5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 1/124
Marco de Gobierno TI para
el Sector Público
Andrés Pastor Bermúdez
www.CrisolTic.com Julio 2010
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 2/124
INDICE DE CONTENIDOS
Índice
Índice ................................................................................................................. i
Índice de figuras ................................................................................................. i
Índice de tablas .................................................................................................. i
1 Gobierno TI ................................................................................................. 1
1.1. Introducción. ............................................................................................... 2
1.2. Definición. ................................................................................................... 5
1.3. Gobierno TI vs Gestión TI. .......................................................................... 7
1.4. Gobierno corporativo y Gobierno TI ........................................................... 7
1.5. Mecanismos de Gobierno TI ....................................................................... 8
1.5.1. Estructuras formales organizativas ...................................................... 9
1.5.2. Sistema de gestión de procesos .......................................................... 9
1.5.3. Mecanismos de integración ................................................................ 10
1.5.4. Medición del rendimiento ................................................................... 10
1.5.5. Gestión de recursos ........................................................................... 11
2 Marcos de Referencia ............................................................................... 12
2.1. Introducción. ............................................................................................. 13
2.2. ISO 38500. ............................................................................................... 13
2.2.1. Principios ........................................................................................... 14
2.2.2. Modelo ............................................................................................... 15
2.2.3. Relación principios-modelo de gobierno ............................................. 16
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 3/124
Indice de contenidos
ii
2.2.4. Beneficios .......................................................................................... 19
2.3. COBIT. ..................................................................................................... 19
2.3.1. Áreas focales del Gobierno de TI. ...................................................... 22
2.3.2. Orientación al negocio ....................................................................... 24
2.3.3. Orientación a procesos ...................................................................... 27
2.3.4. Basado en controles .......................................................................... 30
Controles del negocio y controles de TI ................................................ 32
Controles generales de TI y de aplicación ............................................ 33
2.3.5. Medidas e Indicadores ....................................................................... 34
Modelos de madurez ............................................................................ 34
Medición del desempeño ...................................................................... 40
2.3.6. El modelo del marco de trabajo de COBIT ......................................... 42
2.4. PMBOK. ................................................................................................... 44
2.4.1. ¿ Qué es un proyecto?. ...................................................................... 44
2.4.2. Ciclo de vida y fases del proyecto ...................................................... 46
2.4.3. Áreas de conocimiento ....................................................................... 48
2.4.4. Despliegue de procesos en un proyecto ............................................ 51
2.4.5. Proyectos y Gobierno TI ..................................................................... 54
2.5. Buenas prácticas ITIL ............................................................................... 55
2.5.1. Estructura ITIL ................................................................................... 55
2.5.2. Módulos principales ITIL .................................................................... 60
Soporte de Servicios ............................................................................. 60
Prestación de Servicios ........................................................................ 63
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 4/124
Indice de contenidos
iii
2.5.3. Gestión del SLA y seguridad en ITIL .................................................. 65
3 Comparativa de modelos .......................................................................... 67
3.1. Introducción. ............................................................................................. 68
3.2. Cobit e Iso 38500 ..................................................................................... 68
Responsabilidad ................................................................................... 69
Estrategia ............................................................................................. 69
Adquisición ........................................................................................... 70
Desempeño .......................................................................................... 70
Conformidad ......................................................................................... 70
Comportamiento humano ...................................................................... 71
Evaluar ................................................................................................. 72
Dirigir .................................................................................................... 72
Monitorizar ............................................................................................ 72
3.3. Cobit y PMBOK ........................................................................................ 74
3.4. Cobit e ITIL ............................................................................................... 78
3.5. Cobit e ISO 17799 .................................................................................... 84
4 Gobierno TI en el Sector Público ............................................................... 86
4.1. Introducción. ............................................................................................. 87
4.2. Definición del Sector Público .................................................................... 87
4.3. Estructura General de un Ministerio. ......................................................... 89
4.4. La Seguridad Social.................................................................................. 90
4.4.1. Estructura .......................................................................................... 91
4.4.2. Sistema de Gestión de la Calidad ...................................................... 93
4.4.3. Cobit y el SGC de la GISS ................................................................. 94
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 5/124
Indice de contenidos
iv
4.5. Diferencias con el Sector Privado. ............................................................ 96
5 Propuesta de modelo de Gobierno para el Sector Público ........................ 99
5.1. Introducción. ........................................................................................... 100
5.2. Características del modelo ..................................................................... 100
5.3. Elementos del Modelo ............................................................................ 101
5.3.1. Concienciación de la alta dirección .................................................. 102
5.3.2. Definición estructuras organizativas ................................................. 102
Comité de estrategia TI ................................................................... 103
Comités de impulso (Steering commitees) ...................................... 103
Definición de responsabilidades ...................................................... 103
Función TI ....................................................................................... 103
5.3.3. Cuadro de mando integral para TI .................................................... 104
5.3.4. Sistema de gestión de procesos (SGP) ............................................ 106
Selección de procesos COBIT ......................................................... 107
5.3.5. Gestión del rendimiento ................................................................... 108
5.3.6. Soporte a las mejores prácticas de gestión ...................................... 109
5.3.7. Estructura del modelo ...................................................................... 110
5.3.8. Implantación del modelo .................................................................. 111
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 6/124
Índice de figuras
Índice de figuras
Ilustración 1. Evolución de las fuerzas fundamentales que afectan a lasorganizaciones. 2
Ilustración 2. Modelo de Gobierno Iso38500 16
Ilustración 3 – Áreas Focales del Gobierno de TI 22
Ilustración 4 - Interrelaciones de los componentes de COBIT 23
Ilustración 5 - Principio Básico de COBIT 24
Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI 26
Ilustración 7 - Administración de recursos para garantizar las metas de TI 27
Ilustración 8 - Modelo de control 31
Ilustración 9 - Representación gráfica de los modelos de madurez 35
Ilustración 10 - Las tres dimensiones de la madurez 37
Ilustración 11 – Admin., control, alineación y monitorización de COBIT 42
Ilustración 12 - El cubo de COBIT 42
Ilustración 13 - Marco general de trabajo de COBIT 43
Ilustración 14. Factores que afectan a los proyectos 46
Ilustración 15. Ciclo de vida de un proyecto 47
Ilustración 16. Grupos de procesos de un proyecto 48
Ilustración 17.Dimensiones temporal y funcional de un proyecto 51
Ilustración 18.Despliegue de procesos en un proyecto 53
Ilustración 19: De negocio a tecnología 55
Ilustración 20: independencia entre departamentos 56
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 7/124
Índice de figuras
ii
Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL 57
Ilustración 22: Etapas de transformación ITIL 57
Ilustración 23: Perspectiva global de ITIL 59
Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional 60
Ilustración 25: Área de responsabilidad de Soporte a Servicio 61
Ilustración 26: Procesos dentro del Soporte a Servicios 61
Ilustración 27: Área de responsabilidad de Prestación de Servicio 64
Ilustración 28: Procesos dentro de la Prestación de Servicios 64
Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK 77
Ilustración 30. Correspondencia entre ITIL y COBIT 83
Ilustración 31. Cobit vs. Iso 17799 85
Ilustración 32. Sector Público vs. Sector privado 88
Ilustración 33. Estructura General de un Ministerio 90
Ilustración 34. Estructura de la Seguridad Social 91
Ilustración 35. Estructura detallada del MTIN 92
Ilustración 36. Estructura de la GISS 93
Ilustración 37. Cobit Vs. SGC de la GISS 95
Ilustración 38. Cuadro de mando Integral 105
Ilustración 39. Cuadro de mando integral TI 106
Ilustración 40. Procesos esenciales de COBIT 108
Ilustración 41. Estructura del modelo de Gobierno TI 110
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 8/124
Índice de Tablas
Índice de tablasTabla 1. Ranking de estrategias del CIO del sector público ............................... 4
Tabla 2. Ranking de expectativas de la alta dirección del sector público ........... 5
Tabla 3. Gobierno corporativo y Gobierno TI ..................................................... 8
Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI ............... 18
Tabla 5. Responsabilidades del Negocio y de TI ............................................. 33
Tabla 6. Modelos de madurez ......................................................................... 39
Tabla 7. Relaciones COBIT-ISO 38500 ........................................................... 74
Tabla 8. Mapa de Procesos y Subprocesos de la GISS .................................. 94
Tabla 9. Diferencias Sector Público y Privado ................................................. 97
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 9/124
1 Gobierno TI
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 10/124
GOBIERNO TI
2
1.1. Introducción.
En el pasado, las tecnologías de la información (TIC) eran exclusivamente una
herramienta empleada para mecanizar los procesos que se venían realizando hasta el
momento de forma manual, por lo que la alta dirección de la organización podía
delegar, ignorar o evitar las decisiones relativas a las TIC.
Hoy en día, el panorama es completamente distinto; En gran parte de las
organizaciones actuales, la información y las tecnologías que la soportan se han
convertido en piezas fundamentales para la sustentabilidad de la actividad de la
organización y garantía del crecimiento del negocio. Las TIC no son solo un factor de
supervivencia y prosperidad, sino una oportunidad para diferenciarse y obtener una
ventaja competitiva.
Según el informe Cómo sacarle provecho a la complejidad , realizado por IBM
tras entrevistarse con más de 1.500 CEOs de todo el mundo, la tecnología continúa
creciendo como uno de los factores que más importa a los directivos de las
organizaciones de todo el mundo.
Ilustración 1. Evolución de las fuerzas fundamentales que afectan a las organizaciones.
Es cierto que las TIC están al alcance de todas las organizaciones, por lo que
pudiera no considerarse un factor diferenciador, pero lo cierto es que el valor provienede que sepamos obtener el máximo provecho de estas tecnologías: solo aquellas
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 11/124
GOBIERNO TI
3
organizaciones que realicen una gestión TI eficaz y gobiernen eficientemente sus
tecnologías de la información estarán en una posición de ventaja respecto a sus
competidores.
Por otra parte, esta dependencia significativa de las TIC implica que existe una
vulnerabilidad inherente en organizaciones con sistemas de información grandes y/o
complejos.
Por ejemplo, una indisponibilidad de los sistemas o de la red pueden
convertirse en un riesgo inasumible para una entidad financiera, no solo por las
pérdidas de ingresos durante el tiempo de la caída, sino también por el impacto en la
imagen corporativa y su repercusión en el mercado de valores.
Este riesgo inherente se ve agravado por amenazas informáticas externas,
errores, abusos, virus, cibercrimen, fraude electrónico, etc.
Por otra parte, las inversiones en tecnologías de la información suponen una
parte importante de los ingresos de las organizaciones. Según un informe de la
consultora Forrester Reseach (1), las empresas invierten entre un 1,5% y un 12,5% de
sus ingresos en actividades y recursos relacionados con las tecnologías de lainformación. Los consejos de administración reclaman obtener un valor claro de estas
inversiones.
Adicionalmente, las organizaciones están sujetas a un mayor control financiero,
con lo que están obligadas a cumplir diferentes normativas en función del sector y del
país en el que desarrollen su actividad (Sarbanes-Oxley, HIPAA, Basel II, etc).
Este ambiente turbulento no le es ajeno a las administraciones públicas. Según
las investigaciones de la consultora Gartner (2), la administración pública va a seguir
enfrentándose en 2010 y en años sucesivos a una situación de recorte en los
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 12/124
GOBIERNO TI
4
presupuestos y de los recursos, a la vez que se van a incrementar las exigencias
sobre los servicios prestados.
En este contexto, las prioridades del CIO1 del sector público se centran en las
actividades principales de negocio y en consolidar operaciones. Pero llama la atención
que, en el ranking de estrategias del CIO, aparece por segundo año consecutivo la
mejora del Gobierno TI en la organización . Esto demuestra la sensibilidad de los
directivos TI del sector público con aspectos que podríamos identificar con una mejor
gestión de la función TI.
Tabla 1. Ranking de estrategias del CIO del sector público
Es cierto que, en la previsión que los CIOs realizan para el año 2013, la mejora del Gobierno TI pasaría a un discreto noveno puesto, pero esto puede explicarse como
que los CIOs entienden que para dicho año sus organizaciones habrán puesto en
1 CIO, Chief Information Officer, Directivo responsable de las TIC en una organización.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 13/124
GOBIERNO TI
5
marcha proyectos de mejora del Gobierno TI, pudiéndose centrar en otros aspectos de
la gestión aún no resueltos.
Sin embargo, si nos fijamos en las expectativas de la parte del negocio del
sector público, esto es, en los responsables de la gestión de los servicios públicos, no
aparece una mención explícita al Gobierno TI. Sin embargo, sí puede desprenderse de
esta lista que las TIC siguen jugando un papel clave en las operaciones principales y
en la productividad del sector público.
Tabla 2. Ranking de expectativas de la alta dirección del sector público
En cualquier caso y como veremos a lo largo de este estudio, los principales
obstáculos de la gobernabilidad TI de las organizaciones son, precisamente, la falta de
sensibilización o de conocimiento de la alta dirección con sus responsabilidades en el
gobierno TI y la confusión por parte de los CIOs y responsables de la función TI entre
Gestión de la TI y Gobierno TI .
1.2. Definición.
Las tecnologías de la información y su uso en las organizaciones han
experimentado una transformación radical durante las últimas décadas. Varios
académicos e instituciones han formulado teorías y mejores prácticas en este ámbito
del conocimiento, lo que ha dado lugar a una variedad de definiciones del término
Gobierno TI .
La Capacidad de la organización para controlar la formulación e
implementación de la estrategia en TI y guiarla en la dirección adecuada con el fin de
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 14/124
GOBIERNO TI
6
obtener ventaja competitiva para la corporación. (Ministerio de Comercio e Industria
Inglés, 1999.)
El Gobierno TI es responsabilidad tanto de la dirección como de la
administración ejecutiva y consiste en el liderazgo, la estructura de la organización y
los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de
la empresa. (IT Governance Institute, 2001).
Gobierno TI es la capacidad de la organización ejercida por su consejo de
dirección, la dirección ejecutiva y la dirección de TI para controlar la formulación e
implementación de su estrategia en TI y, de esta manera, asegurar la fusión de TI y
negocio (Van Grembergen, 2002).
El proceso que asegura el uso eficiente y efectivo de las TIC en una
organización de forma que esta alcance sus objetivos (Gartner).
El sistema mediante el cual se dirige y controla el uso actual y futuro de las
tecnologías de la información (ISO/IEC 38500).
Especificación de las capacidades decisorias y el marco de rendición de
cuentas para estimular las conductas más adecuadas en el uso de las tecnologías de
la información (Peter Weill,, Jeanne Ross. 2004)
Aunque todas las definiciones anteriores presentan diferencias en algunos
aspectos, todas ellas comparten explícita o implícitamente algunas ideas que son la
base del Gobierno TI:
El Gobierno de las TI es parte integral del sistema de Gobierno de la
organización.Por esta razón, el Gobierno de las TI es responsabilidad de la alta
dirección de la organización (Consejo de dirección, dirección ejecutiva).
Debe focalizarse e los nexos de unión entre las actividades del negocio
y el uso de las TI (alineamiento TI-Negocio).
Se implementa apoyado en un sistema de procesos, estructuras y
responsabilidades, aunque no se centra en CóMO deben
implementarse dichos procesos sino en QUÉ es lo que deben
garantizar.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 15/124
GOBIERNO TI
7
Los objetivos del Gobierno TI deben expresarse en términos del
negocio, no de las tecnologías de la información.
Deben establecerse indicadores de rendimiento (eficacia y eficiencia)que representen el valor para el negocio.
En general, consideraremos la definición del ITGI (IT Governance Institute)
como la más completa y aceptada actualmente.
1.3. Gobierno TI vs Gestión TI.
Según la ISO/IEC 38500 la Gestión TI es El sistema de controles y procesos requeridos para lograr los objetivos estratégicos establecidos por la dirección de la
organización. Está sujeta a la guía y monitorización establecida mediante el gobierno
corporativo .
De esta definición se desprende que la gestión TI se centra en la provisión
interna de productos y servicios TI, así como a la gestión de la operación de los
sistemas de información. El objeto del Gobierno TI es más amplio y se centra en
asegurar un adecuado rendimiento y la transformación necesaria de las TIC para
satisfacer las demandas internas del negocio y las demandas externas de los clientes
de la organización.
Esto no quita importancia a la Gestión TI ni lo convierte en algo sencillo. Sin
embargo, sí establece una diferencia fundamental: mientras que la gestión TI puede
ser susceptible de externalizarse, el Gobierno TI es una responsabilidad específica e
interna a la organización, por lo que no puede delegarse.
1.4. Gobierno corporativo y Gobierno TI
El Gobierno corporativo es el sistema por el que las entidades, públicas o
privadas, son dirigidas y controladas. La dependencia de las actividades del negocio
de las TIC es tan directa que los aspectos de Gobierno corporativo no pueden
desligarse de los del Gobierno TI.
Por ello, el Gobierno TI debe ser una parte integral del Gobierno corporativo y
es, por lo tanto, responsabilidad del consejo de dirección de la organización. En este
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 16/124
GOBIERNO TI
8
sentido, es conveniente que el CIO forme parte de los órganos directivos de la
organización al más alto nivel.
En el fondo, se trata de que la dirección de la organización tenga los
mecanismos necesarios para responder a las siguientes preguntas:
Preguntas sobre el Gobierno
corporativo
Preguntas sobre el
Gobierno TI
¿Cómo pueden los accionistas
conseguir que la dirección de la
organización obtenga beneficios de su
aportación de capital?
¿Cómo puede la alta dirección
conseguir que su CIO y la
organización TI proporcionen
valor al negocio?
¿Cómo pueden los accionistas
asegurarse de que la dirección no se
apropie de su capital o lo invierta en
malos proyectos?
¿Cómo puede la alta dirección
conseguir que su CIO y la
organización TI no se apropien
del capital o lo inviertan en malos
negocios?
¿Cómo controlan los accionistas a la
dirección?
¿Cómo controla la alta dirección a
sus CIOs y a la organización TI?
Tabla 3. Gobierno corporativo y Gobierno TI
1.5. Mecanismos de Gobierno TI
Una vez aclarado el concepto de Gobierno TI y vista su relación con la Gestión
TI y con el Gobierno corporativo, vamos a identificar los mecanismos de Gobierno TI
más comunes.
Esta labor, determinar los mecanismos más adecuados de Gobierno TI, no es
una tarea sencilla. Los mecanismos que funcionan para unas organizaciones, no son
siempre efectivos para otras semejantes, lo que convierte a esta disciplina en un arte
más que en una ciencia.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 17/124
GOBIERNO TI
9
Sin embargo, sí se pueden determinar prácticas, procesos, estructuras y
mecanismos relacionales que pueden ayudar a establecer elementos globales de
Gobierno TI. A continuación, describiremos algunos de los más comunes.
1.5.1. Estructuras formales organizativas
El Gobierno TI debe estar apoyado en unas estructuras organizativas que
faciliten y soporten los objetivos perseguidos.
Por un lado, deben existir responsables nominales de las diferentes
tareas TI a todos los niveles de la organización y estos deben estar separados
del resto de funciones del negocio. Esto aplica tanto al máximo responsable dela función TI (CIO) como a los responsables de las tareas funcionales o
encargados de los procesos TI.
Por otro lado, deben articularse estructuras organizativas, fijas o
temporales, que permitan la relación entre la función TI y el negocio de forma
que ambos puedan alcanzar el objetivo conjunto de aportar valor a la
organización. Normalmente, estas estructuras se concretan en comités
ejecutivos o consultivos, equipos de trabajo, equipos de proyectos, etc.
1.5.2. Sistema de gestión de procesos
Las mejores prácticas conocidas recomiendan que las actividades de
cualquier organización se estructuren en una serie de procesos estables,
medibles que se establecen inicialmente y se revisan de manera periódica
permitiendo la mejora continua.
Adicionalmente, las organizaciones parten de unas mejores prácticasespecíficas para organizar sus procesos. En particular, en el ámbito de las TIC,
COBIT se conforma como un marco de referencia que permite, entre otras
cosas, identificar los procesos más aceptados así como establecer criterios de
control, indicadores de rendimiento y modelos de madurez, como se explicará
con detalle en el siguiente capítulo.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 18/124
GOBIERNO TI
10
1.5.3. Mecanismos de integración
Los mecanismos de integración facilitan la puesta en marcha de
relaciones de colaboración y la participación activa de ejecutivos de la
organización, responsables de TI y otros interesados (shareholders).
Normalmente, estos mecanismos se han establecido en las
organizaciones de manera informal. Actualmente, las organizaciones más
avanzadas han formalizado estas relaciones basadas en dos ideas:
Aprendizaje compartido: Se define como la co-creación de un
entendimiento mutuo de los objetivos entre miembros de la unidadde negocio y la de TI. La idea es que cuando los directivos de la
organización entienden la perspectiva del otro en la toma de
decisiones, pueden anticipar sus acciones y coordinarse de
manera adaptativa.
Diálogo estratégico: Implica explorar y debatir ideas en
profundidad antes de la toma de decisiones. Esto implica una
comunicación rica, no estructurada de los diferentes puntos de
vista de TI y del negocio. La intención es resolver las divergencias
de manera cooperativa. Cuando no se consigue, es necesario
utilizar mecanismos activos y pasivos de resolución de conflictos.
Los mecanismos activos de resolución de conflicto requieren la
confrontación y competición, mientras que los pasivos intentan
precisamente suavizar el conflicto con estrategias de evitación.
Estas técnicas son muy novedosas y, para que sean efectivas,
requieren un grado de madurez previo en las organizaciones.
1.5.4. Medición del rendimiento
Las medidas de rendimiento permiten conocer a la dirección de la
organización que los procesos TI están consiguiendo los requerimientos de
negocio. Esto se consigue por medio de una monitorización de los factores
habilitadores de dichos procesos.
La medición del rendimiento es tradicionalmente una actividad asociada a
la gestión de las TIC. Sin embargo, para que se pueda llegar a tener un
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 19/124
GOBIERNO TI
11
Gobierno TI efectivo, es condición necesaria la medición de la actividad TI. La
diferencia principal entre ambas perspectivas es el nivel de agregación de los
datos y el objetivo principal perseguido: mientras la gestión TI se centra en losaspectos operacionales de la organización TI, el Gobierno TI se centra en
aquellos indicadores que afectan a la actividad del negocio.
Por lo tanto, es necesario medir para establecer un Gobierno TI. Como
indica Guldentops (3) realizar actividades de TI sin un mecanismo de medición
no es dirigir ni gobernar las TI, sino solo ―prácticar‖.
1.5.5. Gestión de recursos
La gestión de recursos consiste en establecer e implementar las
capacidades necesarias en la organización para satisfacer las necesidades de
negocio. Este objetivo conlleva disponer de una infraestructura TI económica e
integrada dónde las nuevas tecnologías se introduzcan de manera juiciosa y los
sistemas obsoletos se reemplacen y/o actualicen adecuadamente y, para ello, es
necesario reconocer la importancia de las personas en la organización, además
del hardware y software.
Por este motivo, es necesario procurar formación al personal de forma
que mantengan al día sus competencias técnicas, así como establecer unas
adecuadas políticas de retención y motivación.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 20/124
2 Marcos de
Referencia
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 21/124
MARCOS DE REFERENCIA
13
2.1. Introducción.
Existe una creciente preocupación en la alta dirección de las empresas acercade las actividades de la función TI. Como ya se ha comentado anteriormente, el papel
que juegan las TICs en las organizaciones es cada vez más vital, no solo para
mantener la competitividad, sino para garantizar las operaciones diarias.
Los consejos de administración de las empresas son conscientes de que una
parada en sus sistemas significa una pérdida inmediata de los ingresos de la
compañía, por no hablar de las consecuencias de la pérdida de imagen.
Asimismo, la dirección se ve en la necesidad de justificar el valor de las
importantes inversiones en las TICs, asegurar el cumplimiento normativo a la vez que
se minimizan los riesgos en un entorno sujeto a amenazas internas y externas.
Todos estos factores han propiciado la aparición de modelos, metodologías y
prácticas (ITIL, PMBOK, COBIT, etc), dirigidas a garantizar un mejor gobierno o un
rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas
han sido desarrolladas por la propia dirección de las áreas TI mientras que otras
externas tienen como propósito el control externo de las propias unidades TIC.
El propósito de este capítulo es describir las prácticas y metodologías más
comunes en el ámbito del gobierno TI
2.2. ISO 38500.
La ISO/IEC 38500:2008 (4) es la primera norma internacional que trata sobre el
concepto de Gobierno TI en las organizaciones. Esta norma, denominada ―Corporate governance of information technology ‖ fija los estándares para el buen gobierno de los
procesos y decisiones empresariales relacionadas con los sistemas y tecnologías de la
información.
Fue publicada en junio de 2008 en base a la norma australiana AS8015:2005 y
es la primera de una serie sobre normas de gobierno de TIC. Está alineada con los
principios de gobierno corporativo recogidos en el ―Informe Cadbury‖ y en los
―Principios de Gobierno Corporativo de la OCDE.‖
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 22/124
MARCOS DE REFERENCIA
14
Los objetivos principales de la norma se pueden concretar en:
• Asegurar que, si la norma es seguida de manera adecuada, las partes
implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores,
etc.), puedan confiar en el gobierno corporativo de TIC.
• Informar y orientar a los directores que controlan el uso de las TIC en su
organización.
• Proporcionar una base para la evaluación objetiva por parte de la alta
dirección en el gobierno de las TIC.
Es conveniente hacer notar que la norma está dirigida principalmente a la alta
dirección de las organizaciones para hacerles entender y ayudarles a cumplir sus
obligaciones legales, regulatorias y éticas respecto al uso de las TIC en sus
organizaciones.
No es, por lo tanto, un estándar de Gestión de las TI , sino de Gobierno TI en el
sentido más estricto.
2.2.1. Principios
La norma define seis principios de un buen gobierno corporativo de TIC:
Responsabilidad—Todos los grupos e individuos de la organización
deben comprender y aceptar sus responsabilidades tanto en el uso
(demanda) como en la provisión de los servicios de TI. La
responsabilidad sobre una acción lleva aparejada la autoridad para surealización.
Estrategia—La estrategia de negocio de la organización tiene en cuenta
las capacidades actuales y futuras de las TIC. Los planes estratégicos
de TIC satisfacen las necesidades actuales y previstas derivadas de la
estrategia de negocio.
Adquisición—Las adquisiciones de TI se hacen por razones válidas, en
base a un análisis apropiado y continuo, con decisiones claras y
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 23/124
MARCOS DE REFERENCIA
15
transparentes. Hay un equilibrio adecuado entre beneficios,
oportunidades, costes y riesgos tanto a corto como a largo plazo.
Rendimiento—La TI está dimensionada para dar soporte a la
organización, proporcionando los servicios con la calidad adecuada
para cumplir con las necesidades actuales y futuras.
Conformidad—La función de TI cumple todas las legislaciones y normas
aplicables. Las políticas y prácticas al respecto están claramente
definidas, implementadas y exigidas.
Factor humano—Las políticas de TIC, prácticas y decisionesdemuestran respeto al factor humano, incluyendo las necesidades
actuales y emergentes de toda la gente involucrada.
2.2.2. Modelo
Una vez establecidos los principios básicos que deben regir el Gobierno TI de
las organizaciones, la norma ISO 38500 define el modelo básico para que la altadirección haga efectivo dicho gobierno Esto debe conseguirse mediante la ejecución
de tres tareas fundamentales:
Evaluar—Examinar y juzgar el uso actual y futuro de las TIC, incluyendo
estrategias, propuestas y acuerdos de aprovisionamiento (internos y
externos).
Dirigir—Dirigir la preparación y ejecución de los planes y políticas,
asignando las responsabilidades al efecto. Asegurar la correcta
transición de los proyectos a la producción, considerando los impactos
en la operación, el negocio y la infraestructura. Impulsar una cultura de
buen gobierno de TIC en la organización.
Monitorizar—Mediante sistemas de medición, vigilar el rendimiento de
la TIC, asegurando que se ajusta a lo planificado.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 24/124
MARCOS DE REFERENCIA
16
Ilustración 2. Modelo de Gobierno Iso38500
2.2.3. Relación principios-modelo de gobierno
Una vez definidos los principios y el modelo de gobierno, la norma estableceuna guía general de las prácticas requeridas para implementar los principios. Para ello,
establece una relación entre los principios y las 3 tareas fundamentales de la alta
dirección (evaluar, dirigir y monitorizar).
En cualquier caso, es responsabilidad de cada organización identificar las
acciones específicas que se requieran para implementar los principios, en función de
la naturaleza de la organización y de un análisis apropiado de los riesgos y
oportunidades en el uso de la TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 25/124
MARCOS DE REFERENCIA
17
Para cada uno de los principios, la norma proporciona una breve guía u
orientación sobre como evaluar, dirigir y monitorizar la función de TIC.
Son orientaciones muy generales que no incluyen mecanismos, técnicas o
herramientas concretas a utilizar:
Principios Evaluar Dirigir Monitorizar
Asignación de
responsabilidades uso
actual y futuro de la TI
Planes se realicen de
acuerdo a las
responsabilidades
acordadas
Se establecen mecanismos
adecuados de gobierno de TI
Competencia de personal
con responsabilidades en
TI
Asegurarse de que recibe
información necesaria
para cumplir su
responsabilidad y rendir
cuentas
La dirección reconoce y
entiende sus
responsabilidades en TI
Medida del desempeño
responsables gobierno TIC
Desarrollo de TI y procesos
negocio de forma que
soporten las necesidades
de negocio
Creación y uso de planes
y políticas de forma que
se aseguren beneficios
para la organización de
las actividades de TI
Progreso propuestas
aprobadas de forma que se
alcanen objetivos en plazos
establecidos
Evaluar actividades de TIC
y
alineamiento con
objetivos de la
organización
Alentar propuestas
innovadoras para
responder a
oportunidades y
necesidades
Mejores prácticas Utilizar recursos asignados
Satisfacción interesadosUso de TIC, alcanzando
beneficios esperados
Valoración y evaluación de
riesgos TI de acuerdo a
estandares
Diferentes alternativas enlas inversiones
balanceando riesgo y valor
del dinero para la
organización
Activos TI adquierenmanera apropiada, con
documentación adecuada
y asegurando que se
proporciona la capacidd
requerida
Inversiones proporcionan
realmente las capacidades
requeridas
Acuerdos de provisión
respalden necesidades
del Negocio
Entendimiento por parte d
ela organización y de los
proveedores de cuales las
intenciones y necesidades
de la organización en las
adquisiciones
Responsabilidad
Adquisición
Estrategia
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 26/124
MARCOS DE REFERENCIA
18
Tabla 4. Guía sobre como evaluar, dirigir y monitorizar la función TI
Principios Evaluar Dirigir Monitorizar
Medios propuestos para
asegurar que la TI sustenta
procesos de negocio enfuncionalidad y capacidad
Asignación recursos
suficientes Grado TIC sustenta negocio
Riesgos: continuidad de
operaciones
Asignar prioridades y
restricciones
Grado en el que los recursos
e inversiones son priorizados
de acuerdo a las necesidades
de negocio.
Riesgos : integridad de
información, protección de
activos, Propiedad
intelectual
Datos correctos,
actualizados, protegidosPolíticas precisión datos
Decisiones uso TIC apoyo
al
negocio
Grados de seguimineto
políticas uso eficiente TICEficacia y desempeño
gobierno de TIC
TIC cumple obligaciones,
normas y directrices
Dirigir al personal
responsable de
establecer mecanismos
que asegure que se
cumplen obligaciones,
normas y directrices TI
Cumplimiento y
conformidad
(auditorias/informes)
Conformidad gobierno de
TIC
Establecer y aplicar
políticas (uso
TI interno)
Reportes y prácticas de
auditoría oportunos,
completos, adecuados a las
necesidades de negocio)
Personal TIC cumple
directrices
desarrollo y conducta
Actividades de TIC para
asegurar que se cumplan
obligaciones
mediambientales, reciclado,
legales, privacidad, etc
Ética rija acciones
relacionadas TIC
Actividades de TIC para
identificar
comportamiento humano
Actividades TI
compatibles factor
humano
Actividades de TIC,
identificar,
prestar atención al
comportamiento personasInformar cualquier
individuo
(riesgos, problemas)
Prácticas de trabajo
consistente uso apropiado
de TIC
Administración riesgos
según políticas y proced.
Escalado a los decisores
Cumplimiento
Factor humano
Rendimiento
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 27/124
MARCOS DE REFERENCIA
19
2.2.4. Beneficios
ISO/IEC 38500 es beneficioso por las siguientes razones:
Destaca la importancia del gobierno de TI debido a los riesgos
involucrados y a las significativas inversiones requeridas.
Incentiva a las empresas a utilizar estándares apropiados para
apuntalar su gobierno de TI.
Provee un marco de 6 principios básicos para que los directores lo
utilicen cuando evalúen, dirijan y supervisen el uso de las TI en sus
empresas. Seguir estos principios ayudará a los directores a balancear
riesgos y propiciar oportunidades derivadas del uso de las TI.
Es aplicable a todas las empresas, desde las más pequeñas hasta las
más grandes, independientemente del propósito, diseño y estructura de
la propiedad.
Aclara que un buen gobierno corporativo de TI puede ayudar a los
directivos a asegurar la conformidad con las obligaciones (regulatorias,legales, contractuales y de derecho común) sobre el uso aceptable de
TI, y asegurar que este uso contribuya positivamente al desempeño de
la empresa.
Asimismo, deja claro que los sistemas inadecuados de TI pueden
exponer a los directivos al riesgo de incumplimiento con una gama cada
vez más amplia de legislación.
2.3. COBIT.
Los Objetivos de Control para la Información y la Tecnología relacionada
(conocidos generalmente por su acrónimo COBIT®) brindan un conjunto de buenas
prácticas a través de un marco de trabajo basado en procesos, y presenta las
actividades de una estructura manejable y lógica. Las buenas prácticas de COBIT
están enfocadas fuertemente en el control y menos en la ejecución, es decir, indican
más qué se debe conseguir sin focalizarse en el cómo .
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 28/124
MARCOS DE REFERENCIA
20
Una de las características de COBIT es que está orientado al negocio,
vinculando las metas de negocio con las metas de TI, proporcionando métricas y
modelos de madurez para medir sus logros, e identificando las responsabilidadesasociadas de los propietarios de los procesos de negocio y de TI.
Otra característica es su enfoque hacia procesos, mediante un modelo que
subdivide TI en 34 procesos de acuerdo a cuatro áreas de responsabilidad (Planear,
Construir, Ejecutar y Monitorizar) que básicamente coinciden con el conocido ciclo de
Deming (Plan-Do-Check-Act).
Pero, de todas las buenas características que presenta COBIT, la que más ha
influido en el éxito de COBIT es su dualidad de orientación hacia el Negocio y hacíalas TIC, estableciendo un puente de enlace entre ambos mundos y definiendo un
lenguaje común que ha permitido a los gestores entender el valor estratégico de las
TIC y a los responsables de los sistemas de la información, la importancia de conducir
sus acciones hacia el aporte del valor al negocio.
De manera más general, el empleo de un marco como COBIT satisface las
necesidades de la Dirección y aporta una serie de beneficios que facilitan que se
logren tanto los objetivos de la TI como los del negocio. Esto lo logra:
Asegurando una mejor alineación, basándose en su enfoque en el
negocio.
Facilitando la implantación de políticas, procedimientos, prácticas y
estructuras organizativas, para garantizar los objetivos perseguidos y
prevenir eventos no deseados.
Facilitando una medición objetiva sobre el estado actual de las TIC enuna organización y facilitando el asesoramiento para determinar dónde
se requieren mejoras. Así la dirección posee información que le
permitirá tomar decisiones frente a riesgos, de forma rápida y
asegurando el éxito.
Proporcionando a la Dirección una visión más clara sobre lo que hace la
unidad de TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 29/124
MARCOS DE REFERENCIA
21
Definiendo la propiedad y la responsabilidad de los diferentes procesos
TI de la organización.
Facilitando una evaluación de la capacidad de dichos procesos, basada
en sus modelos de madurez.
Optimizando las inversiones realizadas en las TI.
Facilitando el entendimiento de todos los participantes, al basarse en un
lenguaje común.
En definitiva, COBIT se ha convertido en el integrador de las mejores prácticas
de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender
y administrar los riesgos y beneficios asociados con la TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 30/124
MARCOS DE REFERENCIA
22
2.3.1. Áreas focales del Gobierno de TI.
COBIT, basándose en componentes, da soporte al Gobierno de TI al brindar
un marco de trabajo que garantiza las siguientes áreas focales:
Alineación Estratégica entre TI y el negocio
Entrega de Valor: TI da soporte el negocio maximizando los beneficios
y minimizando los costes
Administración de Recursos: Uso de los recursos de TI de manera
responsable, optimizando el conocimiento y la infraestructura.
Administración de Riesgos de TI: La dirección debe tomar conciencia
de los mismos, definir el riesgo que está dispuesta a asumir, definir la
responsabilidad de su administración y comprender los requisitos de
cumplimiento.
Medición del desempeño: Monitoriza el uso de los recursos, el
desempeño de los procesos y la entrega del servicio.
Ilustración 3 – Áreas Focales del Gobierno de TI
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 31/124
MARCOS DE REFERENCIA
23
Los componentes de COBIT se interrelacionan entre sí, ofreciendo soporte
para las necesidades de gobierno, de administración, de control y de auditoría, tal
como se muestra en la siguiente figura:
Ilustración 4 - Interrelaciones de los componentes de COBIT
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 32/124
MARCOS DE REFERENCIA
24
2.3.2. Orientación al negocio
La orientación al negocio es, como hemos indicado, la característica
principal de COBIT. Está diseñado principalmente como guía integral para la
Dirección y para los propietarios de los procesos de negocio.
El marco de trabajo COBIT se basa en el siguiente principio: Con el fin
de proporcionar la información requerida para lograr sus objetivos, la empresa
necesita invertir y administrar y controlar los recursos de TI usando un conjunto
estructurado de procesos que ofrezcan los servicios que suministran dicha
información.
Ilustración 5 - Principio Básico de COBIT
La administración y el control de la información están en el centro del
marco de COBIT y garantiza la alineación con las necesidades del negocio.
Este marco de trabajo se rige por una serie de criterios de control, un
conjunto de metas definidas para el negocio y la TI, y para ello se debe apoyar
en una serie de recursos y administrarlos correctamente.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 33/124
MARCOS DE REFERENCIA
25
COBIT define siete criterios que deben aplicar a la información de la
organización, a saber:
Eficacia: La información debe proporcionarse de una manera
oportuna, correcta, consistente y utilizable.
Eficiencia: Debe ser generada con un uso óptimo de recursos.
Confidencialidad: Es necesario que se proteja la información
sensitiva contra revelación no autorizada.
Integridad: La información debe ser precisa y completa.
Disponibilidad: Debe estar disponible cuando el negocio la
necesite.
Cumplimiento normativo: La organización, en el uso de la
información, debe acatar aquellas leyes, reglamentos y acuerdos
contractuales.
Confiabilidad: He de proporcionarse la información apropiadapara que la Dirección administre y ejercite sus responsabilidades
de gobierno.
Junto con estos criterios, COBIT define de un conjunto de metas
genéricas de negocio y de TI, ofreciendo así una base para el desarrollo de
métricas que permitan la comparación con respecto a estas metas.
La siguiente ilustración muestra cómo la estrategia de la empresa debe
traducirse en objetivos para el uso de funcionalidades facilitadas por TI (Las
metas de negocio para TI). Estos objetivos a su vez, deben conducir a una
clara definición de los propios objetivos de la TI (las metas de TI), y luego éstas
a su vez definir los recursos y capacidades de TI (la arquitectura empresarial
para TI) necesarios para ejecutar con éxito la parte que le corresponde a TI de
la estrategia empresarial.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 34/124
MARCOS DE REFERENCIA
26
Ilustración 6 - Definiendo metas de TI y arquitectura empresarial para TI
Estas metas deben monitorizarse para asegurarse que lo que se está
entregando en la actualidad se corresponde con las expectativas.
Para que el cliente comprenda las metas u objetivos de la TI y los datos
de monitorización de la TI, se deben expresar en términos de negocio
significativos para el cliente.
Para responder a los requisitos que el negocio tiene hacia TI, laempresa debe invertir en los recursos necesarios para crear una capacidad
técnica adecuada para dar soporte al negocio.
Los recursos de TI identificados en COBIT son:
Aplicaciones: tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
Información: datos de entrada, procesados y generados por los
sistemas de información, y que son utilizados por el negocio.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 35/124
MARCOS DE REFERENCIA
27
Infraestructura: Es la tecnología y las instalaciones que
permiten el procesamiento de las aplicaciones.
Personas: Referido al personal necesario para planear,organizar, adquirir, implementar, entregar, soportar, monitorizar y
evaluar los sistemas y los servicios de información. Estas
pueden ser internas, por outsourcing o contratadas, de acuerdo
a como se requieran.
Ilustración 7 - Administración de recursos para garantizar las metas de TI
La figura anterior resume cómo las metas de negocio para TI influyen en
la manera en que se manejan los recursos necesarios de TI por parte de los
procesos de TI para lograr las metas de TI.
2.3.3. Orientación a procesos
El marco de trabajo de COBIT proporciona un modelo de procesos de
referencia y un lenguaje común para que cada uno en la empresa visualice y
administre las actividades de TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 36/124
MARCOS DE REFERENCIA
28
Un modelo de procesos fomenta la propiedad de los procesos,
permitiendo que se definan las responsabilidades, facilitando además la
medición y monitorización del desempeño de TI.
COBIT define las actividades de TI en un modelo genérico de procesos
en cuatro dominios:
Planear y Organizar (PO). Este dominio cubre las estrategias y las
tácticas, y tiene que ver con identificar la manera en que TI pueda
contribuir al logro de los objetivos del negocio. Es necesario
implementar una estructura organizativa y una estructura tecnológica
apropiada.
Adquirir e Implementar (AI). Para llevar a cabo la estrategia de TI, las
soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas
así como la implementación e integración en los procesos del negocio.
Además contempla el cambio y el mantenimiento de los sistemas
existentes para garantizar que las soluciones sigan satisfaciendo los
objetivos del negocio.
Entregar y Dar Soporte (DS). Este dominio cubre la entrega en sí de
los servicios necesarios, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el soporte del
servicio a los usuarios, la administración de los datos y de las
instalaciones.
Monitorizar y Evaluar (ME). Todos los procesos de TI deben evaluarse
de forma regular en el tiempo en cuanto a su calidad y cumplimiento de
los requisitos de control. Este dominio abarca la administración del
desempeño, la monitorización del control interno, el cumplimiento
regulatorio y la aplicación del gobierno.
COBIT proporciona una lista completa de 34 procesos que se pueden
utilizar para verificar la integridad de las actividades y de las responsabilidades;
no obstante, no necesitan aplicarlos todos, incluso pueden combinarse según
las necesidades de cada empresa.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 37/124
MARCOS DE REFERENCIA
29
Para cada uno de estos procesos, existe un enlace entre el negocio y
cada una de las metas u objetivos de la TI que son soportadas. Se proporciona
también información de cómo se pueden medir esos objetivos, cuales son losprincipales entregables y quién es el responsable.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 38/124
MARCOS DE REFERENCIA
30
2.3.4. Basado en controles
COBIT define el concepto de Control como el conjunto de políticas,
procedimientos, prácticas y estructuras organizativas diseñadas para brindar una
seguridad razonable y que los eventos no deseados se eviten en lo posible o
sean detectados y corregidos cuanto antes, de forma que se aumenta el valor y
se disminuye el riesgo.
COBIT define una serie de objetivos de control para la totalidad de los 34
procesos.
Estos Objetivos de Control de TI proporcionan un conjunto completo derequisitos de alto nivel a considerar por parte de la Dirección para el control
eficaz de cada uno de los procesos de TI.
La Dirección de la empresa debe realizar una selección de estos
Objetivos de Control de la siguiente manera:
Seleccionando sólo aquellos que son aplicables.
Decidir sobre aquellos que van a ser implementados.
Decidiendo de qué manera van a ser implementados (frecuencia,
intervalo, automatización, etc.).
Aceptando el riesgo de aquellos que no se implementan.
Para tener una visión del modelo de control estándar de COBIT y de los
principios que sigue, podemos hacerlo mediante la siguiente figura, utilizando
como ejemplo la siguiente analogía: cuando se ajusta la temperatura ambiente(estándar) para el sistema de calefacción (proceso), el sistema verificará de
forma constante (comparar) la temperatura ambiente (información de control) e
indicará (actuar) al sistema de calefacción para que genere más o menos calor.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 39/124
MARCOS DE REFERENCIA
31
Ilustración 8 - Modelo de control
Debido a que los objetivos de control de TI de COBIT están organizados
por procesos de TI, el marco de trabajo brinda vínculos claros entre los
requisitos de gobierno de TI, los procesos de TI y los controles de TI.
Cada uno de los procesos de TI de COBIT tiene un objetivo de control
de alto nivel y un número de objetivos de control detallados.
Los objetivos de control se identifican por dos caracteres que
representan el dominio (PO, AI, DS y ME) más un número de proceso y un
número de objetivo de control. Además de los objetivos de control, cada
proceso COBIT tiene requisitos de control genéricos que se identifican con
PCn, que significa número de control de proceso.
Los controles efectivos reducen el riesgo, aumentan la probabilidad de
la entrega de valor y aumentan la eficiencia debido a que habrá menos errores.
Además, COBIT ofrece ejemplos ilustrativos para cada proceso con:
Entradas y salidas genéricas
Actividades y guías sobre roles y responsabilidades
Metas de actividades clave
Métricas
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 40/124
MARCOS DE REFERENCIA
32
Los propietarios de procesos, además de evaluar qué controles son
necesarios, deben entender qué entradas requieren de otros procesos y quérequieren otros de sus procesos (salidas), además de tener claros los roles y
responsabilidades para cada proceso.
Controles del negocio y controles de TI
El sistema de controles internos impacta a TI en tres niveles:
Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se
establecen políticas y se toman decisiones de cómo aplicar y administrar los
recursos empresariales para ejecutar la estrategia de la compañía.
Al nivel de procesos de negocio, se aplican controles para actividades
específicas del negocio. La mayoría de los procesos de negocio están
automatizados e integrados con los sistemas aplicativos de TI, y por tanto
muchos de los controles a este nivel están automatizados. Estos se conocen
como controles de las aplicaciones . Sin embargo, algunos controles dentro del
proceso de negocios permanecen como procedimientos manuales, como la
autorización de transacciones, la separación de funciones y las conciliaciones
manuales.
Para soportar los procesos de negocio, TI proporciona servicios, por lo
general de forma compartida, por varios procesos de negocio, así como
procesos operativos y de desarrollo de TI que se proporcionan a toda la
empresa, y mucha de la infraestructura de TI provee un servicio común (es decir,
redes, bases de datos, sistemas operativos y almacenamiento). Los controles
aplicados a todas las actividades de servicio de TI se conocen como controles
generales de TI .
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 41/124
MARCOS DE REFERENCIA
33
Controles generales de TI y de aplicación
Los controles generales son aquellos que están incrustados en los
procesos y servicios de TI. Algunos ejemplos son:
Desarrollo de sistemas
Administración de cambios
Seguridad
Operación de los equipos
Los controles incluidos en las aplicaciones del proceso de negocios se
conocen por lo general como controles de aplicación. Ejemplos:
Integridad (Completitud)
Precisión
Validez
Autorización
Segregación de funciones
La responsabilidad de los controles de aplicación es una unión de
responsabilidades de extremo a extremo entre el Negocio y la TI, pero la
naturaleza de las responsabilidades es diferente en ambos casos:
El Negocio
es responsable de:
La unidad TI
es responsable de: I
Definir adecuadamente los requisitos
funcionales y de control.
Automatizar e implementar los requisitos
funcionales del negocio y los controles.
Usar adecuadamente los servicios
automatizados.
Establecer controles para mantener la
integridad de los controles de aplicación.
Tabla 5. Responsabilidades del Negocio y de TI
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 42/124
MARCOS DE REFERENCIA
34
Los procesos de TI de COBIT abarcan a los controles generales de TI,
pero no los controles de las aplicaciones, debido a que son responsabilidad de
los dueños de los procesos del negocio, y como se describió anteriormente,
están integrados en los procesos de negocio.
2.3.5. Medidas e Indicadores
Las empresas deben medir dónde se encuentran y dónde se requieren
mejoras, e implementar un juego de herramientas gerenciales para monitorizar
esta mejora de sus propios sistemas de TI. COBIT lo hace por medio de:
Modelos de madurez que facilitan la evaluación y la identificación de
las mejoras necesarias en la capacidad.
Metas y mediciones de desempeño para los procesos de TI , que
demuestran cómo los procesos satisfacen las necesidades del negocio
y de TI.
Metas de actividades para facilitar el desempeño efectivo de los
procesos.
Modelos de madurez
De acuerdo con COBIT, el propietario del proceso debe poder
autoevaluar de forma progresiva, contra los objetivos de control. Esto responde
a tres necesidades:
Una medición relativa de dónde se encuentra la empresa
Una manera de decidir hacia dónde ir de forma eficiente
Una herramienta para medir el avance contra la meta
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 43/124
MARCOS DE REFERENCIA
35
Si se usan los procesos de madurez desarrollados para cada uno de los
34 procesos TI de COBIT, la Dirección podrá identificar:
El desempeño real de la empresa: Dónde se encuentra la empresa hoy
El estatus actual de la industria: La comparación
El objetivo de mejora de la empresa: Dónde desea estar la empresa
La evolución necesaria entre‘ tal como está‘ y ‗cómo debería ser‘
Para hacer que los resultados sean utilizables con facilidad en
resúmenes gerenciales, se requiere contar con un método gráfico de
presentación, como se muestra en la siguiente figura:
Ilustración 9 - Representación gráfica de los modelos de madurez
COBIT ha definido un modelo de madurez para cada uno de los 34
procesos de TI, con una escala de medición creciente como se indica a
continuación:
0 No existente. Carencia completa de cualquier proceso reconocible.
La empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Se reconoce que los problemas existen y necesitan serresueltos, pero no existen procesos estándar, en su lugar existen enfoques ad
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 44/124
MARCOS DE REFERENCIA
36
hoc que tienden a ser aplicados de forma individual o caso por caso. El
enfoque es desorganizado.
2 Repetible. Se siguen procedimientos similares en diferentes áreas
que realizan la misma tarea. No hay entrenamiento o comunicación formal de
los procedimientos estándar.
3 Definido. Los procedimientos se han estandarizado y documentado, y
se han difundido a través de entrenamiento. Sin embargo, se deja que el
individuo decida utilizar estos procesos.
4 Administrado. Es posible monitorizar y medir el cumplimiento de losprocedimientos y tomar medidas de si los procesos trabajan de forma efectiva.
Los procesos están bajo constante mejora y proporcionan buenas prácticas.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor
práctica, se basan en los resultados de mejoras continuas y en un modelo de
madurez con otras empresas. TI se usa de forma integrada para automatizar el
flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.
La ventaja de un modelo de madurez es que es relativamente fácil para
la dirección ubicarse a sí misma en la escala y evaluar qué se debe hacer si se
requiere desarrollar una mejora.
La capacidad de gestión del proceso no es lo mismo que el rendimiento
del proceso. La capacidad viene determinada por el negocio y las metas de la
TI.
La capacidad, la cobertura del riesgo y el control son dimensiones de la
madurez de un proceso como se ilustra en la siguiente figura:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 45/124
MARCOS DE REFERENCIA
37
Ilustración 10 - Las tres dimensiones de la madurez
Así podemos decir que el modelo de madurez es una forma de medir
hasta qué punto están bien desarrollados los procesos administrativos, esto
es, qué capacidad tienen en realidad.
Los modelos de madurez se desarrollan con el modelo genérico
cualitativo al cual se añaden, en forma creciente, algunos principios contenidos
en los siguientes atributos, a través de niveles:
Conciencia y comunicación
Políticas, estándares y procedimientos
Herramientas y automatización
Habilidades y experiencia
Responsabilidad y rendición de cuentas
Establecimiento y medición de metas
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 46/124
MARCOS DE REFERENCIA
38
La tabla de atributos de madurez que se muestra en la figura siguiente,
lista las características de cómo se administran los procesos de TI y describe
cómo evolucionan desde un proceso no existente hasta uno optimizado. Estosatributos se pueden usar para una evaluación más integral, para un análisis de
brechas y para la planificación de mejoras.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 47/124
MARCOS DE REFERENCIA
39
Tabla 6. Modelos de madurez
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 48/124
MARCOS DE REFERENCIA
40
Los modelos de madurez COBIT se enfocan a la capacidad, y no
necesariamente en el desempeño o rendimiento. El desempeño, o la forma en
que la capacidad se usa y se implanta, está condicionada por la rentabilidad(riesgo asumido y relación entre coste y eficiencia).
Un entorno de control implantado de forma adecuada, se logra cuando
se han conseguido los tres aspectos de madurez (capacidad, desempeño y
control). El incremento en la madurez reduce el riesgo y mejora la eficiencia,
generando menos errores, más procesos predecibles y un uso rentable de los
recursos.
Medición del desempeño
Las métricas y las metas se definen en COBIT de acuerdo a tres niveles:
Las metas y métricas de TI que definen lo que el negocio espera de
TI.
Metas y métricas de procesos que definen lo que el proceso de TI
debe generar para dar soporte a los objetivos de TI.
Métricas de desempeño de los procesos para indicar si es probable
alcanzar las metas.
Las metas se definen de arriba hacia abajo, empezando en las metas
de negocio que determinarán el número de metas que soportará TI, las metas
de TI decidirán las diferentes necesidades de las metas de proceso, y cadameta de proceso establecerá las metas de las actividades.
Los términos KGI (Key Goal Indicador – Indicador Clave de meta) y KPI
(Indicator Key Performance – Indicador clave de desempeño o rendimiento),
que se utilizaban en la anterior versión de COBIT, han sido substituidos por
estos dos tipos de métricas:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 49/124
MARCOS DE REFERENCIA
41
Las medidas de resultados (outcome measures) definen medidas que
informan de la gestión, a posteriori, de cómo una función de TI, proceso o
actividad han alcanzado sus objetivos.
Los indicadores de rendimiento o desempeño (performanceindicators) definen mediciones que determinan hasta qué punto el negocio, la
función de TI o el proceso TI se está ejecutando de forma adecuada y nos
indican si es probable que se alcancen los objetivos. Se pueden medir antes de
que los resultados sean claros. Miden las metas de las actividades, las cuales
son las acciones que el propietario del proceso debe seguir para lograr un
desempeño efectivo del proceso.
Las métricas, para que sean efectivas deben tener las siguientescaracterísticas:
Una alta proporción entendimiento-esfuerzo (el entendimiento del
desempeño y del logro de las metas frente al esfuerzo de lograrlos)
Deben ser comparables internamente
Deben ser comparables externamente, con otra empresas
Es mejor tener pocas métricas que una lista más larga de menor calidad
Debe ser fácil de medir y no se debe confundir con las metas
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 50/124
MARCOS DE REFERENCIA
42
2.3.6. El modelo del marco de trabajo de COBIT
El marco de trabajo COBIT relaciona los requisitos de información y de
gobierno a los objetivos de la función de servicio de TI. El modelo de procesos
COBIT permite que las actividades de TI y los recursos que los soportan seanadministrados y controlados, basados en los objetivos de control de COBIT, y
alineados y monitorizados usando los objetivos y las métricas.
Ilustración 11 – Admin., control, alineación y monitorización de COBIT
Para resumir, los recursos de TI son manejados por procesos de TI para
lograr metas de TI que respondan a los requisitos del negocio. Este es el
principio básico del marco de trabajo COBIT, como se ilustra en el cubo COBIT:
Ilustración 12 - El cubo de COBIT
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 51/124
MARCOS DE REFERENCIA
43
En detalle, el marco de trabajo general COBIT se muestra gráficamente
en la siguiente figura con el modelo de procesos de COBIT compuesto de
cuatro dominios que contienen 34 procesos genéricos, administrando los
recursos de TI para proporcionar información al negocio de acuerdo con los
requisitos del negocio y de gobierno.
Ilustración 13 - Marco general de trabajo de COBIT
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 52/124
MARCOS DE REFERENCIA
44
2.4. PMBOK.
La Guía del PMBOK es un estándar en la gestión de proyectos desarrollado
por el Project Management Institute (PMI).La primera versión de PMBOK fue
publicada en 1987. Esta versión consta de 37 procesos.
La segunda versión fue publicada el 2000, basado en los comentarios
recibidos de parte de los miembros. PMBOK fue reconocido como estándar por el
American Nacional Standards Institute (ANSI) en 1998, y más adelante por el
Instituto de los Ingenieros Electrónicos Eléctricos y (IEEE). Esta versión consta de
39 procesos.
La tercera versión fue publicada en 2004, con mejoras importantes en laestructura del documento, adiciones a los procesos, términos y dominios del
programa y de portafolios. Esta versión consta de 44 procesos.
La cuarta versión fue publicada en 2008 (5). No introdujo cambios mayores,
pero sí se organizó de manera más precisa, clara y fácil de entender. Esta versión
consta de 42 procesos y es la versión vigente en la actualidad.
PMI pretende definir, mantener y difundir un cuerpo de conocimiento con
dos objetivos principales:
Mejorar el desarrollo de proyectos en diferentes industrias mediante el
uso de buenas prácticas.
Definir procesos de gestión de proyectos estándares y homogéneos
para todo tipo de proyectos
2.4.1. ¿ Qué es un proyecto?.
Según PMBOK, un proyecto es un esfuerzo temporal que se lleva a
cabo para crear un producto, servicio o resultado único.
La naturaleza temporal de los proyectos indica un principio y un final
definidos. El final se alcanza cuando se logran los objetivos del proyecto o
cuando se termina el proyecto porque sus objetivos no se cumplirán o no
pueden ser cumplidos, o cuando ya no existe la necesidad que dio origen alproyecto.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 53/124
MARCOS DE REFERENCIA
45
Todo proyecto debe crear un resultado único, lo que lo distingue de
tareas repetitivas realizadas en trabajos permanentes. Por ejemplo, una tarea de
oficina realizada todos los días no es un proyecto, aunque requiera alguna
planificación.
Un proyecto suele ser algo más complejo. Dirigir un proyecto por lo
general implica:
identificar requisitos,
abordar las diversas necesidades, inquietudes y expectativas de
los interesados según se planifica y efectúa el proyecto,
equilibrar las restricciones contrapuestas del proyecto que se
relacionan, entre otros aspectos, con:o el alcance,
o la calidad,
o el cronograma,
o el presupuesto,
o los recursos y
o el riesgo
Para dirigir un proyecto, PMBOK ha identificado 42 procesos que
permiten transformar la ejecución de un proyecto en una serie de procesos
concatenados, y no solo como una serie de actividades, donde para cada
proceso se consideren:
Entradas
Herramientas y técnicas
Salidas
Asimismo, la dirección de proyectos implica un equilibrio entre
diferentes variables. Tradicionalmente, se ha hablado de una triple
dependencia del proyecto respecto al coste, alcance y tiempo en el sentido de
que es posible realizar un cambio en uno de estos aspectos sin alterar los
otros dos.
Realmente, la dependencia es más amplia en el sentido de que los
factores que se afectan mutuamente en el desarrollo de un proyecto son,
además de los mencionados, la Calidad, Los Riesgos del proyecto y lasatisfacción del cliente.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 54/124
MARCOS DE REFERENCIA
46
Ilustración 14. Factores que afectan a los proyectos
Asimismo, PMBOK distingue dos dimensiones o formas de clasificar los
distintos procesos y actividades del proyecto: La dimensión temporal en la que
se considera el ciclo de vida de un proyecto y la dimensión funcional , que hacereferencia a las diferentes áreas de conocimiento que se ponen en juego para
alcanzar los objetivos del proyecto.
Vamos a ver cada una de estas dos dimensiones a continuación:
2.4.2. Ciclo de vida y fases del proyecto
Empezando con la dimensión temporal, cada proyecto sigue una
evolución desde su inicio hasta que finaliza. El ciclo de vida del proyecto es unconjunto de fases del mismo, generalmente secuenciales y en ocasiones
superpuestas, cuyo nombre y número se determinan por las necesidades de
gestión y control de la organización, la naturaleza propia del proyecto y su área
de aplicación.
En general, cualquier proyecto, por simple que sea, se estructura de
acuerdo a la siguiente estructura del ciclo de vida:
Inicio
Coste
Satisfacióndel cliente
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 55/124
MARCOS DE REFERENCIA
47
Organización y preparación
Ejecución de los trabajos del proyecto
Cierre del proyecto
Vemos en la figura que en cada fase se obtienen unos resultados concretos
(acta de constitución del proyecto, Plan del proyecto, entregables, etc) y que los
niveles de costo son bajos al inicio del proyecto, alcanzan su punto máximo según se
desarrolla el trabajo y caen rápidamente cuando el proyecto se acerca al cierre.
Ilustración 15. Ciclo de vida de un proyecto
Desde el punto de vista de los procesos y del ciclo de vida, PMBOK
establece cinco grupos de procesos que se corresponden con las distintas
etapas del proyecto indicadas en la figura anterior, más un sexto grupo de
procesos de control:
Procesos de Iniciación.- Autorización del proyecto o de una fase.
Proceso de Planificación.- Definición y redefinición de objetivos,
selección de la mejor alternativa entre posibles cursos de acción
Proceso de Ejecución.- Coordinación de las personas y de otros
recursos necesarios
Proceso de Control.- Aseguramiento de que se cumplan los objetivos
del proyecto, mediante la supervisión y la medición regular de avances.
Proceso de Cierre.- Formalización de la aceptación del proyecto o deuna fase.
TiempoInicio Final
Comienzodel proyecto
Ejecución del trabajoCosto $ Organizacióny preparación
Cierre
Acta deconstitución
Plan delproyecto
Entregablesaceptados
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 56/124
MARCOS DE REFERENCIA
48
Ilustración 16. Grupos de procesos de un proyecto
Esta es el ciclo de vida más sencillo en la que el proyecto consta de una
única fase. Es común encontrar proyectos con varias fases, secuenciales o
incluso superpuestas.
2.4.3. Áreas de conocimiento
Si, en vez de en la dimensión temporal, nos fijamos ahora en la
dimensión funcional , podemos agrupar los procesos de la dirección de proyectos
de acuerdo a las siguientes áreas de conocimiento :
La administración de la Integración del Proyecto, describe los procesos y
actividades que sirven para integrar los diversos elementos de la dirección deproyectos, lo que incluye:
• Desarrollar el Acta de Constitución del Proyecto
• Desarrollar el Plan para la Dirección del Proyecto
• Dirigir y Gestionar la Ejecución del Proyecto
• Monitorear y Controlar el Trabajo del Proyecto
• Realizar Control Integrado de Cambios
• Cerrar el Proyecto o la Fase
Procesos deIniciación
Procesos dePlanificación
Procesos deControl
Procesos deEjecución
Procesos deCierre
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 57/124
MARCOS DE REFERENCIA
49
La gestión del Alcance del Proyecto, con los procesos involucrados en
garantizar que el proyecto incluya todo (y únicamente) el trabajo requerido para
completarlo exitosamente, lo que incluye:
• Recopilar los Requisitos• Definir el Alcance
• Crear la Estructura de Desglose del Trabajo (EDT)
• Verificar el Alcance
• Controlar el Alcance
La gestión del Tiempo del Proyecto, se centra en los procesos que se
utilizan para garantizar la conclusión a tiempo del proyecto. Incluye:
• Definir las Actividades
• Secuenciar las Actividades
• Estimar los Recursos para las Actividades
• Estimar la Duración de las Actividades
• Desarrollar el Cronograma
• Controlar el Cronograma
La gestión de los Costos del Proyecto, describe los procesos involucrados
en planificar, estimar, presupuestar y controlar los costos de modo que se
complete el proyecto dentro del presupuesto aprobado. Para ello, es necesaria
la realización de las siguientes actividades:
• Estimar los Costos
• Determinar el Presupuesto
• Controlar los Costos
La gestión de la Calidad del Proyecto, describe los procesos involucrados en
planificar, dar seguimiento, controlar y garantizar que se cumpla con los
requisitos de calidad del proyecto, lo que incluye:
• Planificar la Calidad
• Realizar el Aseguramiento de Calidad• Realizar el Control de Calidad.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 58/124
MARCOS DE REFERENCIA
50
La gestión de los Recursos Humanos del Proyecto, los procesos
involucrados en la planificación, adquisición, desarrollo y gestión del equipo del
proyecto. Para ello es necesario:
• Desarrollar el Plan de Recursos Humanos• Adquirir el Equipo del Proyecto
• Desarrollar el Equipo del Proyecto
• Gestionar el Equipo del Proyecto.
La gestión de la Comunicación, identifica los procesos involucrados en
garantizar que la generación, recopilación, distribución, almacenamiento y
disposición final de la información del proyecto sean adecuados y oportunos.
Esto incluye la necesidad de:
• Identificar a los Interesados
• Planificar las Comunicaciones
• Distribuir la Información
• Gestionar las Expectativas de los Interesados
• Informar el Desempeño
La gestión del Riesgo del Proyecto, describe los procesos involucrados en laidentificación, análisis y control de los riesgos para el proyecto, a saber:
• Planificar la Gestión de Riesgos
• Identificar los Riesgos
• Realizar Análisis Cualitativo de Riesgos
• Realizar Análisis Cuantitativo de Riesgos
• Planificar la Respuesta a los Riesgos
• Dar seguimiento y Controlar los Riesgos.
La gestión de Adquisiciones, describe los procesos involucrados en la
compra o adquisición de productos, servicios o resultados para el proyecto.
Esto incluye:
• Planificar las Adquisiciones
• Efectuar las Adquisiciones
• Administrar las Adquisiciones
• Cerrar las Adquisiciones
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 59/124
MARCOS DE REFERENCIA
51
Esta división sea probablemente más intuitiva y conocida que la dimensión
temporal. Hay que tener en cuenta que los procesos no se ejecutan de manera
secuencial. Incluso es posible que algunos procesos no se ejecuten en algúnproyecto dado que PMBOK es un conjunto estructurado de buenas prácticas
que deben adaptarse en cada organización y proyecto en función de la
naturaleza del proyecto, cultura de la organización y otras variables.
En la siguiente figura se muestran las dos dimensiones de un proyecto.
Ilustración 17.Dimensiones temporal y funcional de un proyecto
2.4.4. Despliegue de procesos en un proyecto
Una vez entendido el carácter dual de un proyecto en la dimensiones temporal
y funcional, es necesario atender a cómo encajan los procesos definidos por el
PMI en un proyecto tipo.
Ya hemos indicado que los procesos no siguen una progresión secuencial pero
sí es cierto que las actividades de cada proceso se intensifican en unas etapas
temporales concretas.
Así, por ejemplo, el proceso de Estimación de costos del proyecto se realiza
por lo general en la etapa de Planificación del proyecto.
También es cierto que unos procesos se realizan antes que otros; No es
posible realizar el proceso anterior sin haber realizado el proceso Estimación
de recursos.
Sin embargo, el proceso de planificación es iterativo ya que la planificación decada aspecto del proyecto (inversiones, recursos humanos, plazos, etc) se
Dimensión temporal
Iniciación Planificación Ejecución Control Cierre
Dimensión funcional
Gestión de compras
Gestión de riesgos
Gestión de la comun icación
Gestión de RRHH
Gestión de costos
Gestión del tiempo
Gestión de la calidad
Gestión del alcance
Gestión de integración
G e s t i ó n d e l a
c o n f i g u r a c i ó n
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 60/124
MARCOS DE REFERENCIA
52
establecen por medio de refinaciones sucesivas hasta el cierre de la baseline o
planificación base del proyecto.
Incluso en la propia ejecución del proyecto se establecen mecanismos de
control que pueden impactar en la planificación inicial, teniendo que recalcularlos plazos, costes u otros parámetros del proyecto.
De una manera gráfica, representamos en la siguiente figura la
correspondencia de cada uno de los procesos definidos en PMBOK con su
marco temporal y con su área de conocimiento:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 61/124
MARCOS DE REFERENCIA
53
Ilustración 18.Despliegue de procesos en un proyecto
Definiciónactividades
Secuenciación actividades
Estimaciónde recursos
Iniciación Planificación Ejecución Control Cierre
Gestión decompras
Gestión de
riesgos
Gestión de lacomunicación
Gestión deRRHH
Gestión decostos
Gestión deltiempo
Gestión de lacalidad
Gestión delalcance
Gestión deintegración
G e s t i ó n d e l a
c o n
f i g u r a c i ó n
Recopilarrequisitos
Definiciónalcance
Verificaciónalcance
Controlcambioalcance
Desarrolloplan proyecto
Ejecuciónplan proyecto
Control globalcambios
Planificacióncalidad
Garantíacalidad
Controlcalidad
Estimaciónduración
actividades
Desarrolloprogramación
Controlprogramación
Estimacióncostos
Presupuestocostos
Control decostos
Planificaciónorganizativa
Planificacióncomunicacion
es
Distribucióninformación
Reporterendimiento
Identificaciónriesgos
Análisiscualitativo
Análisiscuantitativo
Controlmedidas
Planificacióncompras
Cierrecontratos
Planeaciónde riesgos
Planes derespuestas
Cierre deproyecto
CreaciónEDT
Gestionar alos
interesados
Supervisa ycontrolar el
trabajo
Identificarinteresados
Administrarcontratos
Efectuaradquisiciones
Incorporación personal
Desarrollode equipo
Gestiónde
equipo
Actaproyecto
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 62/124
MARCOS DE REFERENCIA
54
2.4.5. Proyectos y Gobierno TI
A menudo, los proyectos se utilizan como el medio para cumplir con el plan
estratégico de una organización, que está íntimamente relacionado con el Gobierno
corporativo de la organización, dentro del cual se enmarca el Gobierno TI. Por lo
general, los proyectos se autorizan como resultado de una o más de las siguientes
consideraciones estratégicas:
Demanda del mercado (por ej., una compañía automotriz que autoriza
un proyecto para construir más automóviles de bajo consumo en
respuesta a la escasez de combustible),
Oportunidad estratégica/necesidad comercial (por ej., un centro de
capacitación que autoriza un proyecto de creación de un curso nuevo,
para aumentar sus ganancias),
Solicitud de un cliente (por ej., una empresa eléctrica que autoriza un
proyecto para construir una nueva subestación a fin de abastecer un
nuevo parque industrial),
Adelantos tecnológicos (por ej., una compañía de productos
electrónicos que autoriza un proyecto nuevo para desarrollar unacomputadora portátil más pequeña, más económica y más veloz, a
partir de adelantos en materia de memorias de computadoras y
tecnología electrónica), y
Requisitos legales (por ej., un fabricante de productos químicos autoriza
un proyecto para sentar las pautas para la manipulación de un nuevo
material tóxico).
De esta manera, los porfolios de proyectos resultan un medio para alcanzar las
metas y los objetivos de la organización, a menudo en el contexto de un plan
estratégico. Los programas, proyectos y otros trabajos relacionados que lo
constituyen se priorizan. De esta manera, el plan estratégico de una organización se
convierte en el principal factor que guía las inversiones en los proyectos. Al mismo
tiempo, los proyectos retroalimentan los programas y portafolios mediante informes de
estado y solicitudes de cambio que pueden ejercer un impacto sobre otros proyectos,
programas o portafolios. Se acumulan necesidades de proyectos, incluso de recursos,
y se comunican nuevamente a nivel del portafolio, lo que marca a su vez la direcciónpara la planificación de la organización.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 63/124
MARCOS DE REFERENCIA
55
2.5. Buenas prácticas ITIL
El modelo de buenas prácticas ITIL (Information Technology Infraestructure
Library) fue desarrollado a finales de 1980 y se ha convertido en el estándar mundial
de facto en la Gestión de Servicios Informáticos. ITIL pertenece y depende de la OGC
(Office of Government Comerce) de Gran Bretaña y ha servido de base para el
estándar ISO 20000.
Iniciada como una guía para el gobierno del Reino Unido, la estructura base ha
demostrado ser útil para las organizaciones en todos los sectores a través de su
adopción por innumerables compañías como base para consulta, formación y soporte
de herramientas de software. Actualmente consta de 7 libros que, de una forma
integrada y coherente, define las mejores prácticas para la gestión de las diferentes
áreas de servicios de TI. Sus directrices están pensadas para adaptarse a las
necesidades específicas de cada organización.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez
más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en
aumento, ha provocado la necesidad creciente orientar los departamentos TI hacia la
calidad en los objetivos del negocio, y demanda que satisfaga los requisitos y las
expectativas del cliente. Por ello en los últimos años, a pasado el énfasis de estar enel desarrollo de aplicaciones TI a la Gestión de Servicios TI.
2.5.1. Estructura ITIL
La filosofía ITIL supone un cambio de gran envergadura para una
organización clásica. Se ha de considerar que el objetivo de cualquier empresa es
la gestión de las tareas que producen un bien o servicio, y estás cada vez se
apoyan más en el soporte tecnológico, el cual llega a ser crítico.
Ilustración 19: De negocio a tecnología
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 64/124
MARCOS DE REFERENCIA
56
Las organizaciones se han dividido en áreas de responsabilidad,
relacionando las necesidades de negocio y tecnología que la sustenta. Así
aparecen las áreas de Servicios TI como Monitorización, Service Desk,
Mantenimiento, etc.
Ilustración 20: independencia entre departamentos
El problema aparece cuando las aplicaciones de las áreas no están
integradas y no existe una fuente común ―contrastada‖ de datos; es entonces
cuando la comunicación entre departamentos depende del factor humano (El
responsable avise con correos, teléfono, etc.). Todo esto motiva que no haya
una visión única de negocio, sino que está dividida según la visión de cada
departamento.
ITIL parte de la necesidad de un repositorio central, CMDB
(Configuration Management Data Base) y la gestión de Configuración, que
proporciona información coherente y actualizada de los componentes que
forman un servicio y de sus interrelaciones. La información recogida en esta
base de datos tiene que reflejar en todo momento la realidad operativa, y por
extensión el Catálogo de Servicios de la organización. También ha de recoger
la evolución de los diferentes componentes a lo largo de su ciclo de vida y
servir como fuente de información al resto de actividades de la organización TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 65/124
MARCOS DE REFERENCIA
57
Ilustración 21: Fuentes de datos. Organización clásica vs. ITIL
La transformación a ITIL requiere la adecuada Gestión de Servicio y
cambiar la actuación de la organización TI, pasando de realizar las tareas de forma
reactiva a hacerlo de forma proactiva. Por todo ello, la perspectiva de la
organización cambia de un punto de vista Técnico o de Sistemas a un punto de
vista de Negocio o Servicios.
Ilustración 22: Etapas de transformación ITIL
La división de las áreas de trabajo según las recomendaciones de ITIL son:
Negocio . Los servicios son proporcionados por los empleados de la
empresa (Usuarios de las herramientas y procedimientos ITIL) y son
consumidos por los Clientes.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 66/124
MARCOS DE REFERENCIA
58
Perspectiva de Negocio . Los servicios se definen según la evolución de
las necesidades de los Clientes. Se estudia la viabilidad económica,
planificación de los nuevos servicios, relación con los proveedores y la
comunicación interna de los hitos alcanzar en la empresa.
Los servicios definidos en la Perspectiva de Negocio, están
implementado con procesos que se ejecutan en hardware y
componentes tecnológicos.
o Prestación de Servicio . Monitorizando el estado del HW y SW se
puede saber cual es la calidad del Servicio que se está dando al
usuario. Con ello se puede conocer que Servicios son los más
rentables, o conocer la razón del coste excesivo de éstos (Los
costes de mantenimiento, licencias, número de incidencias muy
alto, etc.)
o Soporte a Servicio . Los errores detectados por la monitorización
y/o comunicados al Centro de Atención se registran para su
corrección. Los errores entra en el workflow de ser corregidos,
planificado su cambio y su posterior despliegue en producción.
La Gestión de Infraestructura se encarga de las comunicaciones y
mantenimiento de los componentes tecnológicos. Es importante
adecuar el soporte físico a las necesidades del SW que prestan losservicios de negocio.
Gestión de Aplicación . Actualmente las organizaciones necesitan
desarrollar SW para automatizar los procesos de negocio e implemente
su lógica. Se denomina Gestión de Aplicación a la gestión del ciclo de
vida de este SW hasta su implantación en producción.
Planificando la Implantación de la Gestión de Servicio. Las
organizaciones no son estáticas en el tiempo, desarrollar nuevos
servicios, mejorar los existentes e introducir nuevas herramientas esbásico en todas las empresas. Esto lleva a establecer un plan
estratégico que defina los objetivos a medio y largo plazo, teniendo en
cuenta las dependencias entre todas las áreas de trabajo en la
organización. A esta área del marco de ITIL se le denomina
Planificando la Implantación de la Gestión de Servicio .
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 67/124
MARCOS DE REFERENCIA
59
Ilustración 23: Perspectiva global de ITIL
La idea principal sobre la cual se construye ITIL, es la existencia de
dependencias entre los recursos a la hora de gestionar los servicios TI. Se
aconseja que la información sobre dichos recursos se encuentre centralizada
en una base de datos CMDB. De esta forma podemos medir, planificar y
cuantificar cada uno de los servicios de forma independiente, estableciendo
relaciones entre los recursos y los servicios.
ITIL abarca conceptos de gestión y organización presentes en las
organizaciones TI como soluciones individuales. Desde esta nueva perspectiva
se mantienen interrelacionados aspectos como BSM (Gestión de Negocio),
ITAM (Gestión de Activos), Gestión de la Configuración y Help Desk, entre
otros. Estos conceptos son reubicados en el mapa ITIL para contrastar
información, eliminar duplicidades, costes, incongruencias…
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 68/124
MARCOS DE REFERENCIA
60
Ilustración 24: Áreas cubiertas de ITIL en una organización tradicional
ITIL identifica las tareas que se desarrollan en las organizaciones TI y surelación, además de permitir una visión End-to-End (Extremo a Extremo) de la
organización, lo que a su vez proporciona más dinamismo en los cambios de la
organización.
2.5.2. Módulos principales ITIL
Como se ha comentado en el punto anterior existen dos módulos que se
convierten en la espina dorsal de la gestión de las organizaciones TI dentro del
marco ITIL. Ya que gestionan la mayoría de los procesos que relaciona los
servicios de Negocio y infraestructura que los soporta.
Estos módulos, de los que se hablará más detenidamente en este
apartado, son Soporte de Servicios y Prestación de Servicios.
Soporte de Servicios
El núcleo sobre el que se apoya una organización que adopte una filosofíaITIL es el Soporte a Servicios, centrado en la gestión de HW y SW para mejorar la
calidad de los mismos.
Usuario
Perspectiva de
Negocio
Tecnología
lanific
ando
la
Implementa
ción
de la
Gestió
n de
estión
de
Aplica
ción
Prestación de
Soporte
de Servicioestión de
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 69/124
MARCOS DE REFERENCIA
61
Ilustración 25: Área de responsabilidad de Soporte a Servicio
Las actividades de este módulo se encuentran desglosadas por su
naturaleza y alcance en varios grupos, como se muestra en la Ilustración
Ilustración 26: Procesos dentro del Soporte a Servicios
Gestión de Incidencias
Su objetivo es restaurar el servicio normal tan pronto como sea
posible, minimizando el impacto negativo de una incidencia sobre el
negocio. De esta forma, la organización puede asegurar el cumplimiento
de los SLAs en términos de calidad, tiempos y disponibilidad.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 70/124
MARCOS DE REFERENCIA
62
La forma de canalizar todas las incidencias es a través de un
Centro de Servicio único, que las recibirá y gestionará en su ciclo de
vida, manteniendo informado al usuario en todo momento.
Un ejemplo de esto podría ser el fallo en un proceso batch, de locual se informa a la Gestión de Incidencias, que tomará las medidas
adecuadas para el reestablecimiento del servicio que se vea afectado.
Gestión de Problemas
Su fundamento es la prevención y corrección permanente de los
incidencias, identificando y corrigiendo los problemas, tanto de forma
reactiva como proactiva. Por ello da soporte a la Gestión de Incidencias,
proporcionando información y soluciones temporales o parches.Asimismo, mantiene un registro de los errores conocidos para
consultarlo en el ámbito de sus funciones.
Como consecuencia de este conocimiento puede proponer al
área de Gestión de Cambios las Peticiones de Cambio (RFC) que sean
necesarias para el reestablecimiento de la calidad del Servicio.
Igualmente, realiza Revisiones Post Implementación (PIR), para
asegurar que los cambios han surtido los efectos buscados, sin crear
problemas de carácter secundario.
La Gestión de Problemas no debe confundirse con la Gestión de
Incidencias. Esta última, no se preocupa de encontrar y analizar las
causas subyacentes a una determinada incidencia sino exclusivamente
a restaurar el servicio. Sin embargo existe una fuerte interrelación entre
ambas.
Continuando con el ejemplo anterior, la Gestión de Problemas seencargaría de buscar las causas del fallo en la ejecución del proceso
batch y proponer una solución (RFC) que será atendida en la Gestión
del Cambio.
Gestión de Cambio
Tiene como objetivo desarrollar una metodología estándar para
gestionar los cambios, manejándolos con rapidez y con el menor
impacto posible. De esta forma se asegura en todo momento la calidad
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 71/124
MARCOS DE REFERENCIA
63
y continuidad del servicio TI y se provee una mejor visión del riesgo y
costes.
En el caso de ejemplo, se analizaría la petición de cambio
solicitada desde la Gestión de Problemas, se aprobaría y planificaría.También se elaborarían planes de back-out con el fin de volver a la
situación inicial en caso necesario.
Gestión de Despliegues
Se centra en el diseño e implementación de los procedimientos
de distribución e implantación, asegurándose de que se pone en
marcha únicamente las versiones correctas, consistentes y autorizadas,
que serán implementadas en el entorno de producción tras suverificación en un entorno realista de pruebas.
Se ha de garantizar que el proceso de cambio cumple las
especificaciones de la RFC correspondiente y, en colaboración con la
Gestión de Cambios y Configuraciones, que todos los cambios se ven
correctamente reflejados en la CMDB.
En el ejemplo, la Gestión de Despliegue se encargaría de llevar
a cabo el cambio finalmente aprobado bajo las mejores condiciones
para el servicio.
Gestión de la Configuración
Constituye junto con la CMDB el núcleo de la solución ITIL. Su
función es proveer y mantener información precisa de la configuración y
su documentación, apoyando todos los procesos vistos en la Gestión
global de los Servicios.
Prestación de Servicios
Bajo esta denominación quedan englobadas todas las actividades
encargadas de monitorizar y gestionar la calidad de los Servicios desde la
perspectiva de negocio y financiera.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 72/124
MARCOS DE REFERENCIA
64
Ilustración 27: Área de responsabilidad de Prestación de Servicio
Se apoya en los grupos descritos anteriormente y se subdividen en
varias categorías, como se aprecia en la siguiente figura:
Ilustración 28: Procesos dentro de la Prestación de Servicios
Los procesos involucrados en la Prestación de Servicios se
apoyan en el conjunto de los procesos de Soporte a Servicios. Para
asegurar los objetivos del negocio, se ha de gestionar adecuadamente
la visión financiera, la continuidad, la capacidad y la disponibilidad de
los servicios. Para lograrlo, es vital disponer de la información que
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 73/124
MARCOS DE REFERENCIA
65
proveen los procesos de Soporte a Servicios, que detallan la situación
de los recursos TI de la organización, desde el punto de vista de los
servicios que se ofrecen.
Gestión de la DisponibilidadSe trata de asegurar que los Servicios TI están diseñados para
proveer los recursos de disponibilidad que requiere el negocio, siendo el
punto de registro de todos los eventos que afectan a la disponibilidad TI.
Asimismo se ha de desarrollar un Plan de Mantenimiento.
Gestión de la Capacidad
La finalidad de la Gestión de la Capacidad es ajustar los costes
de la capacidad TI con las necesidades presentes y futuras del negocio,generando proyecciones fiables y manteniendo un Plan de Capacidad.
Gestión Financiera
Las actividades englobadas en este ámbito son de tipo
presupuestario, contable y de política de precios. Se identificará el coste
real de la provisión de Servicios TI, controlando y gestionando su lado
financiero.
Gestión de la Continuidad
Debe actuar proactivamente para asegurar la continuidad del
negocio en todo momento, gestionando el riesgo y elaborando Planes
de Contingencia para ocasiones de desastre. Otro aspecto importante
es la concienciación en toda la organización y la realización de pruebas
de forma regular.
2.5.3. Gestión del SLA y seguridad en ITIL
El objetivo fundamental de la Gestión del Nivel de Servicio es la
definición, negociación y mejora de la calidad de los servicios TI. Esta calidad se
concreta en el Acuerdo de Nivel de Servicio (SLA), que detalla el Servicio a
prestar, consensuado por ambas partes, Organización TI y Cliente.
Esta cuestión constituye el eje central del Negocio y por ello ha de
manejar una visión global y completa de toda la organización. De ahí su relación
con todas y cada una de las áreas de gestión que se han visto hasta este
momento, tanto de Soporte como de Prestación.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 74/124
MARCOS DE REFERENCIA
66
Finalmente y abarcando varias áreas, la Gestión de la Seguridad tiene
como objetivo el cumplimiento de los requisitos de seguridad en los SLAs,
asegurando además un nivel de seguridad básico independiente de los
requisitos externos.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 75/124
3 Comparativa de
modelos
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 76/124
COMPARATIVA DE MODELOS
68
3.1. Introducción.
Una vez descritos los diferentes marcos de gobierno TI, vamos a realizar una
comparativa entre los diferentes modelos y normas descritos, identificando los
aspectos de Gobierno TI contemplados en cada uno de ellos a fin de poder hacer una
recomendación de uso.
Partimos del hecho reconocido de que COBIT es actualmente el marco más
amplio y aceptado, con lo que estableceremos correspondencias de este con el resto
de normas, estándares y buenas prácticas.
3.2. Cobit e Iso 38500
De la descripción realizada en el capítulo anterior del marco COBIT y de la
norma ISO 38500 podemos comprender que ISO 38500 no se posiciona como una
alternativa a COBIT, sino como un complemento a este.
La misma norma ISO 38500 recomienda a la alta dirección de las
organizaciones el uso de una selección de marcos, normas y estándares para llevar acabo sus funciones de gobierno TI.
En cualquier caso, lo verdaderamente importante de cualquier mecanismo de
Gobierno TI es el que la dirección de la organización, al nivel más alto, sea consciente
de la necesidad y participe activamente en establecer y monitorear el sistema de
gobierno TI elegido.
En este sentido, la mayor coincidencia de COBIT e ISO 38500 no está en la
coincidencia en los procesos, actividades o principios, sino en la identificación de laalta dirección como responsable del Gobierno TI de la organización, y en la necesidad
de un alineamiento de las actividades de TI y negocio como fuente de valor.
Una de las publicaciones de ITGI, Board Briefing on IT Governance (6)
proporciona orientación sobre los roles y responsabilidades para el gobierno de TI en
las empresas y para la función de TI, ya sea interna o tercerizada, y describe la forma
de establecer un eficaz comité ejecutivo (estratégico) de TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 77/124
COMPARATIVA DE MODELOS
69
Dado que el estándar ISO 38500 no define un conjunto concreto de procesos,
no es posible establecer una equivalencia a nivel de procesos. Realmente ISO 38500
se centra más en QUÉ se debe hacer, mientras que COBIT se focaliza en el CÓMO .
Vamos a analizar con mayor detalle las partes de COBIT que dan soporte a los
principios definidos en la norma ISO 38500.
Responsabilidad
Según este principio de la norma ISO 38500, se requieren estructuras
de organización de gobierno apropiadas, así como funciones y
responsabilidades correctamente asignadas por la dirección, que proporcionenclaridad en cuanto a la autoría y la rendición de cuentas por las tareas y
decisiones importantes.
Veamos cómo ayuda COBIT a conseguir esto:
ITGI, en publicaciones complementarias al propio modelo, como
en Board Briefing on IT Governance , proporciona orientación
sobre los roles y responsabilidades de la dirección y de la
función TI para garantizar el Gobierno TI.
COBIT proporciona matrices RACI de responsabilidades en los
distintos procesos.
Estrategia
En la publicación Board Briefing on IT Governance se explica cómo
debe implementarse una planificación estratégica TI efectiva alineada
con la estrategia de la organización de forma que aporte valor.
Asimismo, en el dominio Planificar y organizar PO, se definen los
procesos necesarios para una planificación efectiva por parte de la
función TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 78/124
COMPARATIVA DE MODELOS
70
Adquisición
El dominio Adquirir e Implementar AI proporciona una guía sob re cómo
adquirir e implementar soluciones viables incluyendo la especificación
de requisitos, implementación, pruebas, formación a usuarios, etc.
Asimismo, en el dominio PO se contemplan procesos de planificación
de inversiones así como planificación de de programas y proyectos.
Desempeño
La medición efectiva del desempeño requiere de la definición clara de
objetivos e indicadores que deben ser establecidos de arriba abajo, de manera
coordinada y consistente. COBIT facilita el buen desempeño de las
organizaciones por medio de:
Definición de objetivos de TI asociados con los objetivos de la
organización con indicadores concretos y procesos de revisión
continuos y comparación con modelos de madurez.
Los procesos PO1 (Definir un plan estratégico de TI) y DS1 (Definir y
gestionar los acuerdos de servicio) ofrecen orientaciones específicaspara establecer metas concretas de desempeño.
El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se
focaliza en las responsabilidades de la dirección ejecutiva para esta
actividad.
Asimismo, el proceso ME4 (Supervisar y evaluar el gobierno de TI) se
orienta en la propia medición del desempeño del gobierno TI.
Conformidad
El cumplimiento normativo es uno de las mayores preocupaciones de
las organizaciones actuales. COBIT ayuda a cumplir con las diferentes
normativas con los siguientes recursos.
La base de COBIT es la definición de controles. El ambiente necesario
para la definición y evaluación de controles favorece el cumplimiento deobjetivos, incluidos los impuestos por las normasx internas y/o externas.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 79/124
COMPARATIVA DE MODELOS
71
En concreto, el proceso ME2 (Monitorizar y evaluar controles TI) se
encarga de monitorizar y evaluar la consecución de los controles
internos establecidos.En el proceso ME3 (Asegurar el cumplimiento de requisitos externos),
se sientan las bases para el análisis y la supervisión de los
requerimientos externos, incluyendo los normativos.
Comportamiento humano
ISO 38500 indica que la alta dirección debe preocuparse dell
comportamiento de las personas que de una manera u otra se relacionan con
las actividades TI. Esto debe ocurrir en dos sentidos: Las personas deben
comportarse de manera que afecten positivamente el desempeño de TI y debe
garantizarse que las actividades de TI no afecten negativamente a las
personas. COBIT colabora en este propósito por medio de los siguientes
elementos:
El proceso PO4 (Definir la organización y relaciones TI) explica como la
organización y sus procesos relacionados pueden satisfacer las
necesidades del personal a todos los niveles. Asimismo, de manera
explícita define el comportamiento esperado del personal en el
desempeño de su trabajo.
Por medio del proceso PO6 (Comunicar la dirección objetivos de la
gerencia) se asegura que los objetivos de la organización son
comunicados claramente y que la cultura laboral favorece una actitud
correcta del trabajador hacia el control y el riesgo.
PO7 (Gestión de los recursos humanos de TI) es el proceso específico
de COBIT para alinear el comportamiento de las personas con las
metas corporativas, la definición de responsabilidades y el
mantenimiento del conocimiento.
El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de
asegurar que los usuarios conocen lo necesario para garantizar un uso
eficaz de los sistemas TI.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 80/124
COMPARATIVA DE MODELOS
72
Evaluar
Los siguientes recursos de COBIT apoyan en la consecución de la tarea
Evaluar de ISO 38500:
Todo el modelo COBIT se basa en el ciclo de Deming que incluye
como acciones básicas la planificación inicial así como la
comprobación posterior de que las acciones se han desarrollado de
acuerdo a lo previsto
De forma más concreta, en la publicación IT Governance
Implementation Guide: Using COBIT and Val IT, 2nd Edition , se
explica cómo focalizar la evaluación de TI en necesidades de
negocio y procesos críticos de TI, y luego, cómo realizar un análisis
de brecha respecto de las mejores prácticas.
Dirigir
No hay una correspondencia directa entre una parte concreta del
modelo COBIT y esta tarea definida en la norma ISO 38500. Sin embargo,
todo el modelo COBIT proporciona una base para evaluar la idoneidad de lasprácticas de gestión y los controles de TI, permitiendo a la dirección la
evaluación y comparación de la capacidad de los procesos de TI.
Monitorizar
La monitorización es parte de toda la filosofía de COBIT. En particular:
La publicación Board Briefing on IT Governance, describe lo que los
consejos de dirección deberían hacer para supervisar efectivamente el
gobierno corporativo.
Todo el dominio ME cubre la medición del desempeño, la efectividad del
control interno, conformidad con requisitos externos y la consecución de
un eficaz gobierno corporativo.
La siguiente figura resume las relaciones y coincidencias entre ambos modelos:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 81/124
COMPARATIVA DE MODELOS
73
ISO 38500 COBITPublicaciones complementarias (Board brief ing..)
Tablas RACI de los procesosFilosofía subyacente a todo el modelo
Actividades de supervisión del Gobierno IT en ME4
Publicaciones complementarias (Board brief ing..)
Procesos de planificación y organización PO
Planificación de inversiones
Planificación de programas y proyectos
Dominio AI (adquirir e implementar) define procesos necesarios
para la gestión de las adquisiciones
El dominio ME incluye orientaciones sobre cómo supervisar y
evaluar las inversiones y adquisiciones
Definición de objetivos claros y medibles
Alineamiento con el negocio
PO1 Definir Plan estratégico ayuda definir metas
DS1 Definir y gestionar SLAs (definir metas)
ME1 Monit. Desempeño IT (Medir cumplimiento obetivos)
ME4 Monit. Desempeño Gobierno IT (Medir cumplimiento
objetivos)
Definición de controles
ME2 Monitorizar y evaluar controles TI
ME3 Asegurar el cumplimiento de requisi tos externos
PO4 Definir la organización y relaciones TI
PO6 Comunicar la dirección objetivos de la gerencia
PO7 Gestión de los recursos humanos de TI
DS7 Educar y entgrenar a los usuarios
Basado en modelo PDCA Deming
En IT Governance Implementation Guide: Using COBIT and Val IT,
se explica cómo focalizar la evaluación de TI en necesidades de
negocio y procesos críticos de TI, y luego, cómo realizar un análisis
de brecha respecto de las mejores prácticas.
Dirigir
Todo el modelo COBIT proporciona una base para evaluar la
idoneidad de las prácticas de gestión y los controles de TI,permitiendo a la dirección la evaluación y comparación de la
capacidad de los procesos de TI
Basado en modelo PDCA Deming
Board briefing...describe lo que los consejos de dirección
deberían hacer para supervisar efectivamente el gobierno
corporativo
Todo el dominio ME cubre la medición del
desempeño, la efectividad del control interno, conformidad con
requisitos externos y la consecución de un eficaz gobierno
corporativo
Monitorizar
Responsabilidad
Estrategia
Adquisición
Desempeño
Conformidad
Comportamiento humano
Evaluar
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 82/124
COMPARATIVA DE MODELOS
74
Tabla 7. Relaciones COBIT-ISO 38500
3.3. Cobit y PMBOK
Formalmente, PMBOK no es un estándar orientado hacia el Gobierno TI,
sino hacia la gestión de los proyectos, bien en el ámbito de las Tecnologías de la
Información o en cualquier otro sector.
Sin embargo, como hemos referido en el capítulo anterior, los proyectos seenmarcan normalmente en programas y porfolios, que son utilizados por las
organizaciones para implementar sus estrategias corporativas y, por ende, sus
estrategias en el ámbito de las TICs,
Asimismo, los proyectos suelen ser los marcos en los que se concretan las
inversiones de la organización, incluyendo aquellas específicas de las TICs, con lo
que es evidente la repercusión de las prácticas de la gestión de los proyectos en el
Gobierno TI de las organizaciones.
Por otro lado, COBIT no es un estándar de gestión de proyectos, aunque sí
identifica la gestión de proyectos como un proceso TI.
Si analizamos COBIT encontramos cinco procesos comunes con PMBOK:
Administrar la inversión en TI (PO5):
PMBOK trata en los procesos del área del conocimiento Gestión de costes
del proyecto los aspectos relativos a la elaboración y seguimiento del
presupuesto, gestión de costes de recursos y gestión financiera del
proyecto.
Administrar la Calidad (PO8):
La Gestión de la calidad uno de los procesos de Cobit en el que se
establece como objetivo de control la creación de un sistema de
administración de la calidad basados en procesos y estándares probados
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 83/124
COMPARATIVA DE MODELOS
75
para garantizar la mejora continua y medible de la calidad de los servicios
prestados en TI.
PMBOK cubre parcialmente este objetivo en lo que se refiere al ámbito de
los proyectos ya que cubre los procesos necesarios para planificar, dar
seguimiento, controlar y garantizar que se cumpla con los requisitos de
calidad del proyecto.
Es una coincidencia parcial en cuanto al ámbito de aplicación y será más
coincidente en tanto que la cultura de la organización esté más orientada
hacia los proyectos y menos hacia una estructura funcional del trabajo.
Evaluar y administrar riesgos de TI (PO9):
Al igual que en el caso anterior, para COBIT el ámbito de la Gestión de
riesgos es global a la organización en tanto que cubre la creación y
mantenimiento de un marco de administración de riesgos.
PMBOK cubre únicamente la gestión de riesgos del proyecto, si bien es
conveniente apuntar que en general es en los cambios (organizativos,
técnicos, etc) en donde la organización puede verse sometida a mayores
riesgos. Un análisis de amenazar y vulnerabilidades y de sus impactos
sobre la organización en los proyectos contribuye decisivamente en la
administración global de riesgos para la organización.
Administrar Proyectos (PO10):
COBIT propone este proceso con el fin de establecer un programa y un
marco de control para la administración de todos los proyectos de TI.
En el caso de PMBOK, este objetivo está implícito y se referencian las
mejores prácticas para su consecución.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 84/124
COMPARATIVA DE MODELOS
76
Por lo tanto, hay concordancia de propósitos entre ambas normas ya que
mientras COBIT establece qué debe hacerse para garantizar la
Gobernabilidad TI, PMBOK indica cómo hacerlo.
Adquirir recursos de TI (AI5):
Este proceso es el que define COBIT con el fin suministrar a la organización
recursos TI, incluyendo personas, hardware, software y servicios. Esto
requiere de la definición y ejecución de los procedimientos de adquisición,
la selección de proveedores, el ajuste de arreglos contractuales y la
adquisición en sí. El hacerlo así garantiza que la organización tenga todos
los recursos de TI que se requieren de una manera oportuna y rentable
PMBOK trata estos aspectos en los procesos de Gestión de los Recursos
Humanos y Gestión de Adquisiciones aunque, al igual que en los casos
anteriores, en el marco de los proyectos.
La siguiente figura resume la concordancia de procesos entre ambas
normas:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 85/124
COMPARATIVA DE MODELOS
77
Ilustración 29. Comparativa de procesos Cobit y procesos PMBOK
Procesos Cobit
1 2 3 4 5 6 7 8 9 10 11 12 13
Planificación yorganización PO
Definir el plan
estratégico deTI.
Definir la
arquitectura
de la
información
Determinar la
direccióntecnológica.
Definir
procesos,
organ. y relac.
de TI.
Administrar la
inversión enTI.
Comunicar las
aspiraciones y
la dirección de
la gerencia.
Administrar
recursos
humanos de
TI.
Administrar
calidad.
Evaluar y
administrarriesgos de TI
Administrar
proyectos.
Adquisición eImplementación
AIIdentificar
soluciones
automatiz.
Adquirir y
mantener el
software
aplicativo
Adquirir y
mantener la
infraestruct.
tecnológica
Facilitar la
operación y el
uso
Adquirir
recursos de TI
Administrar
cambios
Instalar y
acreditar
soluciones y
cambios
Soporte yEntrega
DSDefinir y
admin. niveles
de servicio
Administrar
servicios de
terceros
Administrar
desempeño y
capacidad
Garantizar la
continuidad
del servicio
Garantizar la
seguridad de
los sistemas
Identificar y
asignar costos
Educar y
entrenar a los
usuarios
Administrar la
mesa de
servicio y los
incidentes
Administrar laconfiguración
Administrar
los problemas
Administrar
los datos
Administrar el
ambiente
físico
Administrarlas
operaciones
Monitorización MEMonitorear y
evaluar el
desempeño de
TI
Monitorear y
evaluar el
control
interno
Garantizar
cumplimiento
regulatorio
Proporcionar
gobierno de TI
Procesos Cobit cubiertos por PMBOK
1 2 3 4 5 6 7 8 9 10 11 12 13
Planificación yorganización
POAdministrar la
inversión en
TI.
Administrarcalidad.
Evaluar y
administrar
riesgos de TI
Administrarproyectos.
Adquisición eImplementación
AI Adquirir
recursos de TI
Soporte yEntrega
DS
Monitorización ME
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 86/124
COMPARATIVA DE MODELOS
78
3.4. Cobit e ITILSi bien no se había planteado como un objetivo inicial de este trabajo, creemos
conveniente clarificar la relación entre ITIL y COBIT, principalmente porque muchas
organizaciones del sector público han emprendido durante los últimos años iniciativas
de implantación de las buenas prácticas ITIL.
En este punto, es necesario tomar una decisión sobre con qué versión de ITIL
realizaremos la comparativa. Desde un punto de vista académico la respuesta
evidente debiera ser la versión 3 de ITIL, que es la más reciente.
Sin embargo, es propósito de este estudio la aplicación práctica de los
contenidos desarrollados. En este sentido, las no muy numerosas iniciativas reales de
implantación de las buenas prácticas de ITIL en organismos del sector público se han
realizado teniendo en cuenta la versión 2 de ITIL. Esto es debido a que los impulsores
de estas iniciativas han sido los propios departamentos de TI, que han visto la
oportunidad de mejorar sus procesos más críticos (Gestión de incidencias y
problemas, Gestión de la configuración, Gestión del cambio, etc). Por todo ello, vamos
a elegir ITIL V2 como la versión base con la que establecer la comparación.
Si nos fijamos en los procesos de ITIL, existe una correspondencia con los
siguientes procesos de COBIT:
Determinar la dirección tecnológica (PO3): Este proceso de COBIT indica la
necesidad de determinar la dirección tecnológica para dar soporte al negocio, lo
que requiere la creación de un plan de infraestructura tecnológica y un comité dearquitectura. El plan debe incluir las actuaciones ante contingencias y la
orientación para la adquisición de recursos tecnológicos.
No hay una gran coincidencia entre este proceso COBIT y los procesos ITIL. Sí
hay una coincidencia, pero podemos decir que más en el espíritu que en la letra.
Sin embargo, hemos querido reflejar esta relación porque ITIL es el primer marco
de referencia que se apoya en la planificación, establecimiento de objetivos,
medición del rendimiento y mejora continua para un mejor control de las TICs.De hecho, parte de los procesos de COBIT están claramente basados en ITIL.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 87/124
COMPARATIVA DE MODELOS
79
Definir los procesos, organización y relaciones de TI (PO4): La organización TI
debe definirse tomando en cuenta los requerimientos de personal, funciones,delegación, autoridad, roles, responsabilidades y supervisión. Esta organización
debe estar incrustada en un marco de procesos TI para asegurar la
transparencia y control.
ITIL identifica varios de los procesos necesarios en cualquier organización TI y
facilita la asignación de responsabilidades para llevarlas a cabo, a la vez que
indica cómo deben realizarse los procesos de acuerdo a las mejores prácticas.
Administrar la inversión de TI (PO5): Cada organización TI debe establecer un
marco de trabajo para administrar las inversiones en TI abarcando el estudio de
costos, beneficios, prioridades del presupuesto y monitorización de los gastos
de forma que sea posible demostrar el valor de las inversiones para el negocio.
ITIL cubre estos aspectos en su proceso de Gestión Financiera, en el que
aborda cómo planificar y ejecutar los objetivos de negocio, promoviendo la
Gestión de la infraestructura por medio del uso eficaz y económico de los
recursos. Para ITIL se trata de decisiones estratégicas en la definición y
provisión de los servicios.
Es en los procesos del grupo de procesos Administrar e implantar y en el grupo de
procesos Entregar y dar soporte de COBIT en los que se da una mayor coincidencia
entre ambos marcos, como veremos a continuación:
Facilitar la operación y el uso (AI4): El conocimiento sobre los sistemas TIC debe
estar disponible, lo que requiere la generación de documentación y manuales
para usuarios y para TI. Asimismo, debe procurarse el adiestramiento de los
usuarios y de la organización en general en el uso y operación correcta de las
aplicaciones y sistemas de información.
ITIL establece el Service Desk como único punto de contacto para todas las
necesidades de servicio de los usuarios de la organización. Es la parte d elaorganización encargada de transmitir la información y la formación a los usuarios
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 88/124
COMPARATIVA DE MODELOS
80
en el uso de las aplicaciones y sistemas de información. Todos los
procedimientos y usos de los sistemas deben documentarse y hacerse llegar a
los interesados.Administrar cambios (AI6): Todos los cambios relacionados con la infraestructura
y las aplicaciones dentro del ambiente de producción deben administrarse formal
y controladamente. Los cambios se deben registrar, evaluar y autorizar de
manera previa a la implantación y revisar los resultados después de esta.
La Gestión de cambios es, como hemos visto, uno de los procesos claves de
ITIL y actúa en conjunción con la gestión de configuración para asegurar un
inventario fiable de los activos TI de la organización y un control del ciclo de vidade estos, garantizando los objetivos de control del proceso tal y como ha sido
definido en COBIT.
Instalar y acreditar soluciones y cambios (AI7): Una vez completado el desarrollo
de los nuevos sistemas, deben realizarse pruebas en un ambiente dedicado con
datos de prueba relevantes, definir las instrucciones de migración al entorno de
producción y realizar una revisión post-implantación.
Se corresponde con los procesos Gestión de la entrega y gestión de cambios de
ITIL en los que se tratan profundamente los procedimientos de pruebas de
soluciones y de paso a producción.
Definir y administrar niveles de servicio (DS1): Es el proceso que permite la
identificación de los requerimientos de servicio, permite establecer los acuerdos
de nivel de servicio (SLAs) y monitoriza su cumplimiento.
Es clara la influencia de la Gestión del servicio de ITIL en la definición de las
objetivos de este proceso COBIT. ITIL no solo subscribe estos objetivos , sino
que presenta las mejores prácticas conocidas para llevarlo a cabo.
Administrar servicios de terceros (DS2): En numerosas ocasiones, las
organizaciones deciden apoyarse en terceros para proporcionar el servicio
demandados por sus clientes internos y externos. Este ejercicio requiere lagestión del establecimiento de las relaciones bilaterales con los proveedores de
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 89/124
COMPARATIVA DE MODELOS
81
servicios tercerizados y la monitorización de la prestación del servicio para
verificar y asegurar su cumplimiento.
No existe en ITIL V2 un proceso específico para la gestión de servicios
tercerizados, si bien todo lo que aplica a la gestión del servicio y los demás
procesos es también de aplicación para los servicios externalizados. Hay, por lo
tanto, una coincidencia parcial.
Administrar desempeño y capacidad (DS3): Una correcta provisión del servicio
requiere una monitorización del desempeño así como una vigilancia de la
capacidad de los sistemas, estableciendo no solo los mecanismos de
monitorización, sino los planes necesarios para prever las necesidades y realizar
una entrega del servicio funcional y a tiempo.
Se corresponde con los procesos ITIL Gestión del rendimiento y Gestión de la
Capacidad, dentro de lo que se denomina Entrega o Provisión del Servicio.
Garantizar la continuidad del servicio (DS4): Hoy en día es necesario brindar
continuidad en los servicios TI, lo que requiere desarrollar, mantener y probar
planes de contingencia TI.
ITIL pone su foco en garantizar la continuidad de los servicios, es decir, en
administrar la capacidad de la organización para continuar ofreciendo el nivel
acordado de los servicios TI, incluso en el caso de una interrupción del negocio.
Garantizar la seguridad de sistemas (DS5): Un plan de seguridad de TI es
necesario para garantizar la confidencialidad, integridad y disponibilidad de los
sistemas de información, identificando las vulnerabilidades y amenazas de
seguridad y proporcionando mecanismos de monitorización, detección, reporte y
corrección de los incidentes de seguridad.
ITIL no trata de manera profunda los aspectos de seguridad de los sistemas de
información, pero los propios procesos de ITIL permiten garantizar mejor la
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 90/124
COMPARATIVA DE MODELOS
82
disponibilidad e integridad de los datos, con lo que hay una coincidencia parcial
entre ambos marcos de trabajo.
Identificar y asignar costos (DS6): COBIT también establece la necesidad de
establecer un mecanismo justo y equitativo de asignar costos de TI al negocio, lo
que permitirá una mejor toma de decisiones sobre las inversiones TI.
El proceso de Gestión Financiera de ITIL, por su parte, trata sobre cómo
implementar una contabilidad exacta de servicios TI y atribuirlos a clientes o
servicios, mejorar confianza en presupuestos, facilitar la toma de decisiones
sobre inversiones, realizar un control y una gestión financiera de recursos,clasificando los costes y operando el departamento TI como una unidad de de
negocio.
Administrar la mesa de servicio y los incidentes (DS8): Es necesario para
responder de manera oportuna y efectiva a las consultas y problemas de los
usuarios finales.
Se corresponde con lo que en ITIL son los procesos de Gestión de niveles de
servicio, Gestión de incidentes y con la función del Service Desk.Hay una
coincidencia completa entre COBIT e ITIL.
Administrar la configuración (DS9): Debe garantizarse la seguridad de las
configuraciones hardware y software, lo que implica disponer de un repositorio
de configuración completo y confiable. Está muy relacionado con la gestión del
cambio, en tanto que los cambios alteran las configuraciones base.
En ITIL, la Gestión de la configuración y su repositorio, la CMDB, son el nucleo
central del soporte y la provisión de servicios TI.
Administrar los problemas (DS10): Persigue como objetivo la correcta
administración de problemas, incluyendo la identificación, clasificación,
escalación, resolución y cierre de problemas.
Se corresponde con el proceso de Gestión de problemas en ITIL.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 91/124
COMPARATIVA DE MODELOS
83
Administrar los datos (DS11): La información es el recurso más valioso de la
organización. Deben establecerse mecanismos para la administración, respaldo
y recuperación de los datos de la organización.
No hay correspondencia con algún proceso concreto de ITIL aunque, como
ocurría con la gestión de la seguridad, los procesos ITIL permiten un mayor
control de los sistemas TI y de los datos que se soportan.
La siguiente figura muestra de manera visual la correspondencia entre las
buenas prácticas ITIL y el marco de referencia COBIT. Esta relación no es de
solapamiento en tanto que el objetivo de COBIT es identificar qué debe hacerse,
mientras que en ITIL se muestra la mejor manera de realizarlo de acuerdo a las
mejores prácticas identificadas. En este sentido, ITIL y COBIT se complementan
perfectamente.
Ilustración 30. Correspondencia entre ITIL y COBIT
Nota: Los procesos con un menor grado de coincidencia se han marcado con un color
más claro.
Procesos Cobit cubiertos por ITIL
1 2 3 4 5 6 7 8 9 10 11
Planificación yorganización
PODeterminar la
dirección
tecnológica.
Definir
procesos,
organ. y relac.
de TI.
Administrar la
inversión en
TI.
Adquisición eImplementación
AIFacilitar la
operación y el
uso
Administrar
cambios
Instalar y
acreditar
soluciones y
cambios
Soporte yEntrega
DSDefinir y
admin. niveles
de servicio
Administrar
servicios de
terceros
Administrar
desempeño y
capacidad
Garantizar la
continuidad
del servicio
Garantizar la
seguridad de
los sistemas
Identificar y
asignar costos
Administrar la
mesa de
servicio y los
incidentes
Administrar laconfiguración
Administrar
los problemas
Monitorización ME
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 92/124
COMPARATIVA DE MODELOS
84
3.5. Cobit e ISO 17799
Del estudio de las metodologías y buenas prácticas en uso en el ámbito de lastecnologías de la información creemos necesario al menos hacer una referencia a los
estándares en uso sobre la seguridad de los sistemas de información.
Aunque no se había planteado como objetivo inicial, no se puede hablar de
Gobierno TI sin referirse a la seguridad de los activos que soportan los sistemas de la
información.
Una parte de los objetivos del Gobierno TIC es garantizar que las tecnologías
de la información proporcionan valor al negocio. La otra parte está referida a evitar
riesgos a la organización, máxime cuando existe una creciente dependencia de todas
las actividades de la organización en las TIC. Por ello, es necesario introducir de
manera global el análisis de riesgos y los mecanismos de securización de los activos –
materiales o no – sobre los que se apoyan las actividades del negocio.
En este sentido la ISO 17799 y su evolución en el conjunto de normas ISO
27000 son la referencia universal y cubren gran parte de los objetivos de
aseguramiento indicados en la norma ISO 17799.
Muchas organizaciones han puesto en marcha iniciativas de conformidad con
esta norma, lo que facilita la adopción de mecanismos de Gobierno TI, basados en
COBIT o en otros marcos de referencia.
Se muestra a continuación la relación de procesos COBIT cubiertos en la
norma ISO 17799.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 93/124
COMPARATIVA DE MODELOS
85
Ilustración 31. Cobit vs. Iso 17799
Procesos Cobit cubiertos por ISO 17799
1 2 3 4 5 6 7 8 9 10 11 12 13
Planificación y
organizaciónPO
Definir la
arquitectura
de la
información
Determinar la
dirección
tecnológica.
Definir
procesos,
organ. y relac.
de TI.
Comunicar las
aspiraciones y
la dirección de
la gerencia.
Administrar
recursos
humanos de
TI.
Evaluar y
administrar
riesgos de TI
Adquisición eImplementación
AIAdquirir y
mantener el
software
aplicativo
Adquirir y
mantener la
infraestruct.
tecnológica
Facilitar la
operación y el
uso
Administrar
cambios
Instalar y
acreditar
soluciones y
cambios
Soporte yEntrega
DSAdministrar
servicios de
terceros
Administrar
desempeño y
capacidad
Garantizar la
continuidad
del servicio
Garantizar la
seguridad de
los sistemas
Educar y
entrenar a los
usuarios
Administrar la
mesa de
servicio y los
incidentes
Administrar laconfiguración
Administrar
los datos
Administrar el
ambiente
físico
Administrarlas
operaciones
Monitorización MEMonitorear y
evaluar el
desempeño de
TI
Monitorear y
evaluar el
control
interno
Proporcionar
gobierno de TI
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 94/124
4 Gobierno TI en
el Sector Público
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 95/124
GOBIERNO TI EN EL SECTOR PUBLICO
87
4.1. Introducción.
En éste capítulo, vamos a definir las organizaciones tipo sobre las que vamos acentrar este estudio. Para ello, se definirá el concepto de Sector público, se concretará
el subconjunto de organizaciones de este sector que reúnen unas características
comunes en cuanto a procedimientos, normativa aplicable, estructuras organizativas
etc, y que serán en las que centraremos el foco de nuestro estudio.
Como caso general, se describirán las características organizativas de un
departamento ministerial típico, particularizando para la Seguridad Social ya que,
como hemos comentado anteriormente, aunque es propósito de este estudio el definirun modelo de gobernabilidad TI para las diferentes organizaciones del Sector público,
es también un objetivo perseguido el que dicho modelo se aplique en la Secretaría de
Estado de la Seguridad Social , en concreto, en la GISS.
4.2. Definición del Sector Público
Desde un punto de vista formal y de acuerdo a la definición normativa (7),
forman parte del Sector Público:
a) La Administración General del Estado.
b) Los organismos autónomos dependientes de la Administración General del
Estado.
c) Las entidades públicas empresariales, dependientes de la Administración
General del Estado, o de cualesquiera otros organismos públicos vinculados o
dependientes de ella.
d) Las entidades gestoras, servicios comunes y las mutuas de accidentes de
trabajo y enfermedades profesionales de la Seguridad Social en su función pública de
colaboración en la gestión de la Seguridad Social, así como sus centros y entidades
mancomunados.
e) Las sociedades mercantiles estatales, definidas en la Ley de Patrimonio de
las Administraciones Públicas.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 96/124
GOBIERNO TI EN EL SECTOR PUBLICO
88
f) Las fundaciones del sector público estatal, definidas en la Ley de
Fundaciones.
g) Las entidades estatales de derecho público distintas a las mencionadas en
los párrafos b) y c) de este apartado.
h) Los consorcios dotados de personalidad jurídica propia (…).
Sin embargo, desde un punto de más conceptual, podemos visualizar el sector
público Español en contraposición con el sector privado en la siguiente figura:
Ilustración 32. Sector Público vs. Sector privado
A lo largo de este documento, nos centraremos en la organizaciones del Sector
publico sin ánimo de lucro, ya que revisten una casuística común (organización,
procedimientos, legislación aplicable, etc) que las diferencia de aquellas cuyo objetivo
principal es la consecución de beneficios.
Sector Público
Sector Privado
Sin ánimode lucro
Con ánimode lucro
Fuerzas Armadas
EmpresasONGs
Sociedades públicasmercantiles
Entidades PúblicasEmpresariales
Agencias Tributaria
Fundaciones
Seguridad Social
Ayuntamientos
EntidadesFinancieras
Universidadesprivadas
Sector Educación
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 97/124
GOBIERNO TI EN EL SECTOR PUBLICO
89
4.3. Estructura General de un Ministerio.
En esta sección, se revisa la estructura general de un departamento ministerialpara identificar la estructura típica de gestión del mismo y encuadrar la función TIC y
su ámbito de influencia.
Normalmente, cada Ministerio dispone de una unidad con rango de
Subsecretaría que tiene a su cargo las labores administrativas, técnicas y la
coordinación o vinculación del ministerio con los servicios públicos u otros organismos
estatales. Por lo general son autoridades de confianza política y su nombramiento o
remoción depende del jefe de gobierno o del correspondiente Ministro.
Esta unidad suele agrupar unidades con rango de Direcciones Generales y de
Subdirecciones Generales. Por lo habitual, una de estas Subdirecciones tiene
encomendadas las funciones relativas a las Tecnologías de la Información y de las
Comunicaciones (TIC). Su ámbito de actuación suele ser el de la propia Subsecretaría
Si el Ministerio es suficientemente grande, pueden existir otras unidades con
rango de Secretaría general e incluso como Secretaría de Estado que funcionan de
manera autónoma a la Subsecretaría general en la mayoría de los aspectos. En estemismo sentido, suelen disponer de una unidad informática que se encarga de la
Dirección TIC en el ámbito de la Unidad.
El esquema general de la estructura organizativa se muestra en la siguiente
figura:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 98/124
GOBIERNO TI EN EL SECTOR PUBLICO
90
Ilustración 33. Estructura General de un Ministerio
En ambos casos, las unidades informáticas tienen por lo general rango de
subdirección general, lo que indica que la Dirección TIC no suele estar al mismo nivel
de decisión de los responsables de las unidades a las que da servicio, lo que dificulta
el alineamiento entre la organización y la dirección de las TICs.
4.4. La Seguridad Social.
El caso de la Seguridad Social es un caso particular de lo explicado en el
apartado anterior. Orgánicamente, se corresponde con una Secretaría de Estado
dependiente del Ministerio de Trabajo e inmigración.
DepartamentoMinisterial
Dirección, ReglasProcedimientos
SubsecretaríaGeneral
Ámbito de GobiernoTI
SecretaríaGeneral o de Estado
Subdirección SubdirecciónTIC
DirecciónGeneral
Subdirección SubdirecciónEntidad
ProvincialEntidad
provincial
DirecciónTIC
Ámbito de GobiernoTI
DirecciónGeneral
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 99/124
GOBIERNO TI EN EL SECTOR PUBLICO
91
Ilustración 34. Estructura de la Seguridad Social
Es conveniente destacar que la informática de la Secretaría de Estado de la
Seguridad Social está dirigida desde un único organismo denominado Gerencia
Informática de la Seguridad Social (GISS).
Si bien la GISS tiene un carácter orgánico de Subdirección General, lo cierto es
que reporta directamente al Secretario de Estado de la Seguridad Social y su titular
participa en los consejos de Dirección de los organismos que lo conforman, en
particular, en el consejo de Dirección de la Tesorería General de la Seguridad Social y
en el Consejo Superior de las Tecnologías de la Información (COTEC), órgano de
Gobierno de la Secretaría de Estado en las cuestiones relativas a las TIC. La COTEC
es presidida por el Gerente de Informática y el él participan representantes de losorganismos que conforman la Secretaría de Estado (TGSS, INSS, ISM, Intervención
general de la Seguridad Social, MTIN, etc), lo que proporciona un mecanismo de
alineamiento estratégico entre las unidades de gestión y la dirección de las TIC.
4.4.1. Estructura
En la siguiente figura podemos ver con un mayor nivel de detalle la estructura
actual del Ministerio de Trabajo e inmigración (MTIN) en el que está encuadrada la
GISS.
Ministerio deTrabajo e Inmigración
SubsecretaríaGeneral
Ámbito de GobiernoTI
Dirección, ReglasProcedimientos
Secretaríade Estado de la
Seguridad Social
Subdirección SubdirecciónCPD
Dirección GeneralTGSS, INSS, etc
Subdirección SubdirecciónDirecciónProvincial
DirecciónProvincial
GISS
Ámbito de GobiernoTI
DirecciónGeneral
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 100/124
GOBIERNO TI EN EL SECTOR PUBLICO
92
Ilustración 35. Estructura detallada del MTIN
La Gerencia de Informática de la Seguridad Social, con dependencia orgánica y
funcional de la Secretaría de Estado de la Seguridad social, fue creada por Orden
Ministerial de 8 de enero de 1980 como Servicio Común sin personalidad jurídica; por
Real Decreto 703/1998, de 24 de abril, pasó a depender orgánicamente de la
Tesorería General de la Seguridad Social y, finalmente, por Real Decreto 1600/2004,
de 2 de julio, queda nuevamente adscrita a la Secretaría de Estado de la Seguridad
Social.
Su misión es ser el instrumento tecnológico al servicio de la Seguridad Social
para aproximar la gestión al ciudadano:
Desde su creación, su labor ha ido destinada a mejorar las prestaciones
informáticas a los usuarios, a través de la investigación, planificación y control de los
sistemas existentes, así como su mejor aplicación y aprovechamiento, incorporando,
SECRETARÍA DE ESTADO DE LASEGURIDAD SOCIAL
GABINETE DE LASECRETARÍA DE
ESTADO
MINISTERIO DE TRABAJO E INMIGRACIÓN
DIRECCIÓN GENERAL DEORDENACIÓN DE LASEGURIDAD SOCIAL
INTERVENCIÓNGENERAL DE LASEGURIDAD SOCIAL
SERVICIO JURÍDICO DE LAADMINISTRACIÓN
SEGURIDAD SOCIAL
GERENCIA DEINFORMÁTICA DE LASEGURIDAD SOCIAL
TESORERÍA GENERALDE LA SEGURIDAD SOCIAL
(TGSS)
INSTITUTO NACIONALDE LA SEGURIDAD SOCIAL
(INSS)
INSTITUTO SOCIALDE LA MARINA
(ISM)
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 101/124
GOBIERNO TI EN EL SECTOR PUBLICO
93
siempre que el presupuesto lo permitía, adelantos tecnológicos que supusieran una
mejor y más rápida atención al ciudadano.
Sus valores, según su propia definición, se concretan en:
Calidad para cumplir en tiempo y forma los requisitos del cliente de la
manera más eficaz y eficiente, partiendo de previsiones realistas.
Relación como capacidad para interactuar y mejorar la comunicación y
conocimiento mutuo.
Agilidad para la reacción ante imprevistos.
Innovación como actitud proactiva para la detección/ aplicación de
acciones futura.
A continuación, se describe la estructura organizativa de la GISS para su futura
referencia:
Ilustración 36. Estructura de la GISS
4.4.2. Sistema de Gestión de la Calidad
La Gerencia de Informática de la Seguridad Social
GERENTE
Centro deAsuntosExternos
Centro de
Coordinación
Centro deServicios
Centro deTecnología
C. de Calidad,Auditoria ySeguridad
Administraciónde Recursos y
Gestión deAdquisiciones
Unidades deDesarrollo deEntidades
Secretaría
UNIDADES ORIENTADAS ALCLIENTE DE GESTIÓN UNIDADES DE SOPORTE UNIDADES DE DESARROLLO
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 102/124
GOBIERNO TI EN EL SECTOR PUBLICO
94
Procesos SubprocesosEstrategia de la Organización Desarrollo del Plan estratégico de la organización
Preparación de los planes de desarrollo TIComunicaciones Internas y Externas Preparación del Plan de Comunicación
Ejecución del Plan de Comunicación
Gestión de Normas Definición de Normas
Recursos humanos Asignación
Formación
Gestión Económica Elaboración del Presupuesto
Control Presupuestario
Contratación Gestión de la demanda de Inversiones y servicios TIC
Gestión de la Ejecución del contrato
Tramitación del Contrato
Instalación y mantenimiento de Edificios Mantenimiento
Gestión de la Seguridad Análisis y gestión de riesgos
Auditoría de la Seguridad
Gestión de la Calidad Auditorías internas de la Calidad
Definición y Seguimiento de métricas
Gestión de las No conformidades
Mantenimiento del sistema de calidad
Planificación y revisión por la Dirección
Gestión de la Demanda Gestión de la demanda de trabajos
Gestión del Servicio al Cliente Creación y mantenimiento de ANS
Gestión de la relación con el cliente
Gestión de Proyectos Incorporación del proyecto
Planificación del proyecto
Ejecución del proyecto
Cierre del Proyecto
Gestión de la Cartera de proyectos
Desarrollo y mantenimiento de aplicaciones Ejecución del desarrollo y mantenimiento
Soporte al Servicio Resolución de incidencias
Implantación del Servicio Puesta en marcha del servicio
Tabla 8. Mapa de Procesos y Subprocesos de la GISS
4.4.3. Cobit y el SGC de la GISS
A modo de referencia, creemos conveniente incluir un gráfico con la
correspondencia aproximada entre los procesos de la GISS y COBIT.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 103/124
GOBIERNO TI EN EL SECTOR PUBLICO
95
No se trata de una correspondencia completa con las actividades d ela
organización, en tanto que muchas de las tareas que se realizan, incluso de
acuerdo a las mejores prácticas conocidas, no han sido explicitadas oprocedimentadas.
Ilustración 37. Cobit Vs. SGC de la GISS
Nota: Los procesos con un menor grado de coincidencia se han marcado con
un color más claro.
Sin embargo, la relación nos permite identificar procesos que sería conveniente
abordar para la mejora organizativa bien porque no se han puesto en marcha o
por corresponder a tareas que, aunque se vienen realizando, no han sido
explicitadas en el sistema de calidad.
La inclusión dentro del SGC no es un acto exclusivamente formal, sino que
permite encuadrarlo dentro de un sistema de monitorización y seguimiento que
facilita la mejora continua de dichas actividades.
COBIT podría enriquecerse con un sistema de ponderación de cada uno de los
procesos tal y como se hace en el modelo de excelencia Europeo EFQM, de
forma que se pudiera puntuar el grado de adecuación e una organización al
modelo COBIT.
Procesos Cobit cubiertos en la GISS
1 2 3 4 5 6 7 8 9 10 11 12 13
Planificación yorganización
PODefinir el plan
estratégico de
TI.
Definir
procesos,
organ. y relac.
de TI.
Administrar la
inversión en
TI.
Comunicar las
aspiraciones y
la dirección de
la gerencia.
Administrar
recursos
humanos de
TI.
Administrar
calidad.
Evaluar y
administrar
riesgos de TI
Administrar
proyectos.
Adquisición eImplementación
AIAdquirir y
mantener el
software
aplicativo
Adquirir
recursos de TI
Instalar y
acreditar
soluciones y
cambios
Soporte yEntrega DS
Definir y
admin. nivelesde servicio
Garantizar la
seguridad delos sistemas
Identificar y
asignar costos
Administrar la
mesa de
servicio y los
incidentes
Administrar
lasoperaciones
Monitorización ME
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 104/124
GOBIERNO TI EN EL SECTOR PUBLICO
96
4.5. Diferencias con el Sector Privado.
En esta sección analizaremos las diferencias más significativas entre el sectorpúblico y el sector privado en lo relativo a las estructuras de gestión y de gobierno TI.
En un principio, los procesos operativos de una organización del sector público
no difieren significativamente de los una organización similar del sector privado. Por
ejemplo, la Seguridad Social se asemeja mucho a cualquier empresa del Sector de los
seguros.
Sin embargo, cuando observamos las mismas organizaciones a nivel
estratégico, nos damos cuenta de las diferencias en sus estructuras y de gobierno, tal
y como se indica en la tabla siguiente:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 105/124
GOBIERNO TI EN EL SECTOR PUBLICO
97
Sector Público S Sector Privado
Objetivos
Políticos Maximizar valor y
ganancias a los
accionistas
Toma de decisiones Rígida, colegiada, de
arriba abajo. Alejados de
realidad y del día a día dela organización.
Flexible, personal
Provisión de fondos Poco flexible Flexible
Satisfacción trabajo Media-baja Alta
Responsabilidad
personal (accountability)
Baja, salvo decisión
política. Orientación a la
decisión colegiada
Alta
Procedimientos Rígidos.. Poco orientados
a la eficacia.
Flexibles, adaptados a la
necesidad y al mercado
Sistemas de
recompensas e
incentivación
Incipientes, mal definidos Bien definidos
Stakeholders Políticos, votantes,lobbies, , etc.
Principalmente accionistas.
Innovación Poco incentivada Ventaja competitiva
Tabla 9. Diferencias Sector Público y Privado
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 106/124
GOBIERNO TI EN EL SECTOR PUBLICO
98
Uno de las diferencias esenciales del sector público con respecto al sector
privado tiene que ver con los grupos de interés a los que tiene que satisfacer la
organización. En el caso de las organizaciones privadas, el más claro grupo deinfluencia son los accionistas; Todas las acciones del gobierno ejecutivo de la
organización responden al objetivo de satisfacer al grupo de accionistas. En el caso
del sector público, el número de grupos de influencia crece (políticos, votantes,
población en general, empresarios, funcionarios, etc).
Esta diferencia entre ambos sectores oculta otras más significativas y que
tienen que ver con qué es importante para estos grupos de interés. En las empresas
privadas, el motor principal de sus estrategias y actividades es obtener el mayor valor
económico para los accionistas. En las organizaciones públicas el factor económico es
importante, pero secundario con respecto al valor político y al servicio prestado. Esto
hace muy difícil decidir en una organización pública si una actividad o iniciativa en TI
aporta valor al negocio.
Todo ello, unido a una menor flexibilidad y dinamismo en la toma de decisiones
y en los procedimientos de gestión del sector público conforman las diferencias
esenciales entre estos dos tipos de organizaciones.
Sin embargo, a pesar de las diferencias indicadas, el sector público se mueve cada
vez más dentro de un ambiente de constantes cambios económicos y políticos y sujeto
a una dependencia creciente en las tecnologías que le sumergen el mismo clima
turbulento que afecta a las empresas del sector privado.
Este cambio no ha sido del todo aceptado en las organizaciones públicas, que miran
con recelo los mecanismos de gestión utilizados en el mundo empresarial. Existe una
preocupación de que el lenguaje del consumismo, la excesiva orientación hacia unagestión del rendimiento, la orientación hacia el mercado, etc, puedan afectar
negativamente al sector público.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 107/124
5
Propuesta de
modelo de Gobierno
para el Sector
Público
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 108/124
Propuesta de modelo para el sector público
100
5.1. Introducción.
En los anteriores capítulos se ha definido el alcance del concepto de Gobierno
de las TIC y estableciendo su necesidad en las organizaciones en relación con el
Gobierno corporativo, que es una de las actuales preocupaciones de las
organizaciones públicas y privadas como forma de garantizar la salubridad de la
organización ante los accionistas, ciudadanos y otros grupos de interés.
Asimismo, se han descrito y analizado los principales marcos de Gobierno y las
mejores prácticas de gestión que se aplican en el sector público. Dado que el modelo
está dirigido a éste sector, se ha definido qué se entiende en el ámbito del modelo por
sector público, identificando las características que le diferencian de organizaciones
cuyo fin principal es el de conseguir un valor económico para los accionistas.
A continuación, describiremos los elementos que conforman la propuesta de
modelo para el sector público, apoyándonos para ello en las piezas y elementos que
han sido descritos anteriormente.
El modelo permitirá identificar un subconjunto de mejores prácticas que,aplicadas en conjunto y de la manera descrita, posibilitan el establecimiento de un
Gobierno TI robusto sobre el que pueda asentarse la organización.
5.2. Características del modelo
El modelo de Gobierno TI para el sector público debe cumplir con las
siguientes características, que son deseables para garantizar su aplicabilidad:
Basado en estándares y buenas prácticas conocidas.
Simple de entender y de aplicar, para facilitar su implantación inicial.
Flexible, para poder ser adaptado a diferentes organizaciones
Centrado en las responsabilidades de Gobierno de las organizaciones y
no en la gestión de las TIC y, sin embargo, compatible con estas.
Debe tener en cuenta a los diferentes actores en las organizaciones
públicas, desde la alta dirección hasta la propia organización TIC, que
debe proporcionar los medios e indicadores sobre los que se sustenta elpropio modelo de Gobierno.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 109/124
Propuesta de modelo para el sector público
101
Debe facilitar los mecanismos de alineamiento estratégico entre las
actividades de la unidad TIC y de la organización.
Debe integrarse con las prácticas y herramientas de Gobiernocorporativo de la organización.
Debe disponer los medios necesarios para conocer si la organización
está haciendo un uso eficiente y efectivo de los recursos TIC, en
particular, en lo relativo a nuevos proyectos e inversiones.
5.3. Elementos del ModeloComo hemos indicado, el Gobierno TI es un concepto rico y complejo y no
existe una única aproximación para dotar a una organización de un mecanismo
único que garantice conseguir los objetivos de Gobierno TI deseados.
Por el contrario, la mayor parte de las organizaciones ponen en marcha una
serie de iniciativas y mecanismos que, de forma conjunta, permiten aproximarse a
los objetivos perseguidos.
Entre estos mecanismos, hemos seleccionado los que creemos más
adecuados, teniendo cuidado de abarcar todos los aspectos necesarios, desde
aquellos relativos a la actitud de la dirección y de las estructuras organizativas que
soportan en Gobierno TI, hasta normas y prácticas más próximas a la Gestión de
las TIC que del Gobierno TI, pero que son las piezas necesarias en las que deben
apoyarse las iniciativas de Gobierno TI para alcanzar sus objetivos.
En este sentido, nuestro modelo se basará en los siguientes elementos oaspectos diferenciados:
Concienciación para la alta dirección
Estructuras organizativas
Alineamiento con el Gobierno corporativo
Sistema de Gestión de procesos
Monitorización del rendimiento e indicadores
Soporte a la Gestión de proyectos
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 110/124
Propuesta de modelo para el sector público
102
5.3.1. Concienciación de la alta dirección
Desde un punto de vista conceptual, no es posible elaborar un modelo
efectivo de Gobierno para el sector público sin tener en cuenta los diferentes
actores que toman parte en la consecución de una adecuada gobernanza TI.
Entre los diferentes roles identificados, el de mayor importancia es el
correspondiente a la alta dirección de la organización, personalizada en el sector
público Español en Secretarios de Estado, Directores Generales, Directores de
Agencias gubernamentales, etc, es decir, los más altos responsables de las
unidades organizativas del sector público con competencias directas sobre las
unidades TIC.
Un gobierno TI débil, desprotegería a la organización frente a influencias
externas y conduciría a resultados económicos y de servicio por debajo de las
expectativas.
Por este motivo, el modelo de Gobierno TI para el sector público debe
contemplar como objetivo inicial la implicación directa y efectiva de estos altos
cargos en el ejercicio de sus responsabilidades fiduciarias. Se propone la adopcióndel estándar ISO 38500 como medio de divulgación y asunción de las
responsabilidades de Gobierno TI del directivo del sector público. Esta decisión se
avala en que la ISO 38500 es una norma internacional, la primera que trata los
aspectos de Gobierno TI como una responsabilidad de la alta dirección, lo que
hace mucho más fácil su adopción por parte de las organizaciones.
5.3.2. Definición estructuras organizativas
El modelo de Gobierno TI, si es aceptado por la alta dirección de la
organización como su responsabilidad directa, debe tener reflejo en las
estructuras organizativas. No se trata solo se reconocer el papel de la alta
dirección en el Gobierno TI, sino de garantizar que la alta dirección juegue un
papel de manera activa.
De hecho, uno de los primeros indicadores de que la alta dirección de la
organización ha asumido su responsabilidad en el control del las TICs es que se
creen en las estructuras organizativas necesarias para ejercer el control
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 111/124
Propuesta de modelo para el sector público
103
deseado. Entre estas estructuras y mecanismos podemos significar las
siguientes:
Comité de estrategia TI
Formado por miembros propios y ajenos al comité de dirección de la
organización, tiene como principal misión el aconsejar al consejo de
administración o junta de accionistas sobre aspectos específicos en TI.
Suele tener delegada la capacidad de elaborar la estrategia TI y
presentarla al consejo de administración para su aprobación. Es un punto de
encuentro y alineamiento entre la función TIC y el negocio
En este sentido, es responsabilidad de este comité el asegurarse de
que los asuntos de relevancia en las TICs son incluidos en la agenda de las
reuniones del consejo y tratados adecuadamente.
Comités de impulso (Steering commitees)
La implementación detallada de la estrategia es responsabilidad de la
dirección ejecutiva, la cual puede apoyarse en comités específicos para el
impulso de áreas específicas (estrategia, seguridad, auditorías, proyectos, etc).
Definición de responsabilidades
Deben definirse las personas responsables (accountable) de las
diferentes actividades TI. Esto se pondrá más adelante en relación con el
establecimiento de un sistema de gestión basado en procesos y de la medición
del rendimiento organizacional como mecanismo de apoyo al gobierno TI.
Función TI
La propia estructura de la organización debe ubicar a la dirección de las
TIC en el lugar adecuado para garantizar su relación con el negocio, a saber:
Reporte del CIO directamente al más alto responsable de la unidad de
negocio (Secretario de Estado, Director de la Agencia, etc).
Participación del CIO en los comités de dirección de la organización.
Rango de la unidad de TI similar a las correspondientes de las unidades
de negocio.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 112/124
Propuesta de modelo para el sector público
104
Creación de la figura de responsable TIC para las AAPP a fin de
coordinar la estrategia TIC en todo el sector público.
*Chairman o presidente, con junta (CEO, CIO, etc)
5.3.3. Cuadro de mando integral para TI
Como hemos comentado, el alineamiento con el negocio es un objetivo
necesario para que las TICS proporcionen valor a las unidades de negocio.
En este sentido, deben establecerse mecanismos que favorezcan este
alineamiento y, para que sean efectivos, es conveniente sean mecanismos similares
a los utilizados por las unidades de gestión para el gobierno corporativo.
El mecanismo más común y conocido de soporte al gobierno corporativo es
el Cuadro de mando integral (Balanced scorecard o BSC) desarrollado en los 90s
por Kaplan y Norton (8) basado en la idea de que la evaluación de una organización
no debería basarse únicamente en indicadores económicos, como era la costumbre,
sino suplementarse a otras medidas relativas a la satisfacción del cliente, los
procesos internos y la capacidad para innovar. Kaplan y Norton desarrollaron una
estructura de 3 capas para estas perspectivas: misión, objetivos y medidas.
El modelo del BSC se puede sintetizar en la siguiente figura:
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 113/124
Propuesta de modelo para el sector público
105
Ilustración 38. Cuadro de mando Integral
Dado que este modelo es conocido y utilizado en un gran número de
organizaciones, proponemos la utilización de un modelo similar de control del
Gobierno corporativo basándolo en un Cuadro de mando Integral TI particularizando
las cuatro perspectivas:
Finanzas
Objectivos Medidas
Procesos internos denegocio
Objectivos
Clientes
Objectivos Medidas
Aprendizaje y Crecimiento
Objectivos Medidas
¿Cómo garantizar el dinero invertido por los accionistas?
¿Cómo nos ven nuestros clientes?
¿En qué debemos ser excelentes?
¿Cómo podemos continuar mejorando y creando valor?
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 114/124
Propuesta de modelo para el sector público
106
Ilustración 39. Cuadro de mando integral TI
El desarrollo de un modelo específico escapa del alcance de este trabajo, si
bien se pueden encontrar referencias bibliográficas (9) para su desarrollo en una
organización específica.
5.3.4. Sistema de gestión de procesos (SGP)
El BCS permite tener una visión organizada y de alto nivel del estado del
Gobierno TI en una organización. Sin embargo, esta visión tiene que estar
apoyada en la consecución de unos objetivos concretos en las diferentes
actividades TIC.
Es en este punto en el que COBIT juega un papel central integrando la
visión estratégica de la organización con las mejores prácticas de gestión de las
TIC.
COBIT nos brinda un marco idóneo para determinar las áreas de las TIC
a las que hay que prestar atención y proporciona un conjunto de objetivos a
conseguir en cada área, relacionándolos con indicadores clave de rendimiento
en la consecución de dichos objetivos.
Contribución a la corporación
Objectivos Medidas
Excelencia operacional
Objectivos Medidas
Orientación hacia los usuarios
Objectivos Medidas
Orientación hacia el futuro
Objectivos Medidas
¿Cómo ve nuestra dirección corporativa al depto. IT?
¿Cómo ven los usuarios al depto. IT
¿Son los procesos IT eficientes y efectivos?
¿Están las TIC bien posicionada para afrontar los desafíos del futuro?
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 115/124
Propuesta de modelo para el sector público
107
Por lo tanto, el uso de COBIT en este modelo presentará las siguientes
características:
Selección de los procesos TIC críticos para garantizar una mejor
gobernanza TI. Esto implica utilizar un subconjunto o conjunto
reducido de procesos COBIT.
Identificación de los objetivos de control (indicadores) asociados
a los procesos seleccionados.
Vinculación de los indicadores de los procesos COBIT con los
indicadores de alto nivel de las cuatro perspectivas del cuadro
de mando integral TI.Por su forma de construcción, estos indicadores del BSC TI
estarán relacionados con el cuadro de mando integral de la
organización.
En el sentido descendente, los procesos COBIT seleccionados
se apoyarán en las mejores prácticas de gestión de las TIC.
En concreto, se propone la utilización de las metodologías y
buenas prácticas siguientes:
o PMI para la Gestión de proyectos.
o ITIL para la Gestión y entrega de los Servicios TIC.
o ISO 17799 para la Gestión de la seguridad.
Selección de procesos COBIT
Dado que Cobit es la base central del modelo e indicábamos que es
necesario hacer una aproximación sencilla inicial para facilitar la adopción
paulatina de las medidas de Gobierno TI, vamos a definir un subconjunto de
procesos COBIT prioritarios de acuerdo a las siguientes premisas:
Relevancia del proceso dentro del propio modelo.
Pueden identificarse los procesos más influyentes en el modelo
haciendo un análisis de las entradas y salidas de cada uno de los
procesos de Cobit hacia otros, lo que nos da un indicativo de su
influencia sobre otros (las salidas o output del proceso van a un
número elevado de procesos) y/o de la sensibilidad del proceso
respecto a los demás procesos (en el caso de muchos inputs
provenientes de otros procesos).
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 116/124
Propuesta de modelo para el sector público
108
Un estudio detallado de la relevancia de los inputs y outputs de los
procesos Cobit puede verse en la bibliografía (10).P04, PO6, PO7, PO8
Procesos de vinculación de TI con la estrategia de la organización.
Procesos clave en las mejores prácticas de soporte al servicio, a
saber: Gestión de configuración, Gestión de cambios, Gestión de
incidencias y problemas.
Procesos clave para la gestión de inversiones y proyectos.
Teniendo en cuenta estas directrices, el modelo simplificado de Cobit
agruparía los siguientes procesos:
Ilustración 40. Procesos esenciales de COBIT
5.3.5. Gestión del rendimiento
Hemos comentado anteriormente que, según el ITGI, el Gobierno TI se
basa principalmente en proporcionar valor al negocio y en mitigar los riesgos
derivados del uso de las TIC.
Ambos aspectos del Gobierno TI solo pueden ser alcanzados si se
conocer con certeza y precisión la evolución de las diferentes variables que
inciden en los objetivos establecidos.
1 2 3 4 5 6 7 8 9 10
Planificación yorganización
PODefinir el plan
estratégico de
TI.
Determinar la
dirección
tecnológica.
Definir
procesos,
organ. y relac.
de TI.
Administrar l a
inversión en TI.
Comunicar la s
aspiraciones y
la dirección de
la gerencia.
Administrar
recursos
humanos de TI.
Administrar
calidad.
Evaluar y
administrar
riesgos de TI
Administrar
proyectos.
Adquisición eplementación
AIAdquirir y
mantener el
software
aplicativo
Adquirir y
mantener la
infraestruct.
tecnológica
Facilitar la
operación y el
uso
Adquirir
recursos de TI
Administrar
cambios
Soporte yEntrega
DSDefinir y admin.
niveles de
servicio
Garantizar lacontinuidad del
servicio
Garantizar laseguridad de
los sistemas
Identificar y
asignar costos
Administrar l a
mesa de
servicio y los
incidentes
Administrar laconfiguración
Administrar los
problemas
Monitorización MEMonitorear y
evaluar el
desempeño de
TI
Monitorear y
evaluar el
control interno
Garantizar
cumplimiento
regulatorio
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 117/124
Propuesta de modelo para el sector público
109
El modelo propuesto conlleva implícitamente la definición,
motizorización y evaluación de indicadores de rendimiento y de indicadores
claves de objetivos debido a las siguientes características:
Está basado en un sistema de gestión de procesos. Cada
proceso debe definir unos objetivos a alcanzar y unos
indicadores que monitorizar.
Los indicadores de nivel de proceso deben agruparse para
conformar el cuadro de mando integral de TI con indicadores
significativos para la alta dirección de la organización.
A su vez, los indicadores del cuadro de mando integral TI seconsolidan en el cuadro de mando integral corporativo en el que
los indicadores de TI reflejan la ayuda de la unidad TIC en
conseguir los objetivos de negocio.
Todo el sistema en sí está soportado en la idea del ciclo de
Demming (Plan-Do-Check-Act) que es la base de la mejora
continua de las organizaciones.
5.3.6. Soporte a las mejores prácticas de gestión
El modelo, tal y como ha sido diseñado, se integra perfectamente con las
mejores prácticas de gestión de las tecnologías de la información. En concreto,
apuesta decididamente por la utilización de los siguientes marcos:
Cuerpo de conocimiento de administración de proyectos del
Project Management Institute (PMBOK).Librería de Infraestructuras de Tecnologías de la información de la
oficina de comercio del gobierno Británico.
Sistema de Gestión de procesos para la mejora de la calidad,
base de la mayor parte de los sistemas de Gestión de Calidad,
como EFQM.
Estándar internacional de ISO para los sistemas de Gestión de la
Seguridad de la información, como ISO/IEC 17799, ISO 27002..
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 118/124
Propuesta de modelo para el sector público
110
5.3.7. Estructura del modelo
Los diferentes componentes del modelo se combinan de la forma que se
muestra en la siguiente figura:
Ilustración 41. Estructura del modelo de Gobierno TI
Como se ha ido indicando, la alta dirección de la organización debe ser
concienciada para asumir sus responsabilidades en el Gobierno de las TIC, tal y como
se expresa en el estándar ISO 38500.
A fin de integrar el Gobierno TI como parte del Gobierno corporativo, se
utilizará un cuadro de mando integral específico para TI en el que se alinearán las
estrategias de TI con las marcadas por las unidades de negocio.
Los indicadores del cuadro de mando integral se elaborarán a partir de los
recogidos de un sistema de gestión basado en un subconjunto de procesos de COBIT.
Para ello, han sido seleccionados los procesos esenciales para el buen gobierno TI en
función de unos criterios generales previamente definidos.
Operaciones IT y controlesdetallados
ITIL/ISO:20000
CobiT
PMIBS7799
ISO:27001
G o b i e r n o I T
G e s t i ó n I T
ISO:38500
Cuadro de mandoIntegral para IT
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 119/124
Propuesta de modelo para el sector público
111
Este modelo se integrará con las prácticas de gestión más comunes como son
ISO 17799/ISO 27002, ITIL y PMBOK.
5.3.8. Implantación del modelo
El modelo deberá adaptarse a cada organización del sector público por
medio de una iniciativa promovida por la alta dirección, gestionada como un
proyecto que contemple al menos las siguientes etapas:
1. Definir los objetivos y establecer un equipo
2. Entender la relación necesaria para el alineamiento Negocio-IT
3. Analizar el estado actual y priorizar gaps4. Especificar acciones. Gestionarlas como un proyecto.
5. Elegir y evaluar los criterios de éxito.
6. Implementar, medir y retroalimentar resultados
El resultado de la iniciativa deberá ser reevaluado después de la
implementación de acuerdo a las buenas prácticas para la mejora continua.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 120/124
ACRONIMOS Y REFERENCIAS
112
Acrónimos
ITIL (Information Technology Infrastructure Library): Es una definición debuenas prácticas que facilita la gestión de la calidad en la prestación delservicio. Definido inicialmente por el gobierno de Inglaterra, se ha convertidoen el estándar de ISO 20000.
CMDB (Configuration Management DataBase): Repositorio de informaciónfederada que relaciona los Elementos de Configuración (CI) de acuerdo conlos servicios a los que da soporte.
SLA (Service Level Agreement): es un acuerdo formal entre dos partes, elproveedor del servicio y receptor del servicio. Los contenidos que se definen
en el contrato del servicio puede variar según la naturaleza de este pero sueleincluir los elementos principales o cláusulas.
IT (Information Technology): Asociado a las organizaciones con fuerteimplementación de los servicios de Negocio sobre componentes tecnológicos.
BSM (Business Service Management): Área dentro de las organizacionesTI encargada de la gestión de los Servicios de Negocio. Su función principales verificar la calidad de los servicios de negocios que se proporciona a losclientes finales, así como la gestión de los costes por las incidenciasprovocadas.
ITAM (Information Technology Asset Management): Área dentro de las
organizaciones TI encargada de la gestión de Activos, incluyendo elinventario completo de los componentes electrónicos así como la gestiónfinanciera de estos.
CM (Configuration Management). Gestión de Configuración de loselementos tecnológicos.
BPMN (Business Process Modeling Notation): Lenguaje XML de alto nivelpara la definición de los procesos de Negocio. Se utiliza en herramientas quepermiten ver los procesos de negocio como un diagrama de actividadessecuenciales de forma visual.
BPEL (Business Process Execution Language): Lenguaje XML de
definición de los procesos de Negocios aplicados a Web Services. Estelenguaje define los servicios Web utilizados para cada uno de los procesos denegocio.
CobiT (Control Objectives for Information and Related Technology):Definición de los par´qmetros a medir dentro de las organizaciones TI paracontrolar el correcto funcionamiento de los procesos internos TI.
CEO, Chiel executive Officer, Directivo responsible de una organización entodos sus ámbitos.
CIO, Chief Information Officer, Directivo responsable de las TIC en unaorganización
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 121/124
ACRONIMOS Y REFERENCIAS
113
CMMI (Control Objectives for Information and Related Technology): Definición de la metodología de desarrollo del software en una organización odepartamento.
CI (Configuration Item): Elemento de configuración. Cualquier elemento deuna organización TI que participe en la prestación de los Servicios de lamisma.
Activo. Recurso (Asset): Cualquier cosa que tenga valor para laorganización.
Disponibilidad (availability): Propiedad de ser accesible y usable bajodemanda por una entidad autorizada.
Confidencialidad (confidentiality): Propiedad que la información no estédisponible o pueda ser descubierta por usuarios no autorizados, entidades oprocesos.
Seguridad de la información: Preservación de la confidencialidad,integridad y disponibilidad de la información, en adición también de otraspropiedades como autenticación, autorización, registro de actividad, norepudio y confiabilidad pueden ser también consideradas.
Eventos de seguridad de la información: Ocurrencia de un eventoidentificado sobre un sistema, servicio o red, cuyo estado indica una posiblebrecha en la política de seguridad de la información o fallo en elalmacenamiento de la misma, también cualquier situación previa desconocidaque pueda ser relevante desde el punto de vista de la seguridad.
Incidente de seguridad: uno o varios eventos de seguridad de la
información, no deseados o inesperados que tienen una cierta probabilidadde comprometer las operaciones de la empresa y amenazan a la seguridadde la información.
Sistema de administración de la seguridad de la información (ISMS:Information Security Management System): Parte de los sistemas de laempresa, basado en el análisis de riesgo de negocio, cuya finalidad esestablecer, implementar, operar, monitorizar, revisar, mantener y mejorar laseguridad de la información. El ISMS incluye las políticas, planes, actividades,responsabilidades, prácticas, procedimientos, procesos y recursos.
Integridad: Propiedad de salvaguardar la precisión y completitud de losrecursos.
Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
Aceptación de riesgo: Decisión de aceptar un riesgo.
Análisis de riego: Uso sistemático de la información para identificar fuentesy estimar riesgos.
Valoración de riesgo: Totalidad de los procesos de análisis y evaluación deriesgo.
Evaluación de riesgo: Proceso de comparar los riesgos estimados contra loscriterios de riesgo establecidos o dados, para determinar el grado designificativo del riesgo.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 122/124
ACRONIMOS Y REFERENCIAS
114
Administración del riesgo: Actividades coordinadas para dirigir y controlarlas medidas necesarias para la observación del riesgo dentro de laorganización.
Tratamiento del riesgo: Proceso de selección e implementación demediciones para modificar el riesgo.
SGC: Sistema de Gestión de la calidad.
EFQM: Modelo de excelencia Europeo. fue introducido en 1991 como elmarco de trabajo para la autoevaluación de las organizaciones y como labase para juzgar a los concursantes por el Premio Europeo de la Calidad, elcual fue entregado por primera vez en 1992. Este modelo es el másampliamente utilizado en Europa y se ha convertido en la base para laevaluación de las organizaciones en la mayoría de los premios nacionales yregionales de calidad en toda Europa.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 123/124
ACRONIMOS Y REFERENCIAS
115
Referencias bibliográficas
1. Symons, Craig. COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance. USA : Forrester Research, 2006.
2. Leading in Times of Transition: The 2010 Agenda. Gartner. USA : Gartner
Executive Programs, Enero 2010.
3. Governing information Technology through COBIT. Guldentops, Erik. USA :
Idea group, 2004.
4. ISO/IEC. Corporate governance of information technology. 2008.
5. PMI. Fundamentos para la dirección de proyectos - Guía PMBOK (Cuarta
Edición). USA : Project Management Institute, 2008.
6. ITGI. Board Briefing on IT Governance. USA : s.n., 2009.
7. Gobierno de España. LEY GENERAL PRESUPUESTARIA 47/2003. BOE.
27 de noviembre de 2003, 284.
8. Using the Balanced Scorecard as a Strategic Management System. Robert
S. Kaplan, David P. Norton. s.l. : Harvard Business Review , 1996.
9. Linking the IT Balanced Scorecard to the Business Objectives at a
MajorCanadian Financial Group. Win Van Grembergen, Ronald Saull, Steven De
Haes. s.l. : Idea Group, 2004.
10. Importance of Inputs/Outputs Within COBIT Processes. Joao Souza Neto,
Helga Valesca O. da Fonseca, Ian Lawrence Webster. USA : Cobit Focus, Julio
2009, Vol. 3.
11. IT Governance and Implications for internal audits. Homburg, Ashley &
Wall, James.
12. Public and private sector IT Governance: Identifying Contextual differences.
Campbell, John, McDonald Craig & Sethibe Tsholofeo. 2, s.l. : Australasian Journal
of information Systems, 2009, Vol. 16.
5/17/2018 Marco Gobierno TI sector publico - slidepdf.com
http://slidepdf.com/reader/full/marco-gobierno-ti-sector-publico 124/124
ACRONIMOS Y REFERENCIAS
116
13. Gobierno de las TIC ISO/IEC 38500. Ballester, Manuel. s.l. : ISACA
JOURNAL, Vol 1, 2010.
14. ITGI. IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition. USA : s.n., 2007.
15. IT Governance. How Top performers Manage IT decisions right for superior
results. Peter Weill, Jeanne W. Ross. Boston, USA : Harvard Business School Press,
2004.
Top Related