INSTITUTO TECNOLÓGICO SUPERIOR DE LA

MONTAÑA

INGENIERÍA INFORMÁTICA

MATERIA:

Fundamentos de Gestión de Servicios de Tecnologías de

Información

REPORTE DE INVESTIGACIÓN:

Marcos de Gobierno de TI en las Empresas

DOCENTE:

ING. Freddy Ramírez Villalobos

Presentado Por:

Rosalva Bautista Nieves

Wilber Vidal Marín

TLAPA DE COMONFORT A 07 DE NOVIEMBRE DE 2014

2

ÌNDICE

Pág.

Introducción………………………………………………………………….3

3. Marcos de gobierno de tecnologías de la información

3.1 Fundamentos para la generación de estrategias de TI….… 4

3.2 Gobierno de tecnologías de la información.…………........... 5

Conclusión…………………………………..…………….........................22

Referencia………………………………………….………..……………..23

3

INTRODUCCIÓN

En este reporte de investigación incluye la definición y la importancia de los

marcos de gobiernos de TI, hoy en día casi todas las organizaciones están

utilizando la tecnología de información (IT) en sus modelos y proceso de negocio.

Gobernanza de TI ha incorporado una nueva perspectiva a la visión que sobre las

TI se tiene en las organizaciones en lo que respecta a la dirección, estrategia,

decisiones y supervisión del estado actual y futuro del uso de TI.

Como finalidad conocer el proceso que tiene el marco teórico del gobierno de TI.

En Fundamentos para la generación de estrategias de TI se analizan los

problemas y se determinan los costes que van a ser generados en determinado

tiempo, lo primordial en todas la empresas es principalmente tener visión

estratégica en TI, con ello la empresa tiene en donde escudarse en situaciones de

los retos de negocios.

El Gobierno de Tecnologías de la Información es una responsabilidad de los altos

directivos de la pirámide de los gobiernos de TI, el objetivo principal del gobierno

de TI es evaluar, dirigir y monitorizar las TI para obtener el máximo valor de las

empresas.

4

3. MARCOS DE GOBIERNO DE TECNOLOGÍAS DE

LA INFORMACIÓN

3.1. FUNDAMENTOS PARA LA GENERACIÓN DE

ESTRATEGIAS DE TI

Una estrategia es el plan que compone las metas principales, políticas y secuencia

de acciones de una empresa dentro de un todo. También se puede definir como el

encuentro de un equilibrio entre lo que una organización puede hacer frente a lo

que podría hacer.

Cabe señalar que tener una visión estratégica en TI (Tecnologías de información)

es primordial para el éxito de cualquier operación de negocios. La Gestión de TI

debe ser liderada por una sólida estrategia, formulada para apoyar los objetivos de

negocio y anticiparse a los retos que el negocio mismo le impondrá en el futuro.

Figura 1: Marco de gobierno

5

La principal características de la gestión estratégica de TI, es la visión completa de

la función de TI. Por lo que carecer de esta visión, implica dejar vacíos en el

soporte al negocio. Todos sabemos que los negocios no van a parar por la

carencia de soporte tecnológico, por lo que al dejar vacíos, estos serán llenados

con “soluciones innovativas” de parte de los usuarios de tecnologías o servicios de

TI proporcionados por terceras personas. Es importante entender que tener visión

completa no necesariamente implica tener las soluciones en el presente. Más

bien, implica conocer las necesidades de TI de la organización y el momento en el

que son requeridas y por lo tanto estar listos para esos momentos de verdad que

toca vivir en toda administración de TI.

La generación de una estrategia de TI pasa por el reconocimiento de las

capacidades actuales y el establecimiento de la brecha real y la brecha permitida

por las necesidades del negocio, así como todas las acciones necesarias para

cerrar esa brecha en el momento oportuno. También incluye la predicción de

cambios en las tecnologías, en el soporte que los fabricantes de la tecnología que

usamos, para tomar decisiones de recambio, nuevas adquisiciones, mejoras en la

capacidad y similares. Una gestión de TI con una buena estrategia debe de tener

formulada su ruta de proyectos para un periodo de 5 años, 2 de los cuales deben

de estar a detalle, con presupuestos financiados y recursos asignados para

garantizar la operatividad de la estrategia.

3.2 GOBIERNO DE TECNOLOGÍAS DE LA INFORMACIÓN

El Gobierno de las TI es el sistema a través del cual se dirige y controla la

utilización de las TI actuales y futuras. Supone la dirección y evaluación de los

planes de utilización de las TI que den soporte a la organización y la

monitorización de dicho uso para alcanzar lo establecido en los planes de la

organización. Incluye las estrategias y políticas de uso de las TI dentro de la

organización.

Sin embargo, su concepto es muy valioso ya que producto de una correcta

implementación de un modelo de gobierno de TI, habilita a la organización

receptora con las herramientas necesarias para tomar decisiones óptimas

respecto a la realización de inversiones en tecnología considerando la dirección,

requerimientos del negocio y su comportamiento financiero.

El gobierno de TI integra e institucionaliza las buenas prácticas para garantizar

que TI en la empresa soporta los objetivos del negocio. Facilita que la empresa

6

aproveche al máximo su información, maximiza los beneficios, capitaliza las

oportunidades y gana ventajas competitivas (Palao, 2010).

Son la Junta Directiva y la Gerencia Ejecutiva las responsables del gobierno de TI.

Según el IT Governance Institute, el gobierno de TI tiene cuatro principios

fundamentales (ITGI, 2007):

Dirigir y controlar

Responsabilidad

Rendición de cuentas

Actividades

El gobierno de TI tiene interesados internos y externos, con distintas

preocupaciones, a las que el gobierno de TI tiene que darles respuesta. Entre los

interesados internos se pueden mencionar al gerente de TI, la junta directiva y los

gerentes ejecutivos y de negocios, el gerente de riesgo y cumplimiento y el auditor

de TI. Los interesados externos son fundamentalmente los auditores externos, los

clientes, los reguladores y los proveedores, cada uno con preguntas e inquietudes

particulares.

Así como un buen gobierno corporativo es elemental para asegurar y alinear las

decisiones claves de negocio, con la visión y estrategia de la compañía, un buen

gobierno de TI es crítico para asegurar que las decisiones de TI estén alineadas a

los objetivos de la compañía (Garbarino, 2010).

El gobierno TI cuenta con ciertas características, por ejemplo:

Está orientado a procesos, tanto de TI como del negocio.

Se debe definir el propietario del proceso, la responsabilidad sobre el

proceso y la criticidad del mismo.

Basado en prácticas comúnmente aceptadas para aprovechar la

experiencia del mercado y ofrecer un conjunto de medidas de control

multinacional, hecho especialmente para la auditoría.

Las áreas del gobierno TI son las siguientes:

Alineamiento estratégico: Se enfoca en asegurar la conexión e

integración del negocio con los planes de las Tecnologías de información.

Su objetivo es obtener mejor alineación que la competencia.

Entrega de valor: Se refiere a ejecutar las propuestas de valor durante el

ciclo de entrega, asegurando que TI entrega los beneficios relacionados

con la estrategia del negocio, concentrándose en optimizar costes.

7

Gestión del riesgo: Comprende la necesidad del cumplimiento con los

requisitos, transparencia en el tratamiento de los riesgos más significativos

e integrar las responsabilidades de la gestión de riesgos en la organización.

Gestión de recursos: Se centra en la organización de manera óptima de

los recursos de TI de forma que los servicios que los requieran los

obtengan en el lugar y momento requerido.

Medición del Rendimiento: Da seguimiento y supervisa la estrategia de

implementación, la finalización de proyectos, el desempeño de procesos y

la entrega de servicio. Si no hay forma de medir y evaluar las actividades de

TI, no es posible gobernarlas ni asegurar el alineamiento, la entrega de

valor, la administración de riesgos y el uso efectivo de los recursos.

Figura 2: Área de enfoque del gobierno de TI

Según el informe IT Governance Broad Briefing del ITGI (2003) una de las claves

para el éxito del desempeño de TI es la inversión óptima, utilización y asignación

de recursos de TI (personas, aplicaciones, tecnología, instalaciones, datos) en el

servicio de las necesidades de la empresa. La mayoría de las empresas no

pueden maximizar la eficiencia de sus activos de TI y optimizar los costos

relacionados con estos activos. Además, el mayor desafío en los últimos años ha

sido saber dónde y cómo externalizar y luego saber cómo administrar los servicios

8

externalizados de manera que proporcionen los valores prometidos a un precio

aceptable.

Marcos de gobierno de TI

Los marcos de referencia con herramientas sólidas son esenciales para asegurar

que los recursos de TI estén alineados con los objetivos del negocio y que los

servicios y la información satisfagan los requisitos de calidad, financieros y de

seguridad. Los tres marcos de referencia del gobierno de TI actúan como

integradores de otros modelos, estándares y metodologías como ITIL, PMBOK,

ISO 27002, ISO 9000. Lo que permite aprovechar los avances que ya existan en

una organización respecto al gobierno TI.

Los factores inductores del Gobierno TI en la organización pueden ser:

Regulaciones y Normativa: Legales (SOX, LOPD), Estándares (ISO

27001, ISO 20000), Certificaciones CMMI.

Optimización de Recursos: Reingeniería procesos TI, Consolidación de

recursos y Estrategias de externalización.

Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de

productos y servicios, al igual que la gestión de la demanda.

Dentro de sus factores críticos se encuentran los siguientes:

Conocer dónde se desea ir, evitando siempre la improvisación.

Establecer mecanismos de medición y control claros.

Que el marco temporal sea adecuado, la mejora lleva tiempo, no se deben

esperar resultados a corto plazo, en menos de seis meses.

Alinearse con iniciativas que ya estén en curso.

No perderse en los modelos, no hay modelo ideal, cada situación requiere

de soluciones a medida.

Dotar a la organización de herramientas adecuadas.

A lo largo de la literatura se encuentra un número importante de marcos diseñados

para dar soporte a la implementación de distintos aspectos del gobierno de TI;

cada uno de ellos enfoca las prioridades en distintos aspectos del gobierno de TI,

haciéndolos, en buena medida, complementarios. Sin embargo se pueden revisar

tres marcos principales:

La versión de Cobit©4.1 del IT Governance Institute (ITGI, 2007) que

llamaremos simplemente Cobit en adelante, acompañada de ValIT™ del IT

9

Governance Institute (Val IT, 2008) y Risk IT™ del IT Governance Institute

(RiskIT, 2009).

La norma ISO que trata sobre el gobierno corporativo: ISO 38500 (ISO/IEC,

2008).

El modelo de Calder-Moir (Calder, 2008).

A continuación se presentan cada uno de estos modelos de forma resumida.

Cobit©4.1 (Control Objectives for Information and related Technology)

Control de gobierno de TI autorizado, actualizado y aceptado internacionalmente,

para la adopción, por parte de las empresas y el uso diario, por parte de gerentes

de negocio, profesionales de TI y profesionales de aseguramiento (ITGI, 2007).

El marco de trabajo Cobit se creó con las siguientes características principales:

orientado a negocios, orientado a procesos, basado en controles e impulsado por

mediciones.

Figura 3: Principio de cobit

10

ISO 38500 Corporate governance of information technology

Se publicó en junio de 2008. Se basa en la norma australiana AS8015:2005. Es la

primera de una serie de estándares sobre el gobierno de TI (ISO/IEC, 2008). Su

objetivo es proporcionar un marco de principios para que la dirección de las

organizaciones lo utilicen al evaluar, dirigir y monitorear el uso de las tecnologías

de la información (Bosch, 2008). Está alineada con los principios de gobierno

corporativo recogidos en el Informe Cadbury (Cadbury, 1992) y en los principios

de gobierno corporativo de la OCDE (OCDE, 1999). La norma define seis

principios de un buen gobierno corporativo de TI:

Responsabilidad

Estrategia

Adquisición

Rendimiento

Conformidad

Conducta humana

El modelo de gobierno de TI presentado por el estándar posiciona tres tareas

áreas: evaluar, dirigir y controlar, como la clave para dar dirección y controlar el

desempeño de los roles de gestión en la conducción de la organización para la

planificación, implementación y utilización operacional de TI.

11

Figura 4: modelo de gobierno IT ISO/IEC 38500

El marco propuesto por Calder-Moir (2008)

Hay varios marcos de trabajo y estándares para el gobierno de TI, pero de alguna

forma, ninguno provee el conjunto completo de gobierno de TI. Cuando estos

marcos de trabajo y estándares son utilizados colectivamente, se vuelven muy

confusos y obstruyen el propósito principal del gobierno de IT (Calder, 2008). Con

muchos marcos de trabajo en existencia, ninguno es en sí mismo un marco de

gobierno de TI completo.

El marco de gobierno de TI Calder-Moir es un metamodelo para coordinar

modelos y organizar el gobierno de IT proveyendo guía estructural al enfocar el

gobierno de TI. Al utilizar este modelo, la organización puede obtener el máximo

beneficio de todos los otros marcos de trabajo y estándares (Garbarino, 2010). Es

una herramienta sencilla para ayudar a las organizaciones a implementar la norma

ISO / IEC 38500 para el gobierno de TI en el mundo real.

El marco de trabajo Calder-Moir para el gobierno de TI no es una solución más

sino una forma de organizar los asuntos del gobierno y además apoyar a la

compañía, los ejecutivos y los profesionales. Coloca las herramientas de TI en el

contexto de un proceso de extremo a extremo y provee un punto común de

12

referencia para la discusión de los distintos aspectos de la dirección y el

desempeño de TI.

Figura 5: Modelo de Gobierno de TI Calder-Moir (Calder, 2008)

ITIL (Librería de la Infraestructura de las Tecnologías de la Información)

ITIL (Information Technology and Infraestructure Library) es el estándar más

ampliamente conocido para la gestión de los servicios TI. Como se explicó

anteriormente, una correcta gestión de servicios permite un alto nivel de

13

disponibilidad de dichos servicios y un alto nivel de satisfacción de clientes y

empleados de la compañía.

Los procesos ITIL están alineados con el estándar de calidad ISO 9000 y se

encuentran vinculados con el Modelo de Excelencia de la EFQM (European

Foundation for Quality Management), el cual es utilizado por más de 1.000

empresas en todo el mundo.

ITIL se centra en brindar servicios de alta calidad para lograr la máximo

satisfacción del cliente a un costo manejable. Para ello, parte de un enfoque

estratégico basado en el triángulo procesos-personas-tecnología. En otras

palabras: determina la forma de ejecutar procesos estándar ayudados de la

tecnología para lograr la satisfacción de las personas, usuarios de los servicios de

TI.

Figura 6: servicio de ITIL

Por otro lado, la gestión de servicios con ITIL tiene su columna vertebral en la

función de Service Desk, la cual es el punto único de contacto entre la

organización y el usuario o cliente del servicio.

A continuación graficamos en forma resumida su funcionamiento y relación con los

demás procesos de ITIL:

14

Figura 7: servicio de ITIL

Tener un sistema de gestión de servicios basado en ITIL permitirá a la compañía

lograr:

1. Mayor alineamiento de TI con el negocio / enfoque a clientes: Los procesos

ITIL están dirigidos a maximizar la disponibilidad de los servicios TI con el

propósito de lograr la satisfacción de los clientes y cumplir con los acuerdos

de nivel de servicio acordados

2. Resolución de incidencias y problemas más rápida y eficiente: Al tener una

posición proactiva hacia la resolución rápida y eficaz de incidentes y a la

vez hacia la prevención de los mismos, se logra también la satisfacción de

los clientes

3. Reducción del número de llamadas al Service Desk: Las mejores prácticas

de ITIL establecen los procesos necesarios no solo para resolver

incidentes, sino para aprender de ellos y lograr tener una base de

conocimientos (llamada por ITIL: Known Error Database) con la que la

organización logra una mejora continua minimizando cada vez el número de

incidentes y la carga de trabajo del Service Desk.

4. Aumento del ratio de resolución de incidencias en primera instancia:

Organizando adecuadamente los niveles de escalamiento de incidentes en

el Service Desk, se logra maximizar el tiempo de respuesta y resolución

desde que se comunica el incidente en el servicio TI hasta su resolución.

5. Implantación de cambios más rápida / mejor control de cambios: De igual

manera, gracias al proceso de gestión de cambios de ITIL, se pueden

15

administrar los cambios requeridos en la infraestructura TI que se generan

a raíz de algún incidente determinado. El correcto manejo de los cambios

garantiza la calidad y estabilidad de los servicios TI.

6. Reducción del número de cambios que necesiten ser revocados:

Igualmente, con una correcta gestión de cambios, que cuente con

revisiones de la Junta de cambios y el cliente, se minimizarán los posibles

problemas que puedan surgir a raíz de los mismos y los “malos entendidos”

respecto a dichos cambios entre la organización y el cliente.

CMMI

El modelo CMMI (Capacity Madurity Model Integrated) es una fusión de modelos

de mejora de procesos e ingeniería del software. Constituye una forma de medir

el grado de madurez de las organizaciones respecto a la aplicación de las mejores

prácticas de desarrollo y gestión del software.

El objetivo de CMMI es establecer una guía que permita a las organizaciones

mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y

mantener productos y servicios informáticos

Son cinco los niveles de madurez que establece CMMI:

Figura 8: Niveles de CMMI

16

Nivel 0: Incompleto o el proceso no se realiza, o no se consiguen sus

objetivos

Nivel 1: Inicial o ejecutado Este es el nivel en donde están todas las

empresas que no tienen procesos: es donde el proceso se ejecuta y se

logra su objetivo, así sea fuera de presupuesto y de cronograma. En este

nivel de madurez, el desarrollo del proyecto es totalmente opaco, no se

sabe lo que pasa en él

Nivel 2: Repetible o Se da cuando el éxito de los resultados obtenidos se

pueden repetir o la principal diferencia entre este nivel y el anterior es que

el proyecto es gestionado y controlado durante el desarrollo del mismo, es

decir, además de ejecutarse, el proceso se planifica, se revisa y se evalúa

para comprobar que cumple los requisitos. El desarrollo no es opaco y se

puede saber el estado del proyecto en todo momento.

Nivel 3: Definido Significa que la forma de desarrollar proyectos está

definida, establecida, documentada y que existen métricas (obtención de

datos objetivos) para la consecución de objetivos concretos

Nivel 4: Administrado que los proyectos usan objetivos medibles y

cuantificables para alcanzar cubrir las necesidades de los clientes y la

organización. Es decir, se usan métricas para gestionar la organización.

Nivel 5: Optimizado o Los procesos de los proyectos y de la organización

están orientados a la mejora de las actividades, que mediante métricas son

identificadas, evaluadas y puestas en práctica.

Val IT

La iniciativa de Val IT (producida con el IT Governance Institute) fue pensada para

responder a la necesidad de las organizaciones de optimizar la realización de

valor de sus inversiones en TI.

Val IT permite a la organización obtener valor de negocio de sus inversiones de TI,

mediante un marco de trabajo para el gobierno de inversiones en TI que consiste

en un conjunto de mejores prácticas y un conjunto de procesos y actividades.

Una manera sencilla de definir Val IT sería la definición del propio ITGI: “Es un

framework que ayuda a la Alta Gerencia asegurar que la organización obtenga un

óptimo valor de sus inversiones de negocio relacionadas a TI, a un costo

manejable y bajo un nivel de riesgo aceptable”.

De esta manera Val IT permite:

Aumentar la probabilidad de seleccionar inversiones que tengan el potencial

de generar la mayor rentabilidad

Aumentar la probabilidad de éxito al ejecutar las inversiones elegidas de

modo que logren o sobrepasen su rentabilidad potencial

17

Reducir el riesgo de fracaso, especialmente el fracaso de alto impacto

Reducir sorpresas en relación con el coste y entrega de TI, y de esa forma

aumentar el valor del negocio, reducir costes innecesarios y aumentar el

nivel global de confianza en TI.

Val IT está compuesto por tres procesos que se muestran en el siguiente gráfico:

Figura 9: procesos de Val IT

Gobierno del valor: Este proceso establece el marco de trabajo general, la dirección estratégica necesaria, las características deseadas del portafolio de inversiones así como las restricciones sobre las cuales basarse al momento de decidir las inversiones. Administración de inversiones: En este proceso de Val IT, basados en los requerimientos de negocio, se definen los programas de inversión y se realiza una valoración de los mismos para determinar si son enviados al proceso de gestión de portafolios para su evaluación correspondiente desde el punto de vista del alineamiento a la objetivos estratégicos, nivel de riesgos permitidos y generación de valor para el negocio. Administración del portafolio: Este proceso evalúa y prioriza los programas basado en las restricciones de recursos y costos, y transfiere los proyectos seleccionados al portafolio activo de la compañía para su ejecución.

ISO27000

Conjunto de estándares desarrollados por ISO (International Organization for

Standardization) y el IEC (International Electrotechnical Commission), que

proporcionan un marco de gestión de la seguridad de la información aplicable a

18

cualquier organización pública o privada. Está compuesto por un conjunto de

normas todas con el objetivo principal de proteger la información.

El objetivo de ISO27000 es proporcionar un modelo para establecer, implementar

y operar, monitorear, evaluar y revisar un sistema de gestión de seguridad de la

información o SGSI.

Porque ISo27000:

Definición de un sistema de gestión de la seguridad de la información, aplicando las mejores prácticas in gestión de seguridad basada en aproximaciones sistemáticas.

Identificación de activos críticos, incluyendo activos de información, a través del aseguramiento del riesgo del negocio.

Mejora del conocimiento e importancia de las cuestiones relacionadas con la seguridad a nivel de gestión

Definición de las estructuras de responsabilidad y organizacionales para la seguridad de la información

Necesidad de una certificación de los sistemas de gestión de seguridad de la información

Necesidad de relaciones contractuales

Reducción de barreras de comercio/e-commerce por su aceptación internacional.

TOGAF

TOGAF es un marco de arquitectura empresarial. TOGAF proporciona los

métodos y herramientas para ayudar en la concepción, la producción, uso y

mantenimiento de una arquitectura empresarial. TOGAF es un marco conceptual o

“Framework” para el desarrollo de arquitecturas de tecnologías de información,

compuesto por los siguientes elementos:

Una Metodología de Desarrollo de Arquitecturas (ADM por sus siglas en inglés)

que explica como construir una arquitectura empresarial específica para una

organización acorde con los requerimientos del negocio.

El Enterprise Continuum que es un “repositorio virtual” de todos los activos de

arquitectura de una organización.

Principales componentes de TOGAF

ADM (Architecture Development Method): Provee un número de fases para el

desarrollo de la arquitectura basada en un ciclo, provee una narrativa para cada

fase, que permite describir cada fase en términos de objetivos, enfoque, entradas,

19

fases y salidas. Las entradas y salidas proveen una definición de la estructura del

contenido del framework y los entregables, provee resúmenes para gestionar el

cumplimiento de requisitos

Figura 10: ADM de TOGAB

Los productos de TOGAF, se agrupan en 3 categorías

Entregable: es el producto de trabajo que esta contractualmente definido y

que es revisado, acordado y firmado por los actores. La unión de estos

entregables forma un proyecto.

Artefacto: es un producto de trabajo más granular que describe una

arquitectura desde un punto de vista. Ejemplos: diagrama de red,

especificación de un servidor, una especificación de un caso de uso. Se

20

subdivide en: Catálogos (listas de cosas), Matrices (relaciones entre cosas)

y Diagramas (pinturas de cosas).

Bloque constructivo: representa un componente (potencialmente reusable)

de negocios, de tecnología de información, o una capacidad arquitectural

que combina otros bloques constructivos. Los bloques constructivos pueden

ser definidos a varios niveles: ABBs (Architecture Building Blocks)

típicamente describen la capacidad requerida en la forma de SBBs

(Solution Building Blocks) que representan componentes que son usados

para implementar una capacidad requerida.

Algunos estándares que apoyan el gobierno de TI

ISO 20000

Es reconocido mundialmente como un estándar para certificar la Gestión de

Servicios de TI de las Empresas y Organizaciones, ISO/IEC 20000 (International

Organization for Standardization) e IEC (International Electrotechnical

Commission) (ISO/IEC, 2005a) (ISO/IEC, 2005b).

La serie 20000 proviene de la adopción de la serie BS 15000 (BS15000

Associates Group, n.d) desarrollada por la entidad de normalización y certificación

británica BSI (British Standard Institute) (Figura 15).

La norma ISO/IEC 20000 surge como respuesta a los requerimientos de clientes

que no sólo querían que trabajaran con ellos consultores certificados, sino que

requerían además que las empresas estuvieran certificadas.

La ISO/IEC 20000 es totalmente compatible con ITIL (IT Infrastructure Library) o

guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no

es medible y puede ser implantado de muchas maneras, mientras que en la ISO/

IEC 20000 las organizaciones deben ser auditadas y medidas frente a un conjunto

establecido de requisitos.

La aparición de la serie ISO/IEC 20000 ha supuesto el primer sistema de gestión

en servicio de TI certificable bajo una norma reconocida mundialmente. Hasta su

aparición las organizaciones podían optar por aplicar el conjunto de mejoras

prácticas dictadas por ITIL o certificar su gestión contra el estándar local británico

BS 15000.

21

ISO/IEC 27002 (ISO/IEC, 2005d)

Es un estándar para la seguridad de la información publicado por primera vez

como ISO/IEC 17799:2000. Este estándar internacional establece las guías y

principios. Generarles para iniciar, implementar, mantener, y mejorar la gestión de

seguridad de la información en una organización. Sus objetivos de control y

controles son recomendados para cubrir los requerimientos de seguridad que han

salido de una evaluación de riesgos (Calder, 2006).

22

CONCLUSIÒN

Como en conclusión se puede mencionar que existen varios marcos de gobierno

de TI y varios estándares de apoyo para gestión de TI y las organizaciones

requieren de seleccionar un marco de control, el que mejor se adapte a su

organización, y apoyarse en diferentes estándares para ir desarrollando y

aumentando la madurez del gobierno de TI en su organización.

El gobierno de TI y su desarrollo en la organización son un reto enorme y un

proyecto a largo de plazo para los responsables de los sistemas de información

dentro de la organización (CIO).

El Gobierno de TI Habilita a la Organización con herramientas para manejar las

decisiones óptimas que permitan realizar inversiones adecuadas en tecnología.

Permite un monitoreo efectivo de los indicadores de la Gestión de las áreas de TI

y de los beneficios de las inversiones realizadas.

También el gobierno de TI Ayuda a la supervivencia de las Organizaciones

brindando Competitividad, Máxima eficacia, Máxima eficiencia y disminución de

Costos.

Permite una adecuada administración de los riesgos y el Cumplimiento

El Rol de la Auditoría, con su enfoque estructurado de la evaluación del Control

Interno es un catalizador que permite acelerar la implantación de los procesos de

Gobierno.

En nuestra opinión una empresa que no aplica gobierno de Ti es una empresa que

tiene muchas desventajas e incompetencia con las demás que si aplican.

23

REFERENCIA

Anónimo. (14/08/2013). google. Recuperado el 03/11/2014, de

http://www.calidadti.cetecna.com/?page_id=9

Baez, A. (15/10/2012). google. Recuperado el 04/11/2014, de

http://www.auditool.org/blog/auditoria-de-ti/832-gobierno-de-ti

Coelo, K. (08/12/2008). Recuperado el 04/11/2014, de google:

http://helkyncoello.wordpress.com/2008/12/08/itil-cobit-cmmi-pmbok-como-

integrar-y-adoptar-los-estandares-para-un-buen-gobierno-de-ti/

Jimenez De La cruz, M. (07/07/2013). google. Recuperado el 03/11/2014, de

https://itsmequipo7.files.wordpress.com/2013/07/reporte_marcodegobiernod

eti.pdf

Rava, A. (16/05/2013). Recuperado el 03/11/2014, de www.google.com:

https://angelesrava.wordpress.com/2013/05/16/marco-de-gobierno-de-

tecnologias-de-la-informacion/

Anónimo. (22/10/ 2013). google. Recuperado el 04/11/2014, de

www.icesi.edu.co/revista/index.php/sistema_telematica/article/1076.pdf