesto conlleva implícitamente la definición,

motizorización y evaluación de indicadores de rendimiento y de indicadores

claves de objetivos debido a las siguientes características:

Está basado en un sistema de gestión de procesos. Cada

proceso debe definir unos objetivos a alcanzar y unos

indicadores que monitorizar.

Los indicadores de nivel de proceso deben agruparse para

conformar el cuadro de mando integral de TI con indicadores

significativos para la alta dirección de la organización.

A su vez, los indicadores del cuadro de mando integral TI seconsolidan en el cuadro de mando integral corporativo en el que

los indicadores de TI reflejan la ayuda de la unidad TIC en

conseguir los objetivos de negocio.

Todo el sistema en sí está soportado en la idea del ciclo de

Demming (Plan-Do-Check-Act) que es la base de la mejora

continua de las organizaciones.

5.3.6. Soporte a las mejores prácticas de gestión

El modelo, tal y como ha sido diseñado, se integra perfectamente con las

mejores prácticas de gestión de las tecnologías de la información. En concreto,

apuesta decididamente por la utilización de los siguientes marcos:

Cuerpo de conocimiento de administración de proyectos del

Project Management Institute (PMBOK).Librería de Infraestructuras de Tecnologías de la información de la

oficina de comercio del gobierno Británico.

Sistema de Gestión de procesos para la mejora de la calidad,

base de la mayor parte de los sistemas de Gestión de Calidad,

como EFQM.

Estándar internacional de ISO para los sistemas de Gestión de la

Seguridad de la información, como ISO/IEC 17799, ISO 27002..

Page 118: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 118/124

 

 Propuesta de modelo para el sector público 

110

5.3.7. Estructura del modelo

Los diferentes componentes del modelo se combinan de la forma que se

muestra en la siguiente figura:

Ilustración 41. Estructura del modelo de Gobierno TI

Como se ha ido indicando, la alta dirección de la organización debe ser

concienciada para asumir sus responsabilidades en el Gobierno de las TIC, tal y como

se expresa en el estándar ISO 38500.

A fin de integrar el Gobierno TI como parte del Gobierno corporativo, se

utilizará un cuadro de mando integral específico para TI en el que se alinearán las

estrategias de TI con las marcadas por las unidades de negocio.

Los indicadores del cuadro de mando integral se elaborarán a partir de los

recogidos de un sistema de gestión basado en un subconjunto de procesos de COBIT.

Para ello, han sido seleccionados los procesos esenciales para el buen gobierno TI en

función de unos criterios generales previamente definidos.

Operaciones IT y controlesdetallados

ITIL/ISO:20000

CobiT

PMIBS7799

ISO:27001

   G  o   b   i  e  r  n  o   I   T

   G  e  s   t   i   ó  n   I   T

ISO:38500

Cuadro de mandoIntegral para IT

Page 119: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 119/124

 

 Propuesta de modelo para el sector público 

111

Este modelo se integrará con las prácticas de gestión más comunes como son

ISO 17799/ISO 27002, ITIL y PMBOK.

5.3.8. Implantación del modelo

El modelo deberá adaptarse a cada organización del sector público por

medio de una iniciativa promovida por la alta dirección, gestionada como un

proyecto que contemple al menos las siguientes etapas:

1. Definir los objetivos y establecer un equipo

2. Entender la relación necesaria para el alineamiento Negocio-IT

3. Analizar el estado actual y priorizar gaps4. Especificar acciones. Gestionarlas como un proyecto.

5. Elegir y evaluar los criterios de éxito.

6. Implementar, medir y retroalimentar resultados

El resultado de la iniciativa deberá ser reevaluado después de la

implementación de acuerdo a las buenas prácticas para la mejora continua.

Page 120: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 120/124

 

ACRONIMOS Y REFERENCIAS 

112

Acrónimos

ITIL (Information Technology Infrastructure Library): Es una definición debuenas prácticas que facilita la gestión de la calidad en la prestación delservicio. Definido inicialmente por el gobierno de Inglaterra, se ha convertidoen el estándar de ISO 20000.

CMDB (Configuration Management DataBase): Repositorio de informaciónfederada que relaciona los Elementos de Configuración (CI) de acuerdo conlos servicios a los que da soporte.

SLA (Service Level Agreement): es un acuerdo formal entre dos partes, elproveedor del servicio y receptor del servicio. Los contenidos que se definen

en el contrato del servicio puede variar según la naturaleza de este pero sueleincluir los elementos principales o cláusulas.

IT (Information Technology): Asociado a las organizaciones con fuerteimplementación de los servicios de Negocio sobre componentes tecnológicos.

BSM (Business Service Management): Área dentro de las organizacionesTI encargada de la gestión de los Servicios de Negocio. Su función principales verificar la calidad de los servicios de negocios que se proporciona a losclientes finales, así como la gestión de los costes por las incidenciasprovocadas.

ITAM (Information Technology Asset Management): Área dentro de las

organizaciones TI encargada de la gestión de Activos, incluyendo elinventario completo de los componentes electrónicos así como la gestiónfinanciera de estos.

CM (Configuration Management). Gestión de Configuración de loselementos tecnológicos.

BPMN (Business Process Modeling Notation): Lenguaje XML de alto nivelpara la definición de los procesos de Negocio. Se utiliza en herramientas quepermiten ver los procesos de negocio como un diagrama de actividadessecuenciales de forma visual.

BPEL (Business Process Execution Language): Lenguaje XML de

definición de los procesos de Negocios aplicados a Web Services. Estelenguaje define los servicios Web utilizados para cada uno de los procesos denegocio.

CobiT (Control Objectives for Information and Related Technology):Definición de los par´qmetros a medir dentro de las organizaciones TI paracontrolar el correcto funcionamiento de los procesos internos TI.

CEO, Chiel executive Officer, Directivo responsible de una organización entodos sus ámbitos.

CIO, Chief Information Officer, Directivo responsable de las TIC en unaorganización

Page 121: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 121/124

 

ACRONIMOS Y REFERENCIAS 

113

CMMI (Control Objectives for Information and Related Technology): Definición de la metodología de desarrollo del software en una organización odepartamento.

CI (Configuration Item): Elemento de configuración. Cualquier elemento deuna organización TI que participe en la prestación de los Servicios de lamisma.

Activo. Recurso (Asset): Cualquier cosa que tenga valor para laorganización.

Disponibilidad (availability): Propiedad de ser accesible y usable bajodemanda por una entidad autorizada.

Confidencialidad (confidentiality): Propiedad que la información no estédisponible o pueda ser descubierta por usuarios no autorizados, entidades oprocesos.

Seguridad de la información: Preservación de la confidencialidad,integridad y disponibilidad de la información, en adición también de otraspropiedades como autenticación, autorización, registro de actividad, norepudio y confiabilidad pueden ser también consideradas.

Eventos de seguridad de la información: Ocurrencia de un eventoidentificado sobre un sistema, servicio o red, cuyo estado indica una posiblebrecha en la política de seguridad de la información o fallo en elalmacenamiento de la misma, también cualquier situación previa desconocidaque pueda ser relevante desde el punto de vista de la seguridad.

Incidente de seguridad: uno o varios eventos de seguridad de la

información, no deseados o inesperados que tienen una cierta probabilidadde comprometer las operaciones de la empresa y amenazan a la seguridadde la información.

Sistema de administración de la seguridad de la información (ISMS:Information Security Management System): Parte de los sistemas de laempresa, basado en el análisis de riesgo de negocio, cuya finalidad esestablecer, implementar, operar, monitorizar, revisar, mantener y mejorar laseguridad de la información. El ISMS incluye las políticas, planes, actividades,responsabilidades, prácticas, procedimientos, procesos y recursos.

Integridad: Propiedad de salvaguardar la precisión y completitud de losrecursos.

Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.

Aceptación de riesgo: Decisión de aceptar un riesgo.

Análisis de riego: Uso sistemático de la información para identificar fuentesy estimar riesgos.

Valoración de riesgo: Totalidad de los procesos de análisis y evaluación deriesgo.

Evaluación de riesgo: Proceso de comparar los riesgos estimados contra loscriterios de riesgo establecidos o dados, para determinar el grado designificativo del riesgo.

Page 122: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 122/124

 

ACRONIMOS Y REFERENCIAS 

114

Administración del riesgo: Actividades coordinadas para dirigir y controlarlas medidas necesarias para la observación del riesgo dentro de laorganización.

Tratamiento del riesgo: Proceso de selección e implementación demediciones para modificar el riesgo.

SGC: Sistema de Gestión de la calidad.

EFQM: Modelo de excelencia Europeo. fue introducido en 1991 como elmarco de trabajo para la autoevaluación de las organizaciones y como labase para juzgar a los concursantes por el Premio Europeo de la Calidad, elcual fue entregado por primera vez en 1992. Este modelo es el másampliamente utilizado en Europa y se ha convertido en la base para laevaluación de las organizaciones en la mayoría de los premios nacionales yregionales de calidad en toda Europa.

Page 123: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 123/124

 

ACRONIMOS Y REFERENCIAS 

115

Referencias bibliográficas

1. Symons, Craig.  COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance. USA : Forrester Research, 2006.

2. Leading in Times of Transition: The 2010 Agenda. Gartner. USA : Gartner

Executive Programs, Enero 2010.

3. Governing information Technology through COBIT. Guldentops, Erik. USA :

Idea group, 2004.

4. ISO/IEC. Corporate governance of information technology. 2008.

5. PMI.  Fundamentos para la dirección de proyectos - Guía PMBOK (Cuarta 

Edición). USA : Project Management Institute, 2008.

6. ITGI. Board Briefing on IT Governance. USA : s.n., 2009.

7. Gobierno de España. LEY GENERAL PRESUPUESTARIA 47/2003. BOE.

27 de noviembre de 2003, 284.

8. Using the Balanced Scorecard as a Strategic Management System. Robert

S. Kaplan, David P. Norton. s.l. : Harvard Business Review , 1996.

9. Linking the IT Balanced Scorecard to the Business Objectives at a 

MajorCanadian Financial Group. Win Van Grembergen, Ronald Saull, Steven De

Haes. s.l. : Idea Group, 2004.

10. Importance of Inputs/Outputs Within COBIT Processes. Joao Souza Neto,

Helga Valesca O. da Fonseca, Ian Lawrence Webster. USA : Cobit Focus, Julio

2009, Vol. 3.

11. IT Governance and Implications for internal audits. Homburg, Ashley &

Wall, James. 

12. Public and private sector IT Governance: Identifying Contextual differences.

Campbell, John, McDonald Craig & Sethibe Tsholofeo. 2, s.l. : Australasian Journal

of information Systems, 2009, Vol. 16.

Page 124: Marco Gobierno TI sector publico

5/17/2018 Marco Gobierno TI sector publico - slidepdf.com

http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 124/124

 

ACRONIMOS Y REFERENCIAS 

116

13. Gobierno de las TIC ISO/IEC 38500. Ballester, Manuel. s.l. : ISACA

JOURNAL, Vol 1, 2010.

14. ITGI.  IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition. USA : s.n., 2007.

15. IT Governance. How Top performers Manage IT decisions right for superior 

results. Peter Weill, Jeanne W. Ross. Boston, USA : Harvard Business School Press,

2004.