ndice

Cont.
Pg.
1.

Qu es TI o IT?........................................................................................ 2

2.

Qu es gobierno TI?................................................................................ 2
2.1 Origen del gobierno TI...........................................................................2
2.2 Objetivos del Gobierno de TI.................................................................3

3.

Normas involucradas en gobierno de TI.................................................4

4.

Gobierno corporativo............................................................................... 7
4.1 Origen del gobierno Corporativo...........................................................7
4.2 Objetivos de Gobierno Corporativo.......................................................9

5.

Estrategia de sistemas de informacin....................................................9

6.

La administracin de riesgos.................................................................11
6.1 Desafos.............................................................................................. 12
6.2 Soluciones........................................................................................... 12
6.3 Beneficios............................................................................................ 12

7.

Sistema de informacin gerencial..........................................................14

8.

La Estructura Organizacional y responsabilidad SI.................................15

9.

Auditoria de la estructura e implementacin de gobierno de TI...........16

10.

Capability Maturity Model Integration.................................................17

11.

Modelos CMMI..................................................................................... 17

12.

Empresas que cumplen con el CMMI...................................................20

Bibliografa................................................................................................... 22

1.Qu es TI o IT?
La Tecnologa Informtica (IT), segn lo definido por la asociacin
de la Tecnologa Informtica de Amrica (ITAA), es el estudio, diseo,
desarrollo, innovacin, puesta en prctica, ayuda o gerencia de los
sistemas informticos computarizados, particularmente usos del
software y hardware. En general, se ocupa del uso de computadoras
y del software electrnico, as como de convertir, almacenar,
proteger, procesar, transmitir y de recuperar la informacin.

2.Qu es gobierno TI?

GOBIERNO TI o IT Governance, consiste en una estructura de
relaciones y procesos destinados a dirigir y controlar la empresa, con
la finalidad de alcanzar sus objetivos y aadir valor mientras se
equilibran los riesgos y el retorno sobre TI y sus procesos.
Se entiende por Gobierno TI, el conjunto de acciones que realiza el
rea de TI en coordinacin con la alta direccin para movilizar sus
recursos de la forma ms eficiente en respuesta a requisitos
regulatorios, operativos o del negocio.
Constituye una parte esencial del gobierno de la empresa en su
conjunto y aglutina la estructura organizativa y directiva necesaria
para asegurar que TI soporta y facilita el desarrollo de los objetivos
estratgicos definidos.
2.1 Origen del gobierno TI

La disciplina de la informacin de gestin de la tecnologa surgi por

primera vez en 1993 como un derivado de la gestin empresarial y
trata principalmente con la conexin entre los objetivos estratgicos y
de gestin de TI de una organizacin. Se destaca la importancia de
los asuntos relacionados con la TI en las organizaciones
contemporneas y establece que las decisiones estratgicas que
debe ser propiedad del consejo de administracin, en lugar de por el
director de informacin u otros administradores de TI.

Los objetivos principales de gestin de la tecnologa de informacin

son:
Asegurar que las inversiones en TI generan valor para el negocio, y
mitigar los riesgos que estn asociados. Esto se puede hacer
mediante la implementacin de una estructura organizacional con
funciones bien definidas para la responsabilidad de la informacin,
procesos de negocio, aplicaciones, infraestructura de las TIC, etc

Rendicin de cuentas es la principal preocupacin de gobierno de TI.

Despus del colapso informado ampliamente de Enron en 2000 y los
supuestos problemas en Arthur Andersen y WorldCom, los deberes y
las responsabilidades de los auditores y de los consejos de
administracin de las empresas pblicas y privada fueron
interrogados. Como respuesta a esto, y para tratar de evitar
problemas similares vuelvan a ocurrir, la Ley Sarbanes -Oxley EE.UU.
fue escrito para subrayar la importancia del control del negocio y la
auditora. Aunque no directamente relacionado con el gobierno de TI,
la ley Sarbanes -Oxley y Basilea II en Europa han influido en el
desarrollo de la gobernanza tecnologa de la informacin desde la
dcada de 2000.
Tras colapsos corporativos en Australia en la misma poca, se
establecieron grupos de trabajo para desarrollar estndares de
gobierno corporativo. Una serie de normas australianas de Gobierno
Corporativo se publicaron en 2003, estos fueron:

Principios de Buen Gobierno (AS8000)

Fraude y Control de la Corrupcin (AS8001)
Cdigos de Conducta Organizacional (AS8002)
Responsabilidad Social Corporativa (AS8003)
Silbato programas de proteccin del ventilador (AS8004)
AS8015 Gobierno Corporativo de las TIC se public en enero de
2005. Fue por la va rpida adoptado como ISO / IEC 38500 05
2008.

2.2 Objetivos del Gobierno de TI

Entre los objetivos ms destacados que enmarcan el gobierno de TI

podemos citar los siguientes

Asegurar el alineamiento con los objetivos de la organizacin.

3

Determinar y mitigar los riesgos empresariales.

Asegurar el cumplimiento normativo de forma general.
Calcular/proveer formalmente los recursos apropiados.
Hacer el seguimiento de la aportacin de las TI al negocio
TI est alineada con la estrategia del negocio.
Los servicios y funciones de TI se proporcionan con el mximo
valor posible o de la forma ms eficiente.
Todos los riesgos relacionados con TI son conocidos y
administrados y los recursos de TI estn seguros.

3.Normas involucradas en gobierno de TI

La norma ISO/IEC 38500:2008 se public en junio de 2008,
basndose en la norma australiana AS8015:2005. Es la primera de
una serie sobre el Gobierno de TI.
Su objetivo es proporcionar un marco de principios para que la
direccin de las organizaciones los utilicen al evaluar, dirigir y
monitorear el uso de las tecnologas de la informacin (TI's).
Est alineada con los principios de gobierno corporativo recogidos en
el "Informe Cadbury" y en los "Principios de Gobierno Corporativo de
la OCDE".
La norma incluye 19 definiciones de trminos, entre los que
se pueden destacar los siguientes:
Gobierno corporativo de TI (corporate governance of IT): El
sistema mediante el cual se dirige y controla el uso actual y
futuro de las tecnologas de la informacin
Gestin (management): El sistema de controles y procesos
requeridos para lograr los objetivos estratgicos establecidos
por la direccin de la organizacin. Est sujeta a la guia y
monitorizacin establecidad mediante el gobierno corporativo.
Interesado (stakeholder): Individuo, grupo u organizacin que
puede afectar, ser afectado, o percibir que va a ser afectado,
por una decisin o una actividad.

 Uso de TI (use of IT): Planificacin, diseo, desarrollo,

despliegue, operacin, gestin y aplicacin de TI para cumplir
con las necesidades del negocio. Incluye tanto la demanda
como la oferta de servicios de TI por unidades de negocio
internas, unidades especializadas de TI, proveedores externos y
"utility services" (como los que se proveen de software como
servicio).
Conducta humana (human behavior): La comprensin de las
interacciones entre personas y otros elementos de un sistema
con la intencin de asegurar el bienestar de las personas y el
buen rendimiento del sistema. Incluye la cultura, necesidades y
aspiraciones de las personas como individuos y como grupo.

La norma define
corporativo de TI:

seis

principios

de

un

buen

gobierno

Responsabilidad

Todo el mundo debe comprender y aceptar sus responsabilidades en

la oferta o demanda de TI. La responsabilidad sobre una accin lleva
aparejada la autoridad para su realizacin.

Estrategia

La estrategia de negocio de la organizacin tiene en cuenta las

capacidades actuales y futuras de las TI. Los planes estratgicos de TI
satisfacen las necesidades actuales y previstas derivadas de la
estrategia de negocio.

Adquisicin

Las adquisiciones de TI se hacen por razones vlidas, basndose en

un anlisis apropiado y continuo, con decisiones claras y
transparentes. Hay un equilibrio adecuado entre beneficios,
oportunidades, costes y riesgos tanto a corto como a largo plazo.

Rendimiento

La TI est dimensionada para dar soporte a la organizacin,

proporcionando los servicios con la calidad adecuada para cumplir
con las necesidades actuales y futuras.

Conformidad

La funcin de TI cumple todas las legislaciones y normas aplicables.

Las polticas y prcticas al respecto estn claramente definidas,
implementadas y exigidas.

Conducta humana

Las polticas de TI, prcticas y decisiones demuestran respecto por la

conducta humana, incluyendo las necesidades actuales y emergentes
de toda la gente involucrada.
ITIL (del ingls Information Technology Infrastructure Library La
Biblioteca de Infraestructura de Tecnologas de Informacin,
frecuentemente abreviada), es un conjunto de conceptos y prcticas
para la gestin de servicios de tecnologas de la informacin, el
desarrollo de tecnologas de la informacin y las operaciones
relacionadas con la misma en general. ITIL da descripciones
detalladas de un extenso conjunto de procedimientos de gestin
ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI. Estos procedimientos son independientes
del proveedor y han sido desarrollados para servir como gua que
abarque toda infraestructura, desarrollo y operaciones de TI.
La Ley Orgnica 15/1999 de 13 de diciembre de Proteccin de
Datos de Carcter Personal, (LOPD), es una Ley Orgnica espaola
que tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades pblicas y los
derechos fundamentales de las personas fsicas, y especialmente de
su honor, intimidad y privacidad personal y familiar.
Su objetivo principal es regular el tratamiento de los datos y ficheros,
de carcter personal, independientemente del soporte en el cual sean
tratados, los derechos de los ciudadanos sobre ellos y las obligaciones
de aquellos que los crean o tratan.
La serie ISO/IEC 20000 Service Management normalizada y
publicada por las organizaciones ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) el
14 de diciembre de 2005, es el estndar reconocido
internacionalmente en gestin de servicios de TI (Tecnologas de la
Informacin). La serie 20000 proviene de la adopcin de la serie BS
15000 desarrollada por la entidad de normalizacin britnica, la
British Standards Institution (BSI).
ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma
reconocida internacionalmente como una British Standard (BS), y que

est disponible en dos partes: una especificacin auditable y un

cdigo de buenas prcticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT
Infrastructure Library), o gua de mejores prcticas para el proceso de
GSTI. La diferencia es que el ITIL no es medible y puede ser
implantado de muchas maneras, mientras que en la ISO/IEC 20000,
las organizaciones deben ser auditadas y medidas frente a un
conjunto establecido de requisitos.
La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o
grande, en cualquier sector o parte del mundo donde confan en los
servicios de TI. La norma es particularmente aplicable para
proveedores de servicios internos de TI, tales como departamentos de
Informacin Tecnolgica, proveedores externos de TI o incluso
organizaciones subcontratadas. La norma est impactando
positivamente en algunos de los sectores que necesitan TI tales como
subcontratacin de negocios, Telecomunicaciones, Finanzas y el
Sector Pblico.
ISO/IEC 27001 Es un estndar para la seguridad de la informacin
ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) fue
aprobado y publicado como estndar internacional en octubre de
2005 por International Organization for Standardization y por la
comisin International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
Es consistente con las mejores prcticas descritas en ISO/IEC 27002
anteriormente conocida como ISO/IEC 17799, con orgenes en la
norma BS 7799-2:2002, desarrollada por la entidad de normalizacin
britnica, la British Standards Institution (BSI).
Capability Maturity Model Integration (CMMI) es una mejora de
los procesos de capacitacin y un programa de evaluacin y servicios
administrados y comercializados por la Universidad Carnegie Mellon y
requerido por muchos DOD y contratos del gobierno de Estados
Unidos, especialmente el desarrollo de software. Carnegie Mellon
University reclamaciones CMMI puede ser usada para guiar la mejora
de procesos a travs de un proyecto, divisin o una organizacin
entera. Bajo la metodologa CMMI, los procesos se clasifican de
7

acuerdo a sus niveles de madurez, que se definen como: inicial,

repetible, definido, cuantitativamente gestionado, Optimizacin.
Actualmente los tipos soportados es CMMI versin 1.3. CMMI se ha
registrado en la Oficina de Patentes y Marcas de EE.UU. por la
Universidad Carnegie Mellon.
COBIT (Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas) lanzado en 1996, es una herramienta de
gobierno de TI que ha cambiado la forma en que trabajan los
profesionales de TI. Vinculando tecnologa informtica y prcticas de
control, COBIT consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los profesionales
de control y los auditores.COBIT se aplica a los sistemas de
informacin de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado
en la filosofa de que los recursos de TI necesitan ser administrados
por un conjunto de procesos naturalmente agrupados para proveer la
informacin pertinente y confiable que requiere una organizacin
para lograr sus objetivos.

4.Gobierno corporativo
El concepto de gobierno corporativo se refiere al conjunto de
principios y normas que regulan el diseo, integracin y
funcionamiento de los rganos de gobierno de la empresa, como son
los tres poderes dentro de una sociedad: los Accionistas, Directorio y
Alta Administracin. En espaol se utiliza tambin gobernanza
corporativa, gobernanza societaria y gobierno societario. (Salvochea,
Ramiro. Mercados y Gobernancia. La revolucin del "Corporate
Governance", 2012).
Un buen Gobierno Corporativo provee los incentivos para proteger los
intereses de la compaa y los accionistas, monitorizar la creacin de
valor y uso eficiente de los recursos brindando una transparencia de
informacin.
Lo importante es destacar que el gobierno corporativo no es un
instrumento individual sino ms bien un concepto que incluye el
debate sobre las estructuras apropiadas de gestin y control de las
empresas. Tambin incluye las reglas que regulan las relaciones de
poder entre los propietarios, el consejo de administracin, la
8

administracin y, por ltimo, pero no por ello menos importante,

partes interesadas tales como los empleados, los proveedores, los
clientes y el pblico en general". (N.R. Narayana Murthy, presidente
del Comit sobre Gobierno Corporativo, Junta de Valores y Bolsas de
India, 2003).
4.1 Origen del gobierno Corporativo

Asociado al trmino gobernanza surge el concepto de gobierno

corporativo, que ya fue introducido por Adam Smith en su obra La
riqueza de las naciones:
Cuando la propiedad y la gestin de las empresas no coinciden
plenamente, habr potenciales conflictos de inters entre los
propietarios y los gestores/administradores.
En la dcada de los aos 90 se desarroll este concepto abordando
las diferencias de intereses entre la propiedad y la administracin de
la empresa (problemas de agencia). Especficamente, el gobierno
corporativo trata de definir y establecer mecanismos de control y
salvaguarda por parte de los accionistas, sobre las acciones
realizadas por los miembros del consejo de administracin.
os problemas de agencia tienen un enfoque ms amplio en la dcada
de los aos 90, al considerar a los llamados grupos de inters dentro
del esquema de gobierno de las empresas, surge as el enfoque de
stakeholder:
La preocupacin por los problemas de gobierno corporativo en los
pases se present por primera vez en el Informe Cadbury (1992,
Reino Unido), que recoga un cdigo de buen gobierno al que las
compaas que cotizaban en la bolsa de Londres deban adherirse.
Este mismo ao se publica el Informe COSO (EE.UU.) como el marco
de trabajo para el establecimiento de un sistema de control interno en
las organizaciones.
El
Cdigo
Combinado
(1998)
integra
las
diferentes
recomendaciones que fueron apareciendo a lo largo de los aos 90
(accionistas institucionales, remuneracin del consejo, etctera)
adoptando el principio de cumplir o explicar:
La imposicin a las compaas de informar cmo aplican las
recomendaciones del Cdigo Combinado.

La necesidad de
recomendaciones.

explicar

por

qu

no

se

han

aplicado

las

El respaldo internacional para el gobierno corporativo llega con la

publicacin (1999 y revisada en 2004) de los Principios de
Gobernanza Corporativa por la OCDE, donde se definen los elementos
principales y se adopta un modelo stakeholder. Estos principios han
sido asumidos por los distintos pases en la definicin de sus
recomendaciones y cdigos de buen gobierno.
La Ley Sarbanes-Oxley (2002, EE.UU.) aparece como respuesta a
los escndalos corporativos ocurridos en ese pas (Enron, Worldcom,
etctera). El principio de cumplir o explicar desaparece,
introducindose responsabilidades penales a los administradores y
ejecutivos de las compaas.
Los cdigos de buen gobierno han evolucionado, destacndose
especialmente el Cdigo King III (Sudfrica, 2009).
4.2 Objetivos de Gobierno Corporativo

Optimizarla creacin de valor a los Inversionistas.

* Asegurar la permanencia dela empresa y la optimizacin de sus
operaciones mediante la autorizacin de sus estrategias generales y
la supervisin para el cumplimiento de las mismas.
* Controlar y supervisar el desempeo dela empresa y el de sus
principales riesgos.
* Proporcionarla informacin necesaria a los Inversionistas.
* Asegurar transparencia en las actividades desarrolladas por la
empresa.
* Disponer y operar un eficiente sistema de control interno a travs
dela autorizacin de polticas y normas administrativas de
observancia general.
* Fortalecerla confianza en la empresa por parte de los Inversionistas
actuales y potenciales, delos organismos regulatorios y otros.

10

5.Estrategia de sistemas de informacin

La estrategia de sistemas de informacin debe entenderse como un
complemento de la del negocio, contribuyendo a travs de la mejor
aplicacin de la tecnologa al refuerzo de los fines y de las ventajas
competitivas que se persigan. Como toda estrategia, debe identificar
las situaciones futuras en las que uno quiere encontrarse
(posiblemente marcando una distancia con la situacin actual),
definiendo un marco en el que encuadrar los objetivos (coherencia) y
proyectando, a travs de la Planificacin Estratgica, la direccin
adecuada de los movimientos que habrn de ejecutarse para alcanzar
dichas metas.
No es infrecuente observar empresas con estrategias comerciales, de
producto o de distribucin bien pergeadas que, sin embargo, dejan
en segundo plano - o delegada en tcnicos - la estrategia de sistemas
de informacin.
La relevancia de contar con una adecuada estrategia de sistemas de
informacin, es decir, la cuota de preocupaciones que su diseo
ocupa en la alta direccin, no debera venir nicamente dada por la
representatividad del coste de IT sobre el total de la organizacin: es
preciso contemplar beneficio de disponer de una forma sistemtica de
planificar estrategias de negocio con los sistemas de informacin
adecuados para soportarlas.
Conceptualmente una estrategia de sistemas de informacin se
compone, de forma similar a cualquier estrategia de negocio, de una
componente externa que mira al mercado y la forma en que va a
incorporarse a este y otra interna que adapta su organizacin y
medios para alcanzar sus objetivos.
Desde un punto de vista externo, la estrategia de sistemas de
informacin se puede descomponer en:
1. mbito de la Tecnologa. De forma anloga al mbito
empresarial del negocio, en el que se toman decisiones
relativas a los productos y servicios que se ofertan al mercado,
el mbito de tecnologa versa sobre las tecnologas que son
crticas para el desarrollo y consolidacin del negocio al que da
soporte.
2. Competencias de la Tecnologa. Se trata de aquellos atributos
de las TI que contribuyen al desarrollo o consolidacin del
negocio del mismo modo en que lo hacen las competencias que
11

marcan una diferencia comparativa con la competencia en los

productos y servicios que la empresa lanza al mercado. Se trata
por ejemplo, de la estabilidad, interconectividad, flexibilidad,
etc.
Desde un punto de vista interno, tres principales componentes
podran ser:
1. Arquitectura de las TI, configuraciones hardware, software, de
comunicaciones sobre las que se definen polticas, reglas y
estndares. Anlogamente a la infraestructura del negocio se
tratara de la estructura administrativa.
2. Procesos de TI, en que se determina la cartera de aplicaciones
que soportan las operaciones del negocio y corren sobre la
arquitectura antes mencionada.
3. Capacidades de TI, opciones pertenecientes a la contratacin,
formacin y desarrollo de las personas que manejan y operan
las TI.
Grficamente se podran representar estas equivalencias:

12

6.

La administracin de riesgos

La Administracin del Riesgo Empresarial (Enterprise Risk

Management-ERM) es el proceso por el cual la direccin de una
empresa u organizacin administra el amplio espectro de los riesgos a
los cuales est expuesto (tanto sean de mercado como operacionales)
de acuerdo al nivel de riesgo al cual estn dispuestos a exponerse
segn sus objetivos estratgicos. As, ya en el terreno del impacto de
la TI sobre este tema, la evaluacin de riesgos y vulnerabilidades
ayuda a identificar y evaluar los riesgos operativos, poniendo nfasis
en los activos de IT fsicos y lgicos, pudiendo incluir una revisin de
las instalaciones y la seguridad de los elementos lgicos y fsicos. Uno
de los desafos claves es recolectar y analizar numerosos datos (de
acuerdo al rango de riesgos definido), as Riesgos, Conformidad a
Normas y Funciones de TI enfrentan la paradoja de tener que disponer
de mayor volumen de datos de los sistemas corporativos para contar
con ms informacin dinmica y compleja, pero al mismo tiempo
seguir manteniendo los costos de implementacin y los riesgos bajo
control. De esta manera, se obtiene una mayor comprensin de las
exposiciones que suponen los mayores riesgos en la interrupcin de
su empresa, de modo que se puedan implementar las tcnicas de
mitigacin apropiadas.

6.1 Desafos

A medida que dependen cada vez ms del continuo funcionamiento

de los sistemas de informacin, las empresas actuales enfrentan una
creciente exposicin a los riesgos informticos. En el mundo actual,
hasta la mxima direccin est preocupada por los riesgos
informticos, ya que la tecnologa informtica claramente sostiene
cada proceso comercial de la empresa.
Los riesgos informticos tpicos incluyen prdida de productividad o
negocios debido al tiempo de inactividad, responsabilidad por brechas
de seguridad que exponen la informacin de los clientes, multas por
violaciones de normas y la imposibilidad de defenderse de demandas
debido a la conservacin inadecuada de registros. No todos los
riesgos provienen de sucesos inevitables, como una inundacin o un
terremoto. Muchos de los riesgos informticos son provocados por
contratiempos operacionales, procesos inadecuados, mayores
requisitos normativos u otros factores ms controlables.
13

6.2 Soluciones

Para evitar ello, es preciso combinar un conjunto de las mejores

prcticas que se desprenden de numerosas organizaciones, grandes y
complejas, para hacer frente a los riesgos informticos de sus
entornos a los efectos de poner en marcha una administracin de
riesgos informticos efectiva mediante priorizar y planificar opciones
de mitigacin, calcular los impactos comerciales de los riesgos
informticos, disear soluciones, alinear los riesgos informticos y los
costos con la empresa para optimizar las inversiones y construir una
capacidad unificada para administrar los riesgos informticos de
manera continua.
6.3 Beneficios

Permite identificar los activos empresariales que estn en mximo

riesgo, valuar las vulnerabilidades y los impactos potenciales, y
proponer resguardos y tcticas de mitigacin, lo que permitir:
Priorizar y establecer niveles de riesgo para sus procesos y recursos
empresariales crticos.
Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente
las fallas.
Tomar decisiones ms informadas sobre cmo proteger su empresa.
Evaluar las tcticas y los costos de la administracin de riesgos
relacionados con los diferentes niveles de proteccin.
Prepararse adecuadamente para las auditoras de las agencias de
control
Problemas que se atacan
Identificar eventos o amenazas que podran tener impacto en la
continuidad de las operaciones empresariales, en la imagen o en la
reputacin de la marca, y la probabilidad de que ocurran.
Realizar un anlisis detallado de amenazas o establecer planes de
avance para mitigar riesgos.
Determinar cmo las nuevas iniciativas empresariales o la nueva
tecnologa tendrn impacto en la empresa.
Establecer planes de avance para mitigar riesgos.

14

 Identificar las
reglamentario.

exposiciones

con

respecto

al

cumplimiento

Un importante Estudio identifica los mitos comunes que contribuyen a

las fallas de TI
Symantec dio a conocer en enero su Informe de Administracin de
Riesgos de TI, Volumen II, el cual revela que la administracin de
riesgos de TI est cobrando ms importancia, pero tambin menciona
que siguen existiendo algunos mitos sobre el tema.
Aun cuando los resultados muestran que los profesionales estn
adoptando un enfoque ms equilibrado que incluye riesgos de
disponibilidad, seguridad, cumplimiento y desempeo, los malos
entendidos de la administracin de riesgos de TI pueden producir
fallas potenciales y, como consecuencia, impactar la continuidad del
negocio.
El informe tambin indica que los problemas en los procesos generan
ms de la mitad de los incidentes de TI, mientras que el
departamento de TI generalmente da poca importancia a la
frecuencia con que se presentan los incidentes de prdida de datos.
El informe est basado en el anlisis de ms de 400 encuestas
realizadas a profesionales de todo el mundo, en el que se identifican
importantes aspectos, tendencias y anlisis al tiempo que disipa los
cuatro mitos asociados a los riesgos de TI, entre los cuales estn:
1.- La administracin de riesgos de TI est enfocada slo en la
seguridad Contrario a las percepciones tradicionales que
generalmente asocian los riesgos de TI con los riesgos de seguridad,
los resultados de la encuesta muestran el surgimiento de una visin
ms amplia entre los profesionales de TI. Un 78% de los participantes
calificaron los riesgos de disponibilidad como crticos o graves,
mientras que los riesgos de seguridad, de desempeo y de
cumplimientos obtuvieron una calificacin de 70, 68 y 63%
respectivamente.
2.- La administracin de riesgos de TI es un proyecto El mito de que el
control de riesgos de TI se puede realizar en un slo proyecto o
incluso como una serie de ejercicios puntuales por periodos o aos de
presupuestos, desconoce la naturaleza dinmica del entorno de
riesgos internos y externos de TI. La administracin de riesgos debe
verse como un proceso continuo para mantener la estabilidad ante el
cambiante panorama que los negocios enfrentan actualmente.
15

3.- La tecnologa por s sola puede manejar los riesgos de TI Los

incidentes de seguridad, cumplimiento, disponibilidad y desempeo
de TI atacan a la organizacin moderna a una velocidad alarmante. El
reporte muestra que las organizaciones ms efectivas tienen un
enfoque ms integral. Sin embargo, muchas organizaciones parecen
estar fallando en la implementacin de controles fundamentales de
riesgos.
4.- La administracin de riesgos de TI se ha convertido en una
disciplina formal El reporte deja claro que la administracin de riesgos
de TI es una disciplina en evolucin, pues se basa en la experiencia
acumulada de los individuos y las organizaciones que se van
adaptando a los cambios en el ambiente de negocios y tecnologa. El
informe revel una mayor comprensin entre los profesionales sobre
cmo la administracin de riesgos de TI incorpora elementos de
manejo de riesgos en la operacin, control de calidad y
gobernabilidad de las mismas

7.Sistema de informacin gerencial

Estos sistemas son el resultado de interaccin colaborativa entre
personas, tecnologas y procedimientos -colectivamente llamados
sistemas de informacin- orientados a solucionar problemas
empresariales. Los SIG o MIS (tambin denominados as por sus siglas
en ingls: Management Information System) se diferencian de los
sistemas de informacin comunes en que para analizar la informacin
utilizan otros sistemas que se usan en las actividades operacionales
de la organizacin. Acadmicamente, el trmino es comnmente
utilizado para referirse al conjunto de los mtodos de gestin de la
informacin vinculada a la automatizacin o apoyo humano de la
toma de decisiones (por ejemplo: Sistemas de apoyo a la decisin,
Sistemas expertos y Sistemas de informacin para ejecutivos).
En sus orgenes, las empresas utilizaban los ordenadores para la
prctica empresarial de informatizar las nminas y hacer el
seguimiento de las cuentas por pagar y por cobrar. Como las
aplicaciones que histricamente se haban desarrollado siempre eran
para gestionar la informacin sobre ventas, inventarios, y otros datos
que ayuden en la gestin de la empresa, el trmino "SIG" (o "MIS")
16

surgi para describir este tipo de aplicaciones. Hoy, el trmino se

utiliza ampliamente en una serie de contextos e incluye (sin limitarse
a ello): sistemas de apoyo de decisiones, los recursos y aplicaciones
de gestin de personal, gestin de proyectos, y aplicaciones de
recuperacin de bases de datos y la formacin empresarial

8.La Estructura Organizacional y

responsabilidad SI
Representa la percepcin que tienen los miembros de la organizacin
acerca de la cantidad de reglas, procedimientos, trmites y otras
limitaciones a que se ven enfrentados en el desarrollo de su trabajo.
La medida en que la organizacin pone el nfasis en la burocracia,
versus el nfasis puesto en un ambiente de trabajo libre, informal e
inestructurado.
Define como se dividen, agrupan y coordinan formalmente las tareas
de trabajo. Existen 6 elementos claves a los que necesitan enfocarse
los gerentes cuando disean la estructura de su organizacin estos
son:
Especializacin del trabajo, departamentalizacin, cadena de mando,
tramo de control, centralizacin y descentralizacin y formacin.
Es la disposicin de las personas que lo forman de contribuir en
accin: es decir disposicin de sacrificar el control de su propio
comportamiento para beneficiar la coordinacin para alcanzar el
objetivo que los une. Esta razn es la que fundamenta la existencia
de roles y funciones dentro de las organizaciones: Diferenciadas pero
interrelacionadas.
La complejidad de las organizaciones, tema que se vincula con las
estructuras organizacionales; cabe mencionar que las organizaciones
deben mantener un equilibrio de actividad con respecto al medio. Por
lo general las iniciativas empresariales en sus inicios mantienen
estructuras simples, sin mayores complejidades para los procesos
productivos o humanos. Al crecer la demanda de lo ofrecido por la
organizacin es natural que la organizacin crezca, en trminos de
estructura, para poder satisfacer la demanda existente. Este caso no
17

es solo para las "salidas del sistema", el crecimiento afecta tambin

las "entradas del sistema".

9.Auditoria de la estructura e
implementacin de gobierno de TI
El Gobierno de TI provee las estructuras que unen los procesos de TI,
los recursos de TI y la informacin con las estrategias y los objetivos
de la empresa. Adems, el Gobierno de TI integra e institucionaliza
buenas (o mejores) prcticas de planificacin y organizacin,
adquisicin e implementacin, entrega de servicios y soporte, y
monitoriza el rendimiento de TI para asegurar que la informacin de
la empresa y las tecnologas relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja
de su informacin logrando con esto maximizar sus beneficios,
capitalizar sus oportunidades y obtener ventaja competitiva.
Una estructura de relaciones y procesos para dirigir y controlar la
empresa con el objeto de alcanzar los objetivos de la empresa y
aadir valor mientras se equilibran los riesgos y el retorno sobre TI y
sus procesos.
El ncleo de TI consta de dos responsabilidades principales, la
entrega de valor al negocio y mitigar los riesgos relacionados con TI.
La gerencia de la organizacin necesita ampliar sus responsabilidades
de gobierno a TI y proveer estructuras y procesos que aseguren que
las Tecnologas de Informacin son capaces de soportar los objetivos y
estrategias de la organizacin.
Cada implementacin de gobierno de TI se lleva a cabo en diferentes
condiciones y circunstancias (entorno de Gobierno de TI)
determinados por factores tales como:
tica y cultura de la organizacin y de la industria.
Leyes, regulaciones y guas vigentes, tanto internas como externas.
Misin, visin y valores de la organizacin.
La organizacin de la organizacin de sus roles y responsabilidades.

18

 Intenciones estratgicas y tcticas de la organizacin

La implementacin del gobierno de TI es un paso muy importante
para todo aquel corporativo que desea maximizar sus beneficios y
anticiparse al mercado.
Con la implementacin del gobierno de TI no existen proyectos de
tecnologa aislados, sino proyectos del negocio con soporte de TI.
Una vez ms, el gobierno de TI no debe verse como un tema de
tecnologa, sera ms adecuado pensarlo y adoptarlo como un
gobierno del negocio con soporte de TI.
El gobierno de TI no es algo que podamos evadir, la evolucin
tecnolgica y su adhesin en las prcticas organizacionales lo hacen
inevitable; simplemente, es decisin nuestra adecuarlo a las
necesidades particulares del negocio, buscando siempre alcanzar los
objetivos estratgicos y el mejor desempeo de nuestros procesos e
inversiones.

10.

Capability Maturity Model Integration

El Modelo de Madurez de Capacidades o CMM (Capability Maturity

Model), es un modelo de evaluacin de los procesos de una
organizacin. Fue desarrollado inicialmente para los procesos
relativos al desarrollo e implementacin de software por la
Universidad Carnegie-Mellon para el SEI (Software Engineering
Institute).
El SEI es un centro de investigacin y desarrollo patrocinado por el
Departamento de Defensa de los Estados Unidos de Amrica y
gestionado por la Universidad Carnegie-Mellon. "CMM" es una marca
registrada del SEI.

11.

Modelos CMMI

Las mejores prcticas CMMI se publican en los documentos llamados

modelos. En la actualidad hay tres reas de inters cubiertas por los
modelos de CMMI: Desarrollo, Adquisicin y Servicios.

19

La versin actual de CMMI es la versin 1.3 la cual corresponde a

CMMI-SVC, liberada el 1 de noviembre de 2010. Hay tres
constelaciones de la versin 1.2 disponible:

CMMI para el Desarrollo (CMMI-DEV o CMMI for Development),

Versin 1.2 fue liberado en agosto de 2006. En l se tratan
procesos de desarrollo de productos y servicios.
CMMI para la adquisicin (CMMI-ACQ o CMMI for Acquisition),
Versin 1.2 fue liberado en noviembre de 2007. En l se tratan
la gestin de la cadena de suministro, adquisicin y
contratacin externa en los procesos del gobierno y la industria.
CMMI para servicios (CMMI-SVC o CMMI for Services), est
diseado para cubrir todas las actividades que requieren
gestionar, establecer y entregar Servicios.

Dentro de la constelacin CMMI-DEV, existen dos modelos:

CMMI-DEV
CMMI-DEV
+
Development)

IPPD

(Integrated

Product

and

Process

Independientemente de la constelacin\modelo que opta una

organizacin, las prcticas CMMI deben adaptarse a cada
organizacin en funcin de sus objetivos de negocio.
Las organizaciones no pueden ser certificadas CMMI. Por el contrario,
una organizacin es evaluada (por ejemplo, usando un mtodo de
evaluacin como SCAMPI y recibe una calificacin de nivel 1-5 si sigue
los niveles de Madurez (si bien se comienza con el nivel 2). En caso
de que quiera la organizacin, puede coger reas de proceso y en vez
de por niveles de madurez puede obtener los niveles de capacidad en
cada una de las reas de Proceso, obteniendo el "Perfil de Capacidad"
de la Organizacin.
A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno
Federal de los Estados Unidos de Amrica (en particular del
Departamento de Defensa, DoD), desarroll una primera definicin de
un modelo de madurez de procesos en el desarrollo de software, que
se public en septiembre de 1987. Este trabajo evolucion al modelo
CMM o SW-CMM (CMM for Software), cuya ltima versin (v1.1) se
public en febrero de 1993.
Este modelo establece un conjunto de prcticas o procesos clave
agrupados en reas Clave de Proceso (KPA - Key Process Area). Para
20

cada rea de proceso define un conjunto de buenas prcticas que

habrn de ser:

Definidas en un procedimiento documentado

Provistas (la organizacin) de los medios y formacin necesarios
Ejecutadas de un modo sistemtico, universal y uniforme
(institucionalizadas)
Medidas
Verificadas

A su vez estas reas de Proceso se agrupan en cinco "niveles de

madurez",
de
modo
que
una
organizacin
que
tenga
institucionalizadas todas las prcticas incluidas en un nivel y sus
inferiores, se considera que ha alcanzado ese nivel de madurez.
Los niveles son:
1 - Inicial. Las organizaciones en este nivel no disponen de un
ambiente estable para el desarrollo y mantenimiento de software.
Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se
ven minados por falta de planificacin. El xito de los proyectos se
basa la mayora de las veces en el esfuerzo personal, aunque a
menudo se producen fracasos y casi siempre retrasos y sobrecostes.
El resultado de los proyectos es impredecible.
2 - Repetible. En este nivel las organizaciones disponen de unas
prcticas institucionalizadas de gestin de proyectos, existen unas
mtricas bsicas y un razonable seguimiento de la calidad. La
relacin
con
subcontratistas
y
clientes
est
gestionada
sistemticamente.
3 - Definido. Adems de una buena gestin de proyectos, a este
nivel las organizaciones disponen de correctos procedimientos de
coordinacin entre grupos, formacin del personal, tcnicas de
ingeniera ms detalladas y un nivel ms avanzado de mtricas en los
procesos. Se implementan tcnicas de revisin por pares (peer
reviews).
4 - Gestionado. Se caracteriza porque las organizaciones disponen
de un conjunto de mtricas significativas de calidad y productividad,
que se usan de modo sistemtico para la toma de decisiones y la
gestin de riesgos. El software resultante es de alta calidad.

21

5 - Optimizado. La organizacin completa est volcada en la mejora

continua de los procesos. Se hace uso intensivo de las mtricas y se
gestiona el proceso de innovacin.
As es como el modelo CMM establece una medida del progreso,
conforme al avance en niveles de madurez. Cada nivel a su vez
cuenta con un nmero de reas de proceso que deben lograrse. El
alcanzar estas reas o estadios se detecta mediante la satisfaccin o
insatisfaccin de varias metas claras y cuantificables. Con la
excepcin del primer nivel, cada uno de los restantes Niveles de
Madurez est compuesto por un cierto nmero de reas Claves de
Proceso, conocidas a travs de la documentacin del CMM por su sigla
inglesa: KPA.
Cada KPA identifica un conjunto de actividades y prcticas
interrelacionadas, las cuales cuando son realizadas en forma colectiva
permiten alcanzar las metas fundamentales del proceso. Las KPAs
pueden clasificarse en 3 tipos de proceso: Gestin, Organizacional e
Ingeniera.
Las prcticas que deben ser realizadas por cada rea Clave de
Proceso estn organizadas en 5 Caractersticas Comunes, las cuales
constituyen propiedades que indican si la implementacin y la
institucionalizacin de un proceso clave es efectivo, repetible y
duradero.
Estas 5 caractersticas son: i)Compromiso de la realizacin, ii) La
capacidad de realizacin, iii) Las actividades realizadas, iv) Las
mediciones y el anlisis, v) La verificacin de la implementacin.
Las organizaciones que utilizan CMM para mejorar sus procesos
disponen de una gua til para orientar sus esfuerzos. Adems, el SEI
proporciona formacin a evaluadores certificados (Lead Assesors)
capacitados para evaluar y certificar el nivel CMM en el que se
encuentra una organizacin. Esta certificacin es requerida por el
Departamento de Defensa de los Estados Unidos, pero tambin es
utilizada por multitud de organizaciones de todo el mundo para
valorar a sus subcontratistas de software.
Se considera tpico que una organizacin dedique unos 18 meses para
progresar un nivel, aunque algunas consiguen mejorarlo. En cualquier
caso requiere un amplio esfuerzo y un compromiso intenso de la
direccin.

22

Como consecuencia, muchas organizaciones que realizan funciones

de factora de software o, en general, outsourcing de procesos de
software, adoptan el modelo CMM y se certifican en alguno de sus
niveles. Esto explica que uno de los pases en el que ms
organizaciones certificadas exista sea India, donde han florecido las
factoras de software que trabajan para clientes estadounidenses y
europeos.

12.

Empresas que cumplen con el CMMI

1. CAM Informtica Obtiene Nivel 2 del CMMI. Es la primera

empresa dominicana en lograr esta certificacin.
2. Advanced Tech Ltda: CMMI-2
3. Larran Vial: CMMI-2
1. Bolsa de Comercio de Santiago: CMMI-2
2. Sentra Software House Ltda: CMMI-2
3. AS Asociados S.A: CMMI-2
4. Intermedia S.A.: CMMI-2
5. Synapsis Chile: CMMI-2
6. Opensoft S.A.: CMMI-2
7. AS Asociados: CMMI-2
8. La Araucana: CMMI-2
9. Universidad Tecnologica de Chile Inacap: CMMI-2
10.
Kibernum: CMMI-2
11.
GST Limitada: CMMI-2
12.
ALAYA: CMMI-2
13.
INDRA Chile: CMMI-3
14.
Tuxpan Software S.A.: CMMI-3
15.
BAC Consultores Ltda.: CMMI-3
16.
ALTEC S.A.: CMMI-3
17.
Nexus S.A.: CMMI-3
18.
SONDA: CMMI-3
19.
Adexus S.A.: CMMI-3
20.
Everis: CMMI-3
21.
Everis Chile: CMMI-3
22.
Nexus S.A.: CMMI-3
23.
ALTEC S.A.: CMMI-5
24.
IBM Application Management Services Spanish South
America (IBM AMS SSA): CMMI-5
25.
Cervecera Nacional Dominicana (Rep. Dominicana)
26.
Cervecera Bohemia (Rep. Dominicana)

23

Bibliografa
http://www.tcpsi.com/servicios/gobierno_ti.htm
http://es.wikipedia.org
www.monografias.com
www.unl.edu.ec
www.itmplatform.com
www.magazcitum.com.mx

24