El Gobierno de TI es un trmino incluyente que abarca sistemas de informacin, tecnologa y comunicaciones, as como negocios, aspectos legales y otras partes

interesadas como los directores, la alta gerencia, los propietarios de los procesos, los proveedores de TI, los usuarios, los auditores.

El Gobierno de TI ayuda a asegurar el alineamiento de TI con los objetivos de la empresa, que sus recursos sean utilizados de manera responsable y sus riesgos administrados de manera apropiada.

Fundamentalmente al gobierno de TI le incumbe dos aspectos:  Que TI entregue valor al negocio y  Que los riesgos de TI sean mitigados  Lo primero es impulsado por el alineamiento de TI con el negocio  Lo segundo por la integracin de la responsabilidad en la empresa.

Potenciacin del buen gobierno de TI Las empresas de TI pueden obtener muchsimo del gobierno mejorado. Las ltimas tcnicas de gobierno minimizan la profundidad y duracin de las disminuciones del rendimiento que a menudo se producen en los periodos de cambio e innovacin. Y ms especficamente, un gobierno ptimo de TI le ayudar a disminuir: La prdida de tiempo asociada a la bsqueda de las personas que tienen la capacidad de decisin para las reas especficas de responsabilidad La superposicin y responsabilidad poco claras que se producen debido al conflicto de direcciones suministradas a los empleados a la hora de ejecutar las actividades, lo que provoca un desperdicio de esfuerzos y resultados opuestos a los objetivos deseados Las decisiones crticas que no se llevan a cabo al no haber una figura de autoridad para tomar la decisin, lo cual no slo resulta muy frustrante sino que tambin tiene un impacto directo negativo en la consecucin de los objetivos deseados.

INTRODUCCION

Ha llegado el momento de concretar que significa gobierno de TI. Segn el ltimo estudio de IBM sobre los directores generales, stos ltimos prevn una Empresa del Futuro que se caracteriza por un cambio constante, generalizado y de gran expansin. Aunque los periodos de cambio e innovacin generalmente estn relacionados con los riesgos de erosin del rendimiento y aumento de gastos, las ltimas tcnicas de gobierno pueden potenciar la agilidad requerida para disminuir estos riesgos. Clarificar quien toma las decisiones y cadenas de contabilidad para componentes especficos utilizando las ltimas tcnicas de gobierno pueden hacer que la toma de decisiones y el comportamiento deseado que se requiere para lograr objetivos especficos se consiga con xito. Los resultados negativos ms comunes se deben al excesivo nfasis puesto en aspectos tcnicos, financieros y de planificacin de las actividades de TI y a la escasa atencin que se dedica al contexto comercial del uso de TI. Por consiguiente, resulta fundamental clarificarlos derechos para la toma de decisiones y cadenas de contabilidad para objetivos comerciales que dependen del uso mejorado de TI. Este informe explica de qu modo los directores de TI pueden utilizar las ltimas tcnicas de gobierno para reducir el alcance y duracin de las disminuciones del rendimiento que a menudo se producen en los periodos de cambio e innovacin. Clarificar lo que es el gobierno y lo que no, y detallar el modo en que los directores de TI pueden empezar a mejorar el gobierno dentro de sus empresas.

CONCLUSION Tal y como se demuestra en el estudio de importantes empresas sobre los directores generales (CEO) de todo el mundo, stos han establecido una agenda para sus empresas que contempla un gran cambio rpido, continuo y de amplio alcance. Para respaldar esta agenda, ser fundamental aplicar las ltimas tcnicas de gobierno dentro de TI, lo cual puede reducir al mnimo el coste y disminuciones del rendimiento generalmente relacionados con los periodos de cambio e innovacin. Aunque el nuevo estndar ISO/IEC 38500sobre el gobierno de las TI no resolver todos los problemas de gobierno, puede resultarle til. Uno de los mensajes clave de este estndar es que, debido a los gastos, riesgos y rentabilidad potencial de TI para la empresa, el consejo directivo de la empresa es responsable de asegurar que TI est correctamente dirigido. Este nuevo estndar internacional establece unos principios de gua para el gobierno corporativo de TI, que debern cumplir tanto los directores de TI (CIO) como los directores generales (CEO). Para responder adecuadamente al director general, el director de TI debe adoptar y aplicar las tcnicas de gobierno ms recientes de TI de manera que la organizacin de TI pueda llevar a cabo sus objetivos con agilidad y como una parte fundamental de la estrategia empresarial general. El criterio ms prctico es empezar por identificar los componentes comerciales fundamentales dentro de TI y mejorar su gobierno para garantizar la capacidad de modificar e innovar donde resulte conveniente. Un taller para ejecutivos de TI sobre los Servicios de consultora de gestin de TI de una buena empresa puede que contribuya que los directores de TI y los informes directos adopten el modelo empresarial de TI e identifiquen los componentes fundamentales de acuerdo con: Costes de los componentes Gastos completos equivalentes (FTE) Calidad y capacidad Contribucin a la diferenciacin Nivel crtico respecto de la empresa.

COBIT Estas reas focales de gobierno de TI describen los tpicos en los que la direccin ejecutiva requiere poner atencin para gobernar la TI en sus empresas. La direccin operacional usa procesos para organizar y administrar las actividades cotidianas de TI. COBIT brinda un modelo de procesos genricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia comn entendible para los gerentes operacionales de IT y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las reas focales del gobierno de TI (vea apndice II), ofreciendo as un puente entre lo que los gerentes operacionales deben realizar y lo que los ejecutivos desean gobernar. Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operacionales se encuentren dentro de un marco de control definido para todo los procesos de TI. Los objetivos de control de TI de COBIT estn organizados por proceso de TI; por lo tanto, el marco de trabajo brinda un vnculo claro entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. COBIT se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detallados de TI, (vea apndice IV). COBIT acta como un integrador de todos estos materiales gua, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambin se vincula con los requerimientos de gobierno y de negocios. COSO (y similares marcos de trabajo) es generalmente aceptado como el marco de trabajo de control interno para las empresas. COBIT es el marco de trabajo de control interno generalmente aceptado para TI. Los productos COBIT se han organizado en tres niveles (figura 3) diseados para dar soporte a:

 Administracin y consejos ejecutivos Administracin del negocio y de TI Profesionales en Gobierno, aseguramiento, control y seguridad. Es de inters primordial para los ejecutivos: El resumen informativo al consejo sobre el gobierno de TI, 2da Edicin Diseado para ayudar a los ejecutivos a entender porqu el gobierno de TI es importante, cules son sus intereses y sus responsabilidades para su administracin Es de primordial inters para la direccin del negocio y de tecnologa: Directrices GerencialesHerramientas para ayudar a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks y manejar brechas en la capacidad. Las directrices ayudan a brindar respuestas a preguntas comunes de la administracin: Qu tan lejos podemos llegar para controlar la TI?, y el costo justifica el beneficio? Cules son los indicadores de un buen desempeo? Cules son las prcticas administrativas clave a aplicar? Qu hacen otros? Cmo medimos y comparamos?
Figura 3

ISO 17799

La ISO 177991, al definirse como una gua protocolar (conjunto de normas a llevar a cabo) en la implementacin del sistema de administracin de la seguridad de la informacin, se orienta a preservar los siguientes principios: Confidencialidad: asegurar que, nicamente, personal autorizado tenga acceso a la informacin. Integridad: garantizar que la informacin no ser alterada, eliminada o destruida por entidades no autorizadas; preservando exactitud y completitud de la misma y de los mtodos de su procesamiento. Disponibilidad: cerciorar que los usuarios autorizados tendrn acceso a la informacin cuando la requieran y sus medios asociados.

Tales premisas en la proteccin de los activos de informacin constituyen las pautas bsicas (deseables) en cualquier organizacin, sean instituciones de gobierno, educativas, de investigacin o (meramente) pertenencias hogareas; no obstante, dependiendo de la naturaleza y metas de las estructuras organizacionales, stas mostrarn especial nfasis en algn dominio o rea del estndar ISO 17799. Como ha de saber, es misin imposible conseguir el 100% de Seguridad en cualquier aspecto de La Vida. Por lo tanto, el objetivo de la seguridad en los datos es (acptese el juego de palabras) para asegurar la continuidad de las operaciones de la organizacin, reducir al mnimo los daos causados por una eventualidad, as como optimizar la inversin en tecnologas afines y prosperar en las novedosas oportunidades que nos brindar el porvenir del tiempo. Como todo buen estndar, el ISO 17799 da la pauta en la definicin sobre cules metodologas, polticas o criterios tcnicos pueden ser aplicados en el rgimen de manejo de la seguridad de la informacin. La toma de decisiones sobre un marco de referencia de seguridad basado en ella proporciona beneficios a toda organizacin que lo implemente. Ya sea en su totalidad o en la parcialidad de sus postulaciones estipuladas. Su elaboracin y prctica integra mecanismos de control primordiales, que le permiten a las organizaciones demostrar que cuenta con el estado de la seguridad de la informacin pertinente; situacin que resulta muy importante en aquellos convenios o contratos con terceros que establecen como requisito contractual la Declaracin BS77992 u otras disposiciones de perfil similar que se acentan mucho en los tiempos que corren. Dominios de control de la ISO 17799

La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi) por completo la Gestin de la Seguridad de la Informacin: 1) Polticas de seguridad: el estndar define como obligatorias las polticas de seguridades documentadas y procedimientos internos de la organizacin que permitan su actualizacin y revisin por parte de un Comit de Seguridad. 2) Aspectos organizativos: establece el marco formal de seguridad que debe integrar una organizacin. 3) Clasificacin y control de activos: el anlisis de riesgos generar el inventario de activos que deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de confidencialidad.

4) Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la ptica de proteccin civil, sino a proporcionar controles a las acciones del personal que opera con los activos de informacin. Su objetivo es contar con los elementos necesarios para mitigar el riesgo inherente a la interaccin humana, o sea, establecer claras responsabilidades por parte del personal en materia de seguridad de la informacin. 5) Seguridad fsica y del entorno: identificar los permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en el tipo de seguridad establecida. 6) Gestin de comunicaciones y operaciones: integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. 7) Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los activos de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones. 8) Desarrollo y mantenimiento de sistemas: la organizacin debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la organizacin. 9) Gestin de continuidad del negocio: el sistema de administracin de la seguridad debe integrar los procedimientos de recuperacin en caso de contingencias, los cuales debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos. 10) Cumplimiento o conformidad de la legislacin: la organizacin establecer los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los contratos o convenios.

De estos diez dominios nombrados se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementacin de inspecciones) y 127 o ms controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo). Ambos, se encuentran destinados a dotar y esparcir Seguridad a la Informacin en el ambiente digital, a travs de numerosas auditoras, consultoras y/o paradigmas. Cada una de las reas constituye una serie de observaciones que sern seleccionadas dependiendo de las derivaciones obtenidas en los anlisis de riesgos, conjuntamente, existen controles obligatorios para toda organizacin, como es el de las polticas de seguridad cuyo nmero depender ms de la organizacin que del estndar, el cual no establece este nivel de detalle. Por eso, es aplicable a toda organizacin, independientemente, de su tamao o sector de negocio; siendo un argumento fuerte y dinmico para los detractores de la norma y un conjunto de instrumentos flexibles a cualquier solucin de seguridad concreta: recomendaciones neutrales con respecto a la IT3. ITIL El objetivo que persigue ITIL es diseminar las mejores prcticas en la gestin de servicios de Tecnologas de Informacin de forma sistemtica y coherentemente. El planteo principal se basa en la calidad de servicio y el desarrollo eficaz y eficiente de los procesos. La idea subyacente es que, sin importar el rubro, la tecnologa es cada vez ms crtica para el negocio de cualquier empresa. Esto quiere decir que si la tecnologa no es administrada eficientemente, el negocio no funciona, lo que se vuelve ms cierto al ser ms dependiente de la infraestructura tecnolgica. En este sentido, los estndares ITIL exigen un replanteamiento del rea tecnolgica y la definicin de los elementos y procesos "crticos dentro de la empresa. Esta metodologa est especialmente desarrollada para reducir los costos de provisin y soporte de los servicios de TI, al mismo tiempo que se garantizan los requerimientos de la informacin en cuanto a seguridad manteniendo e incrementando sus niveles de fiabilidad, consistencia y calidad. Las normas ISO son demasiado rgidas para los negocios, ya que lo que se ajusta bien a una empresa no lo hace a otra. En cambio, la incorporacin de mejores prcticas (ITIL) es una forma sencilla de mejorar y estandarizar la calidad de los procesos corporativos. Las guas generales de mejores prcticas les sirven a todas las compaas.

IMPLEMENTACIN DE ITIL
La implementacin de la nueva metodologa para los procesos a travs de ITIL, debe considerar en forma conjunta las funciones y reas comunes dentro de la organizacin de TI, permitiendo una adopcin estructurada; para ello es necesario comenzar por la agrupacin de los procesos ITIL de una manera en la cual se

facilite aparte de la implementacin en s, la aceptacin y pronto alcance de sus beneficios. Bajo este enfoque la organizacin podr seleccionar a la gente con alguna rea de Responsabilidad comn para realizar la transicin hacia este nuevo modelo de operacin. Muchas de las organizaciones comienzan su transformacin hacia ITIL con las disciplinas de Gestin de Incidentes y Gestin de Problemas en el rea de Soporte o Gestin del Servicio de TI, otras empiezan con las disciplinas de Gestin de Cambios, Gestin de Configuracin y Gestin de Difusin, las que afectan directamente a las reas que mantienen la infraestructura tecnolgica de los procesos de negocio. Estas decisiones sern tomadas en base a las necesidades y reas de oportunidad. La implementacin de estas mejores prcticas es dirigida y optimizada por software aplicativo y soluciones tecnolgicas diseadas para tal fin, por lo tanto su uso est encaminado a la integracin y automatizacin de los procesos de ITIL, lo cual dar como fruto la institucionalizacin y apalancamiento de las mismas dentro de la organizacin. Las soluciones tecnolgicas debern ser fciles de adaptarse a las necesidades nicas de cada empresa. El modelo de implementacin normalmente adoptado y aplicado comienza a travs de una Consultora de Infraestructura de Tecnologa de Informacin. Primero se debe realizar un anlisis de revisin para poder documentar un diagnstico de la situacin actual de los servicios de TI dentro de una organizacin.