Comercio electr onico.

Un caso pr actico de Gobierno de las

TIC
Enrique Manuel Gallego Garca
a
, Javier de Pedro Carracedo
b
a
Consultor senior de Seguridad de la Informaci on, Departamento de Seguridad Corporativa de Sistemas de
Informaci on de Telef onica S.A., Ronda de la Comunicaci on s/n, Madrid, Espa na
b
Departamento de Autom atica, Edicio Polit ecnico, Universidad de Alcal a, Campus universitario, N-II,
km. 33,6, 28871, Alcal a de Henares, Madrid, Espa na
Resumen
Hoy en da resulta indiscutible el impacto de las Tecnologas de la Informaci on y las
Comunicaciones (TIC) en la vida cotidiana. El fen omeno de la globalizaci on, impul-
sado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividad
empresarial que, si bien pronostican perspectivas econ omicas muy favorables, adole-
cen de una complejidad organizativa sin precedentes. Afortunadamente, el Gobierno de
las TIC ha permitido sortear el escollo, deniendo un marco de actuaci on normalizado
en el seno del mundo empresarial. As, COBIT, ITIL, ISO 27002, e incluso el modelo
de madurez propuesto por CMMI, se han convertido recientemente en manuales de su-
pervivencia en el ambito de las empresas tecnol ogicas. Por tanto, el prop osito de este
trabajo comprende una revisi on general de las diferentes areas de trabajo adscritas al
Gobierno de las TIC, a la vez que se proporciona un caso pr actico (comercio electr oni-
co) en el que se constata c omo la aplicaci on de estas reglas de conducta empresarial
consolidan la sostenibilidad del negocio.
Palabras clave:
TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electr onico.
1. Introducci on
El nal del siglo XX se ha caracterizado por la revoluci on digital, suscitada por los
avances experimentados en materia de Tecnologas de la Informaci on y las Comuni-
caciones. Su radio de acci on no se limita a nuestro quehacer diario o actividades de
ocio. In editos e innovadores negocios revelan nuevos canales de comunicaci on entre la
industria y los consumidores.
Las incipientes perspectivas de negocio, basadas en las TIC, no est an exentas de
nuevos riesgos que las organizaciones deben asumir y gestionar, de ah que se establez-
ca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Una
adecuada gesti on de los procesos tecnol ogicos resulta esencial para la supervivencia y
Correos electr onicos: enriquemanuel.gallegogarcia@telefonica.com (Enrique Manuel
Gallego Garca), javier.depedro@uah.es (Javier de Pedro Carracedo)
Artculo para III Congreso de Computaci on para el Desarrollo 6 de junio de 2010
el exito de una compa na. Los nuevos escenarios macroecon omicos insin uan una fuerte
dependencia de los procesos productivos de las organizaciones en las TIC, por lo que
actualmente las TIC se han convertido en un activo estrat egico, vital en la obtenci on
de resultados. De hecho, la inoperancia de las TIC puede llegar a paralizar la actividad
natural de una organizaci on, lo que justica la puesta en escena del Gobierno de las
TIC, el indicador del exito que se augura para una propuesta empresarial.
El origen del Gobierno de las TIC se remonta a 1992, a no en que se publica el
informe COSO (Committee of Sponsoring Organizations of the Treadway Comission)
[1]. El informe COSO propone un sistema integrado de control interno, esto es, plantea
una f ormula est andar con la que las organizaciones pueden evaluar y mejorar sus siste-
mas de control. Este memor andum supuso un punto de inexi on en la comprensi on del
control interno, pues estableci o un marco de referencia, antes inexistente, en el proceso
de institucionalizaci on del control interno.
El control interno constituye un proceso, no un n en s mismo, en el que participan
todos los integrantes de una organizaci on, sin excepci on alguna. Su cometido no es otro
que brindar apoyo a los diferentes eslabones de la cadena productiva, de forma que se
satisfagan los siguientes objetivos:
Ecacia y eciencia en las operaciones.
Fidelidad de los informes nancieros.
Cumplimiento de las leyes y normativas vigentes y aplicables.
Con posterioridad al informe COSO, se han difundido diversos informes o manua-
les de buenas pr acticas en materia de Gobierno de las TIC, entre los que cabe destacar:
1992 Cadbury Report (Committee on the Financial Aspects of Corporate Governan-
ce). Recopilaci on de buenas pr acticas en la distribuci on de informaci on entre
grupos interesados [2].
1996 COBIT (Control Objectives for Information and related Technology), auspicia-
do por ISACA (Information Systems Audit and Control Association), primera
edici on [3].
1999 Turnbull Report (Guidance for Directors on the Combined Code). Especial enfa-
sis en el papel que desempe na el Gobierno Corporativo en los comit es de au-
ditora, supervisi on de riesgos y control interno.

Ultima revisi on data de 2005
[4].
1999 Principios de Gobierno Corporativo. OCDE (Organizaci on para la Cooperaci on
y el Desarrollo Econ omicos).

Ultima revisi on data de 2004 [5].
1999 Annual Report (Bank for International Settlements). Polticas y guas, destinadas
a la industria nanciera, sobre riesgos operativos y de sistemas, as como buenas
pr acticas en sistemas y TIC [6].
2000 IT Governance Institute, COBIT (tercera edici on), Information Systems Audit
and Control Foundation, 2000.
2
2004 Peter Weill y Jeanne Ross, IT Governance: How Top Performers Manage IT
Decision Rights for Superior Results, Harvard Business Press, 2004 [7].
2006 IT Governance Institute, COBIT (cuarta edici on), Information Systems Audit and
Control Foundation, 2006 [8].
En cualquier caso, los factores clave que precipitaron la implantaci on del Gobierno
de las TIC comprenden:
Regulaciones y normativas: legales (LOPD
1
, SOX
2
), est andares (ISO 27001,
ISO 20000), certicaciones CMMI
3
, etc.
Optimizaci on de recursos: reingeniera de procesos TIC, consolidaci on de re-
cursos, estrategias de externalizaci on.
Peticiones del negocio: alineamiento TIC con la estrategia, ciclo de vida de
productos y servicios, gesti on de la demanda.
A raz de los planteamientos propuestos, el Gobierno de las TIC debe atender las
siguientes competencias:
Las TIC han de alinearse con la estrategia del negocio.
Las TIC han de facilitar que la organizaci on emprenda operaciones que antes no
eran posibles.
Los diversos servicios y funciones de las TIC han de suministrarse con el m axi-
mo valor posible o, en su defecto, de la forma m as eciente posible.
Todos los riesgos asociados a las TIC han de denirse y acotarse claramente, de
forma que los recursos TIC se conviertan en activos seguros.
El presente documento comienza con una panor amica conceptual del Gobierno de
las TIC, prestando especial atenci on a las areas de trabajo y los modelos de control que
rigen su operabilidad, para, una vez descrita la metodologa, presentar un caso pr actico
de Gobierno de las TIC, de aplicaci on en el comercio electr onico. En este sentido, se
puntualizan los procesos TIC que sustentan el negocio de las ventas online.
2. Descripci on del Gobierno de las TIC
En la ultima d ecada la literatura t ecnica ha concentrado sus esfuerzos en la deni-
ci on de Gobierno de las TIC, con objeto de identicar claramente el rol de las TIC en
la actividad empresarial. Desgraciadamente, el empe no inicial se ha visto empa nado
con dict amenes enrevesados que, lejos de aclarar la nalidad, se pierden en divaga-
ciones t ecnicas, inaccesibles para un p ublico inexperto. No obstante, Jeanne Ross, del
MIT Sloan School of Management, en un alarde de sentido com un, plantea la siguiente
denici on [7]:
1
Ley Org anica de Protecci on de Datos
2
Ley Sarbanes OXley
3
Capability Maturity Model Integration
3
El Gobierno de las TIC constituye un marco operativo, capaz de reconocer las
responsabilidades que facilitan la adopci on de decisiones correctas, de forma que
se intensiquen las conductas deseables en el uso de las TICen las organizaciones
empresariales
Del planteamiento arriba expuesto deriva una consecuencia interesante. El Go-
bierno de las TIC se ha convertido en la unica va factible que respalda la contribu-
ci on de las areas de Sistemas de la Informaci on al exito de las empresas, conforme a
una gesti on m as eciente de los recursos, minimiz andose los riesgos y aline andose las
decisiones tecnol ogicas con los objetivos del negocio.
3.

Areas de trabajo del Gobierno de las TIC
La Figura 1 ilustra gr acamente las areas de trabajo que incorpora el Gobierno de
las TIC.
A
lin
e
a
m
ie
n
t
o

e
s
t
r
a
t

g
ic
o
E
n
t
r
e
g
a
d
e

v
a
lo
r
Gestin de
recursos
G
e
s
t
i

n

d
e
l
r
i
e
s
g
o
M
e
d
i
c
i

n

d
e
l

r
e
n
d
i
m
i
e
n
t
o
reas de trabajo
Gobierno de las TIC
Figura 1:

Areas de trabajo del Gobierno de las TIC
A tenor de la Figura 1, las areas de trabajo comprenden las siguientes lneas maes-
tras:
' Alineamiento estrat egico
Consolidar la conexi on e integraci on del negocio con los planes de las TIC.
Denir, mantener y validar las propuestas de valor de las TIC.
Alinear las operaciones de las TIC con las de la empresa.
Alcanzar una mejor alineaci on que la competencia.
Z Entrega de valor
Rentabilidad del negocio. An alisis coste/benecio (perspectiva econ omi-
ca).
Utilidad del servicio (perspectiva social).
4
Gesti on del riesgo
Concienciaci on por parte de la alta direcci on.
Percepci on del compromiso con los requisitos.
Dotaci on de transparencia en la gesti on de los riesgos m as signicativos.
Integraci on de las responsabilidades supeditadas a la gesti on de los riesgos
en la propia organizaci on.
Aceptaci on del riesgo en la organizaci on.
J Gesti on de recursos
Organizar optimamente los recursos TIC, de forma que aquellos servicios
que los requieran puedan disponer de ellos en lugar y tiempo concretos.
Alinear y priorizar servicios y productos TIC existentes para favorecer las
operaciones del negocio.
Controlar y monitorizar los servicios TIC, tanto propios como de terceros.
Medici on del rendimiento
Estrategia de implantaci on.
Planicaci on de los proyectos.
Uso de los recursos.
Rendimiento de los procesos.
Entrega de servicios, conforme al Cuadro de Mando Integral (CMI). Esta
herramienta de administraci on empresarial advierte continuamente cu ando
una compa na y sus empleados alcanzan los resultados previstos en la es-
trategia.
Cabe subrayar que, en ausencia de una medici on efectiva del rendimiento, las areas
de trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelar
al modelo de madurez CMMI para continuar mejorando.
4. Modelos de Gobierno de las TIC
El Gobierno de las TIC comporta la adopci on de modelos de referencia, v ease el
marco operativo COBIT (cuarta edici on) [8], junto a ITIL [9] y ISO 27002 [10], como
receptores de buenas pr acticas. Las diferentes areas de trabajo del Gobierno de las TIC
se enmarcan en los diversos modelos, de acuerdo a la siguiente designaci on:
Alineamiento estrat egico COBIT.
Gesti on de recursos ITIL.
Gesti on del riesgo ISO 27002.
5
Entrega de valor:
Percepci on econ omica An alisis coste/benecio.
Percepci on del cliente nal Funcionalidad y garanta del servicio.
Medici on del rendimiento, conforme a aquellas m etricas que act uan de indica-
dores del grado de penetraci on del Gobierno de las TIC en la organizaci on. En
este sentido, el ndice de penetraci on del Gobierno de las TIC adopta diferentes
ratios, seg un los criterios propuestos en el modelo CMMI [11]. En particular, en
el ambito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere un
modelo gen erico, compuesto de 6 niveles (ver Anexo A).
4.1. COBIT
Acr onimo de Control Objectives for Information and related Technology. Las Tec-
nologas de la Informaci on y las Comunicaciones (TIC) precisan de un marco de con-
trol especco, debido a los siguientes factores:
Creciente dependencia de la informaci on y los sistemas que la distribuyen.
Crecientes vulnerabilidades y amenazas.
Magnitud y coste de las actuales y futuras inversiones en Sistemas de la Infor-
maci on.
Respetar las regulaciones vigentes.
Potencial de las tecnologas para cambiar las pr acticas de negocio, gest andose
nuevas oportunidades, con mnimos costes.
Reconocimiento, por parte de muchas organizaciones, de los benecios poten-
ciales que la tecnologa puede reportar.
COBIT asegura que las TIC no deparen sorpresas insalvables, en t erminos de ries-
gos, dot andolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad.
Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innova-
ciones en los procesos, productos y servicios de la organizaci on. Para lograrlo, divide
las TIC en 34 procesos, pertenecientes a 4 dominios, asign andoles objetivos de control
de alto nivel. En base a requerimientos econ omicos y necesidades de calidad y seguri-
dad en las organizaciones, delimita 7 criterios de informaci on, especialmente utiles en
los planteamientos fundacionales de aquellos negocios basados en las TIC.
4.2. ITIL
Acr onimo de Information Technology Infraestructure Library. Comprende un con-
junto de buenas pr acticas, destinadas a la gesti on de servicios TIC, esto es, sugiere
un procedimiento de gesti on de las TIC, presentes en una organizaci on, incidiendo
fundamentalmente en la especicaci on de las infraestructuras, as como actividades y
procesos TIC, dirigidas a la provisi on de servicios.
6
Adoptando la denici on difundida por la consultora Gartner, ITIL engloba un con-
junto de procesos que, coordinados, respaldan la calidad de servicio ofertada, confor-
me a los niveles de servicio previamente acordados con los clientes. Estos procesos,
adem as, deben superponerse a los tradicionales dominios de gesti on, como la gesti on
de sistemas, la gesti on de redes, el desarrollo de sistemas, y muchos otros dominios
de procesos complementarios, como la gesti on de cambios, la gesti on de activos o la
gesti on de incidencias.
Los procesos representan secuencias de actividades interconectadas, con un inicio y
un nal concisos, es decir, los elementos de entrada deben transformarse en resultados
evidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen:
Denibles: formalizar, identicar requisitos, actividades, etc.
Repetibles: las secuencias de actividades son repetibles.
Predecibles: nivel de estabilidad que conrme la obtenci on de los resultados
esperados, siempre que se respeten las secuencias de actividades.
En denitiva, la gesti on de servicios TIC se traduce en la aproximaci on sistem atica
a la planicaci on, desarrollo, entrega y soporte de los servicios TIC de la empresa.
Con otras palabras, contrae el espacio que separa los departamentos de negocio y TIC,
instaur andose una asociaci on mutua desde y para el negocio.
4.3. ISO 27002
Esta normativa comprende un est andar para la Seguridad de la Informaci on. Pro-
porciona recomendaciones de las mejores pr acticas, en la gesti on de la Seguridad de
la Informaci on, a todos los interesados y responsables en iniciar, implantar o mantener
sistemas de gesti on de la Seguridad de la Informaci on. La versi on m as reciente del
est andar incluye doce secciones tem aticas (ver Tabla 1). Dentro de cada secci on, se
especican los objetivos de los distintos controles a los que debe someterse la Seguri-
dad de la Informaci on. Cada uno de los controles se acompa na, asimismo, de una gua
para su implantaci on. El n umero total de controles asciende, entre todas las secciones,
a 133, aunque cada organizaci on debe sopesar previamente cu antos ser an realmente
aplicables, seg un sus propias necesidades.
Tabla 1: Secciones tem aticas de ISO 27002
An alisis y gesti on de riesgos Poltica de Seguridad
Seguridad de RRHH Seguridad fsica
Gesti on de activos Organizaci on de la seguridad
Comunicaciones y operaciones Control de acceso
Compras, desarrollo y mantenimiento de sistemas Gesti on de incidentes de seguridad
Plan de continuidad del negocio Conformidad legal
7
5. Comercio electr onico. Un caso pr actico
El comercio electr onico, tambi en conocido como e-commerce (contracci on de los
t erminos anglosajones electronic y commerce), consiste en la compra y venta de pro-
ductos o servicios a trav es de medios electr onicos, como Internet u otras redes in-
form aticas. Originariamente, el t ermino identicaba cualquier transacci on efectuada
por medios electr onicos, p. ej., el intercambio electr onico de datos. Sin embargo, con
el advenimiento de Internet y la World Wide Web, a mediados de los a nos 90, torn o su
acepci on para referirse principalmente a la venta de bienes y servicios a trav es de In-
ternet, usando como forma de pago un medio electr onico, como la popular tarjeta de
cr edito.
El comercio electr onico (el negocio: ventas online) consta de un portal web, una
base de datos, lneas de acceso a Internet, etc. Todos estos componentes pertenecen
al campo de las Tecnologas de la Informaci on y las Comunicaciones (TIC). Para que
el comercio electr onico est e disponible, con la capacidad suciente, continuidad en el
tiempo, able para los clientes que lo utilicen, benecios que reporta a la empresa, el
departamento de ventas debe considerar las TIC como un socio atractivo, pues cons-
tituye una plataforma ecaz y eciente, id onea para incrementar las ventas, objetivo
clave del negocio. Por tanto, deben acometerse las siguientes directrices:
Optimizar la gesti on de las TIC (crear procesos TIC predecibles y graduables).
En la denici on de estos procesos intervienen las buenas pr acticas de ITIL y ISO
27002.
Establecer un vnculo entre las TIC y el departamento de ventas (negocio). Por
medio del alineamiento con el negocio, las metas TIC deben generar metas de
negocio, para que as el negocio simpatice con la organizaci on de las TIC. En la
denici on del alineamiento con el negocio media el marco de control de COBIT.
Justicar los costes, derivados de la implantaci on del servicio, a la direcci on de
la empresa. Por lo tanto, debe elaborarse un an alisis coste/benecio, a la vez que
se adapta el servicio de comercio electr onico a las necesidades del cliente.
Estimar el nivel de madurez de los procesos TIC, para continuar mejorando. En
este sentido, se aplica el modelo de madurez CMMI.
Los procesos TIC involucrados obedecen a la siguiente relaci on:
Proceso de gesti on de la conguraci on.
Proceso de gesti on del cambio.
Proceso de gesti on del despliegue de versiones.
Proceso de gesti on del nivel de servicio.
Proceso de gesti on de incidencias.
Proceso de gesti on de problemas.
8
Proceso de gesti on de la continuidad del servicio.
Proceso de gesti on de la Seguridad de la Informaci on.
Atendiendo a las buenas pr acticas formuladas en ITIL.
1. Gesti on del nivel de servicio. Garantizar que se proporciona un nivel de servicio
adecuado a las necesidades del comercio electr onico. Inspeccionar la satisfacci on
del cliente. Por ejemplo, el servicio de comercio electr onico debe presentar una
indisponibilidad del 0,2% anual, lo que implica que, en la pr actica, cualquier
ventana horaria de cambios y actualizaciones del portal web debe adaptarse a
horarios con pocos accesos. S olo as se garantizara una disponibilidad en torno
al 99,8% anual.
2. Gesti on de incidentes. Reducir el tiempo de parada de los sistemas, debido fun-
damentalmente a cadas. Detectar y solucionar, a la mayor brevedad posible, una
anomala en el sistema. Por ejemplo, la detecci on anticipada de memoria insu-
ciente en el sistema que sostiene la plataforma de comercio electr onico.
3. Gesti on de problemas. Registrar las causas de las averas, evit andose inciden-
tes repetitivos. Por ejemplo, inventariar la cada del servicio web de comercio
electr onico, provocada por una vulnerabilidad del servidor, inici andose un plan
de acci on que contrarreste la vulnerabilidad.
4. Gesti on de la conguraci on. Disponer de informaci on actualizada sobre los
sistemas y componentes que soportan el servicio de comercio electr onico. Por
ejemplo, versiones, licencias, personal t ecnico que administra los sistemas de
comercio electr onico, documentaci on t ecnica, etc.
5. Gesti on de cambios. Asegurar que los frecuentes cambios, efectuados de forma
controlada, no impacten negativamente en el servicio. Por ejemplo, denir las
ventanas horarias de menor actividad.
6. Gesti on de versiones. Asegurar que las transiciones entre cambios afecten lo
mnimo posible a los usuarios. Por ejemplo, la migraci on a una nueva aplicaci on
en el portal web de comercio electr onico.
Entre los procesos TIC vinculados a las buenas pr acticas de ISO 27002, sobresalen:
1. Gesti on de la Seguridad de la Informaci on. Garantizar la disponibilidad, in-
tegridad, condencialidad y autenticidad de la informaci on en aquellos sistemas
que soportan el servicio de comercio electr onico. Adem as, habr a que velar por
el cumplimiento de las leyes y regulaciones que afectan a la informaci on al-
macenada, en tr ansito y en ejecuci on, en los sistemas de informaci on que con-
forman el servicio de comercio electr onico (LSSI
4
, LOPD, PCI DSS
5
, etc.). El
cumplimiento de la Ley de Comercio Electr onico (LSSI) y la Ley Org anica de
Protecci on de Datos Personales (LOPD) obliga a:
Inscribir el chero de datos personales del servicio de comercio electr onico
en la Agencia de Protecci on de datos.
4
Ley de Servicios de la Sociedad de Informaci on
5
Payment Card Industry Data Security Standard
9
Mostrar en el portal web de comercio electr onico, conforme a LSSI, la
siguiente informaci on:
Denominaci on social, NIF, domicilio y direcci on de correo electr onico
del negocio.
C odigos de conducta a los que se adhieren.
Precios de los productos o servicios ofertados.
Nombre de dominio de la p agina web, inscrito en el Registro Mercan-
til.
2. Gesti on de la continuidad del servicio. Garantizar que todas las instalaciones
t ecnicas, imprescindibles en el comercio electr onico (incluyendo sistemas in-
form aticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, en
caso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio.
Un ejemplo de continuidad del negocio comprende la incorporaci on de dos cen-
tros de datos replicados, con id enticos componentes TIC. El fallo de un centro
de datos sera transparente para el cliente, puesto que autom aticamente tomara
el control del servicio el otro centro de datos.
Con objeto de claricar el alineamiento con el negocio, avalado por COBIT, se
propone un ejemplo de proceso TIC, asociado a la gesti on de cambios, junto a sus
metas TIC, y lo que espera el negocio (departamento de ventas) de el:
Metas TIC Responder a los requisitos del negocio, conforme a una estrategia.
Denir c omo los requisitos funcionales y de control se traducen a solucio-
nes automatizadas efectivas.
Deducir los defectos y el retrabajo en las soluciones y en la prestaci on del
servicio.
Garantizar un impacto mnimo en el negocio, en caso de interrupciones o
cambios en el servicio TIC.
Mantener la integridad de la infraestructura de la informaci on y el procesa-
miento de datos.
Metas del negocio Agilizar la respuesta a los requisitos cambiantes (tiempo para comerciali-
zar). Ofertar nuevos productos en temporada alta.
Automatizar e integrar la cadena de valor empresarial.
Mejorar y mantener la funcionalidad del servicio de comercio electr onico.
Respetar las leyes y reglamentos vigentes.
Evaluar el grado de disponibilidd del servicio de comercio electr onico.
Recabar informaci on conable y util para la toma de decisiones estrat egi-
cas.
La rentabilidad nanciera del proyecto de implantaci on de un servicio de comercio
electr onico se ampara en el an alisis coste/benecio. Su objetivo no es otro que estimar
los costes en los que incurre el servicio de comercio electr onico, estableci endose una
comparativa entre la previsi on de costes y los benecios previstos. A continuaci on se
detalla un ejemplo aclaratorio.
10
Costes Adquisici on del mantenimiento de hardware y software.
Gastos de comunicaciones.
Costes de desarrollo del sistema.
Gastos de consultora.
Costes de publicidad. Emisoras de radio locales, televisi on local y prensa
escrita.
Costes totales: 200.000 d.
Benecios Incremento de ventas, respecto al canal presencial, del 2% el primer a no
(2010), un 4% el segundo a no (2011); en el tercer a no (2012) ascendera a
un 6% (m as de 250.000 d). A tenor de las cifras, en tres a nos no s olo se
recupera la inversi on inicial (200.000 d), sino que se obtienen benecios.
En a nos sucesivos deberan obtenerse unos benecios en torno al 10%,
respecto al canal presencial.
Por supuesto, la viabilidad econ omica del proyecto empresarial se ve condicionada
por la percepci on del cliente. Para cuanticar el inter es del cliente, se introducen dos
par ametros, la ((funcionalidad)) (utilidad) del servicio y la ((garanta)) del efecto positivo
que la funcionalidad proyecta. El valor real del servicio es una combinaci on de ambos
factores, propiedad caracterstica de la buenas pr acticas de ITIL.
Por ultimo, la medici on del rendimiento de los procesos TIC comporta la aplicaci on
de varias m etricas, que determinan el nivel de madurez de los procesos. A continuaci on
se introducen las m etricas consideradas:
'

Area de alineamiento con el negocio (COBIT)
Time to market: tiempo que transcurre desde que se maniesta una pro-
puesta de negocio hasta que esta se introduce, en este caso, en el comercio
electr onico, como valor a nadido al servicio inicial ofertado (desde que se
registra la petici on hasta su puesta en producci on). Puntuaci on, de 0 a 5.
Rendimiento real 2.
Reducci on inesperada de ventas, por falta de disponibilidad del servicio de
comercio electr onico. Puntuaci on, de 0 a 5. Rendimiento real 2.
Z

Area de entrega de valor (an alisis coste/benecio y percepci on del cliente)
Aumento del coste total del a no anterior respecto al actual. Puntuaci on, de
0 a 5. Rendimiento real 4.
Porcentaje de clientes satisfechos por el servicio brindado, respecto al total.
Puntuaci on, de 0 a 5. Rendimiento real 4.

Area de gesti on de recursos (ITIL)
N umero de incidencias resueltas en menos de 24 horas. Puntuaci on, de 0 a
5. Rendimiento real 3.
11
Satisfacci on de los SLA (Service Level Agreement) por parte del cliente.
Puntuaci on, de 0 a 5. Rendimiento real 3.
J

Area de gesti on del riesgo (ISO 27002)
Porcentaje de sanciones por incumplimiento legal del comercio electr onico.
Puntuaci on, de 0 a 5. Rendimiento real 3.
Satisfacci on en la resoluci on de incidencias de seguridad. Puntuaci on, de 0
a 5. Rendimiento real 3.
A partir de los valores suministrados, resulta evidente ponderar el nivel de madurez
del caso pr actico de servicio de comercio electr onico. De esta manera, se alcanza, en
media, un ndice de 3 en las areas de Gobierno de las TIC. En este sentido, el nivel de
madurez consolida un proceso denido, dado que se ha perlado un marco organizativo
y de procesos en el ambito de la gesti on de las actividades TIC. La Figura 2 pone de
maniesto el nivel de madurez de las cuatro areas de Gobierno de las TIC.
0
1
3
4
5
Alineamiento estratgico
Gestin de recursos
Entrega de valor Gestin del riesgo
2
Comercio electrnico
Figura 2: Modelo de madurez del Gobierno de las TIC
Consecuentemente, es preciso persistir en la mejora constante del nivel de madurez
del Gobierno de las TIC, para escalar un pelda no m as y as alcanzar el nivel 4, proceso
gestionado y medible. Si se maximiza el valor de las TIC y la gesti on de los riesgos
derivados, la direcci on de la empresa intensicar a la conanza depositada en las TIC,
aut entico revulsivo en las estrategias de negocio corporativas.
6. Conclusiones
El presente documento revela las verdaderas atribuciones que pueden encomendar-
se a las TIC en el ambito empresarial. Sin embargo, los modelos de integraci on de las
nuevas tecnologas en las estrategias de negocio a un se encuentran, en general, en una
fase inicial. Se prev e un camino largo, pero no por ello menos interesante. En cualquier
caso, los resultados de este trabajo dejan entrever ciertas peculiaridades o conductas
12
empresariales, que se vienen manifestando, por inujo de las TIC, en los ultimos a nos.
De estos antecedentes pueden extraerse las siguientes consideraciones nales:
0 El Gobierno de las TIC no es una ciencia exacta. Requiere disciplina y compro-
miso. La implantaci on de un Gobierno de las TIC aconseja:
Efectuar un an alisis del nivel de madurez de los procesos TIC reinantes en
la empresa considerada.
Crear un grupo de trabajo, dedicado exclusivamente al Gobierno de las
TIC.
Denir una estrategia de Gobierno de las TIC, esto es, programar y ejecutar
proyectos en las diferentes areas de Gobierno de las TIC.
Denir un plan de formaci on y certicaci on en Gobierno de las TIC, como
CGEIT (Certied in the Governance of Enterprise IT), avalado por ISACA.
O El Gobierno de las TIC debe adaptarse a las estructuras, estrategias y cultura de
la organizaci on, es decir, no es lo mismo el comercio electr onico que una gran
corporaci on nanciera.
O El Gobierno de las TIC reivindica el compromiso de los ejecutivos de la or-
ganizaci on. Como cualquier otra metodologa, se precisa del apoyo de la alta
direcci on para reforzar la implantaci on del Gobierno de las TIC.
O El Gobierno de las TIC admite la revisi on de los marcos existentes (ITIL, CO-
BIT, CMMI, etc.), esto es, incorporar los modelos de control ya implantados a
las diferentes areas de Gobierno de las TIC.
O El Gobierno de las TICreclama la inclusi on de los procesos TICm as importantes
en el Cuadro de Mando Integral (CMI), de forma que las areas de trabajo del
Gobierno de las TIC participen del plan estrat egico del Gobierno Corporativo.
Para nalizar, es menester resaltar la dicultad que entra na la implantaci on del Go-
bierno de las TIC cuando el CIO (Chief Information Ofcer), tambi en denominado
director de Tecnologas de la Informaci on, no forma parte de la direcci on ejecutiva. Si
no se proponen medidas tecnol ogicas (a todas luces, aptas para el negocio) desde la alta
direcci on, las TIC no se considerar an socias del negocio y, por tanto, resultar a pr acti-
camente imposible lograr un nivel de madurez lo sucientemente elevado.
13
Referencias
[1] Committee of Sponsoring Organizations of the Treadway Comission.
[Website] http://www.coso.org/
[2] Cadbury Report (Committee on the Financial Aspects of Corporate Governance).
1992.
[Online available] http://www.ecgi.org/codes/documents/cadbury.pdf
[3] Information Systems Audit and Control Association.
[Website] http://www.isaca.org/
[4] Turnbull Report (Guidance for Directors on the Combined Code). 2005.
[Online available] http://www.frc.org.uk/documents/pagemanager/frc/...
[5] Principios de Gobierno Corporativo. OCDE (Organizaci on para la Cooperaci on y
el Desarrollo Econ omicos). 2004.
[Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf
[6] Annual Report (Bank for International Settlements). 1999.
[Online available] http://www.bis.org/publ/ar99e.pdf
[7] Weill, P. and Ross, J., IT Governance: How Top Performers Manage IT Decision
Rights for Superior Results, Harvard Business Press, 2004.
[8] IT Governance Institute, COBIT (cuarta edici on), Information Systems Audit and
Control Foundation, 2006.
[Online available] Clic aqu para la descarga de COBIT 4.1 en espa nol
[9] Bon, J. V., Fundamentos de la gesti on de servicios de TI basada en ITIL V3, Van
Haren Publishing, 2007.
[10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A Management
Guide, Van Haren Publishing, 2009.
[11] Integraci on de Modelos de Madurez de Capacidades (CMMI), desarrollado por
el Instituto de Ingeniera de Software (SEI), perteneciente a la Carnegie Mellon
University (USA).
[Website] http://www.sei.cmu.edu/cmmi/
14
A. Niveles de madurez del Gobierno de las TIC
CMMI (Capability Maturity Model Integration) constituye un modelo de referencia
que, a diferencia de otros modelos, se fundamenta en pr acticas acomodables a cualquier
dominio de producci on, concediendo un enfoque global e integrado de la organizaci on.
Su prop osito no es otro que alcanzar los objetivos del negocio. De esta forma, CMMI
permite a empresas complejas, compuestas de varias areas de negocio, instaurar de una
manera sencilla un sistema de salvaguarda de la calidad.
El Software Engineering Institute (SEI), adscrito a la Carnegie Mellon University,
en USA, creador del modelo CMMI y de la mayora de sus predecesores, ha elaborado
sus modelos bajo la premisa de que la calidad de un producto o servicio es altamente
dependiente de los procesos que los producen y mantienen. Por ello, la mejora continua
de los procesos debiera incrementar paulatinamente el nivel de capacidad y madurez
de una organizaci on, conforme a los niveles de la Tabla 2.
Tabla 2:

Indices de penetraci on del Gobierno de las TIC
0 [inexistente]
Gobierno de las TIC inexistente. Ausencia total de pro-
cesos TIC
1 [inicial/ad hoc]
Se reconoce la necesidad de atender cuestiones relacio-
nadas con el Gobierno de las TIC, si bien no se advier-
ten procesos estandarizados. Subordinaci on a la inicia-
tiva y experiencia del equipo de gesti on
2 [repetible, pero intui-
tivo]
Se observan pr acticas regulares de Gobierno de las TIC,
como reuniones de revisi on, creaci on de informes de
rendimiento, etc., con la participaci on voluntaria de sta-
keholders del negocio. No obstante, se carece de comu-
nicaci on formal entre procedimientos, deposit andose la
responsabilidad en personas
3 [proceso denido]
Se especica un marco organizativo dirigido a la ges-
ti on de actividades TIC. Se institucionalizan las pr acti-
cas exitosas, si bien las t ecnicas empleadas resultan a un
insucientes
4 [proceso gestionado
y medible]
Se implantan polticas de mejora de los procesos TIC.
La direcci on recibe los resultados en forma de cuadro de
mando. Se trabaja conjuntamente en el proceso de ma-
ximizaci on del valor de las TIC y la gesti on de riesgos
asociados a las TIC
5 [proceso optimizado]
Se despliegan pr acticas de Gobierno de las TIC median-
te aproximaciones sosticadas, en base a t ecnicas efec-
tivas. Se maniesta una verdadera transparencia en la
estrategia de las TIC. Los procesos TIC evolucionan po-
sitivamente, incluy endose benchmarking externo y au-
ditoras independientes que coneran conanza a la di-
recci on
15