Planificación de Las Tecnologías de La Información Procedimiento para La Planificación de TI Basado en El Framework COBIT

See discussions, stats, and author profiles for this publication at: https://www.researchgate.
net/publication/249995309
Planificación de las Tecnologías de la Información
Book · January 2011
CITATION
3 authors, including:
Frank Medel-González Lourdes García-Ávila

Universidad Central "Marta Abreu" de las Villas Universidad Central "Marta Abreu" de las Villas
22 PUBLICATIONS 24 CITATIONS 20 PUBLICATIONS 20 CITATIONS
SEE PROFILE SEE PROFILE
Some of the authors of this publication are also working on these related projects:
EurekaSD View project
All content following this page was uploaded by Frank Medel-González on 04 March 2015.
The user has requested enhancement of the downloaded file.

Planificación de las Tecnologías de la
Información
Procedimiento para la Planificación de TI Basado en el
Framework COBIT
Ing. Frank Medel-González

Facultad Ingeniería Industrial y Turismo
Universidad "Marta Abreu" de Las Villas.
Santa Clara, Villa Clara, Cuba
e--mail: frankmedel@uclv.edu.cu
Ms. Patricia Perez Lorences

e
e-mail: patriciapl@uclv.edu.cu
Dr. C. Lourdes García-Ávila

Dr
e-mail:
mail: lourdesga1012@gmail.com
Índice
Índice
Introducción ................................................................................................................. 1
CAPÍTULO I: MARCO TEÓRICO REFERENCIAL DE LA INVESTIGACIÓN ............... 5
1.1 Servicios de TI........................................................................................................ 5
1.2 Gestión de Servicios de TI .................................................................................... 7
1.3 La necesidad de un marco de trabajo para la gestión de TI ............................... 8
1.4 Metodologías, estándares, marcos de trabajo y buenas prácticas para la Gestión de TI

...................................................................................................................................... 9
1.4.1 ISO 17799 ........................................................................................................... 10
1.4.2 ISO / IEC 20000 .................................................................................................. 11
1.4.3 ISO/IEC 27001 .................................................................................................... 12
1.4.4 Cuadro de mando integral para las tecnologías de la información (IT BSC, Information
Technology Balanced Scorecard)............................................................................ 13
1.4.5 Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, Information

Technology Infrastructure Library)........................................................................... 13
1.4.6 Objetivos de Control para Tecnología de Información (COBIT, Control Objectives for
Information and related Technology) ....................................................................... 18
1.4.7 Otras metodologías .......................................................................................... 21
1.5 Selección de un marco de trabajo para las TI .................................................... 23
1.6 Situación actual de las TI .................................................................................... 24
1.7 Conclusiones parciales ....................................................................................... 25
CAPÍTULO II: PROCEDIMIENTO PARA DISEÑAR EL FLUJO DE PROCESOS DE

PLANIFICACIÓN Y ORGANIZACIÓN DE TECNOLOGÍAS DE INFORMACIÓN BASADO EN EL
MARCO DE TRABAJO DE COBIT ............................................................................. 30
2.1. Principios en los que se sustenta el procedimiento ........................................ 30
2.2. Premisas generales para la construcción del procedimiento.......................... 31

Índice
2.3. Características del procedimiento ..................................................................... 31
2.4. Descripción del procedimiento .......................................................................... 32
2.5 Acciones previas para la aplicación del procedimiento.................................... 46
CAPITULO ІІІ: APLICACIÓN DEL PROCEDIMIENTO EN FTI ETC V.C..................... 48
3.1 Acciones previas a la aplicación del procedimiento ......................................... 48
3.2 Desarrollo del procedimiento .............................................................................. 52
Conclusiones Generales ........................................................................................... 78
Bibliografía ................................................................................................................. 79
ANEXOS .........................................................................................................................
Introducción
INTRODUCCIÓN
En la actualidad, cada vez más se reconoce el impacto significativo que la información puede
tener en el éxito de una empresa, siendo necesario considerar las tecnologías de información
como verdadero activo empresarial capaz de ofrecer valor constantemente. Es así que para
muchas empresas, la información y la tecnología que la soporta, representan sus activos más
valiosos. Un elemento crítico para el éxito y la supervivencia de estas organizaciones, es por
tanto, la administración efectiva de la información y de la TI relacionada. La administración de los
recursos de TI es necesaria y debe centrarse en que esta tecnología proporcione información que
satisfaga los requerimientos del negocio.
Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de

gestión sin adoptar e implementar un marco de referencia de gestión y control para las TI. En los
últimos años han surgido y madurado estándares, metodologías y buenas prácticas que hacen
posible la gestión de las TI, entre las que se encuentran: ITIL, ISO 9001, ISO17799, ISO 20000,
ISO 27000, COBIT, PRINCE2, IT Balanced Scorecard, Magerit2, PMBOK entre otros. Los marcos
de trabajo de control están siendo parte de las mejores prácticas de la administración de TI, cada
uno tiene sus propias ventajas, dependiendo de la situación en la que se aplique, pero todos están
diseñados para adoptar una aproximación al problema a gestionar.
El marco de trabajo que ofrece COBIT está basado en la filosofía de que los recursos de TI
necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus objetivos.
Las investigaciones de las prácticas de gestión de TI en cientos de compañías en todo el mundo

han revelado que la mayoría de las organizaciones no están optimizando su inversión en TI. Cuba
no escapa de este fenómeno, la pobre gestión de los servicios de TI en las empresas del país
atentan contra el retorno de la inversión de las mismas y su efectiva explotación en función del
negocio.
La Empresa de Telecomunicaciones de Cuba S.A es la encargada de prestar servicios públicos de

telecomunicaciones mediante la operación, instalación, explotación y comercialización de las
redes públicas de telecomunicaciones en el territorio nacional. En esta empresa las TI constituyen
un elemento vital para el mantenimiento y desarrollo de sus objetivos del negocio. Dentro de la
Dirección Territorial (DT) de Empresa de Telecomunicaciones (ETC), la Filial de Tecnología de la
Información (FTI) surge en el 2001, siendo la entidad encargada de garantizar el funcionamiento
de las tecnologías informáticas que dan soporte al proceso central de la empresa. Actualmente la
filial es capaz de prestar sus servicios al resto de las unidades de negocios, sin embargo, la
inestabilidad en el trabajo, la pobre definición de los procesos inherentes a esta entidad y la falta
de indicadores que demuestren cómo se comporta el proceso de TI; comprometen el
1
Introducción
desenvolvimiento actual y futuro de la filial para enfrentar la demanda de servicios de TI influyendo

negativamente sobre la organización.
Todo lo anterior sintetiza la situación problémica de la presente investigación cuyo problema

científico se expresa como: No se cuenta en la filial de FTI con un procedimiento que permita
definir el flujo de procesos para planificar y organizar los recursos de TI y a la vez evaluar el
comportamiento del proceso de TI que da soporte a los procesos de negocio en ETC,
garantizando en consecuencia la alineación de las tecnologías de la información a los objetivos de
su negocio.
En correspondencia con lo planteado se formuló la hipótesis Investigativa siguiente: Si se

implementa en la filial de FTI un flujo de procesos para la planificación y organización de las TI,
basado en el marco de trabajo de COBIT, que genere soluciones específicas en el gobierno de las
TI alineado a los objetivos del negocio, es posible alcanzar mejores resultados en la entrega de
servicios de calidad a partir del aprovechamiento de los recursos de TI de los cuales depende
tanto ETC para elevar su desempeño.
En conformidad con la hipótesis planteada, el objetivo general de la investigación es desarrollar

un procedimiento que permita diseñar el flujo de procesos para la planificación y organización de
las Tecnologías de Información basado en el marco de trabajo de COBIT.
Este objetivo general fue desglosado en los objetivos específicos siguientes:
1. Realizar el análisis crítico de los marcos de referencia y las buenas prácticas para la gestión y
gobierno de las tecnologías de información cuyo resultado permita fundamentar teóricamente
la investigación.
2. Elaborar un procedimiento que permita diseñar el flujo de procesos para la planificación y

organización de las Tecnologías de Información, basado en el marco de trabajo de COBIT.
3. Realizar el diagnóstico del estado actual de la planificación y organización de las tecnologías

de información y la determinación del nivel de madurez de sus procesos en la filial de FTI de
ETC Villa Clara.
4. Validar la hipótesis de investigación con la implementación del procedimiento elaborado en la

filial de FTI de ETC Villa Clara Cuba.
El objeto de investigación es el proceso de gobierno de las tecnologías de información y para el

desarrollo de la investigación se utilizaron técnicas empíricas como: entrevistas, observación,
análisis de documentos y análisis comparativos. Además se emplearon métodos teóricos como el
analítico sintético, inductivo deductivo, la modelación, el enfoque sistémico estructural y el método
general de solución de problemas.
2
Introducción
La validación de la hipótesis se realizará mediante la utilización de la dinámica de los sistemas

analizando el comportamiento del desempeño de la filial en las condiciones siguiente:
a) cuando trabaja sin una planificación y organización de las tecnologías de información

orientada a los objetivos del negocio,
b) cuando trabaja alineando el uso de las tecnologías de información a los objetivos del negocio.
El valor de la investigación está dado, por un lado, en el aporte del procedimiento de diseño del
flujo de procesos para la planificación y organización de TI y por otro, en la contribución de este
para alcanzar un mejor desempeño en el gobierno de las TI en la filial de FTI, resultado que
además puede extenderse a otras filiales del país en ETC.
Para su presentación, este trabajo de investigación se estructuró de la forma siguiente:

Introducción donde se caracteriza la situación problémica y se fundamenta el problema científico
a resolver; Capítulo 1 presenta el marco teórico - referencial de la investigación efectuada sobre
las temáticas: servicios de TI, gestión de TI, marcos de trabajo, metodologías y buenas prácticas
para la gestión de TI entre otras; Capítulo 2: donde se desarrolla el procedimiento para diseñar el
flujo de procesos para la planificación y organización de las Tecnologías de Información basado
en el marco de trabajo de COBIT y Capítulo 3 que contiene la aplicación del procedimiento en la
filial de FTI de ETC Villa Clara. Además se presenta un cuerpo de conclusiones y
recomendaciones derivadas de la investigación realizada, la bibliografía consultada y finalmente
un grupo de anexos de necesaria inclusión, como complemento de los resultados expuestos.
3
Capítulo 1
CAPÍTULO I: MARCO TEÓRICO REFERENCIAL DE LA INVESTIGACIÓN
En este capítulo se exponen los resultados de una revisión bibliográfica de las temáticas mostradas
en la figura 1.1, la cual se corresponde con el hilo conductor del marco teórico-referencial de la
presente investigación.
ETC
FTI
Figura 1.1: Estrategia para la construcción del marco teórico – referencial de la investigación
1.1. Servicios de TI
Un servicio de TI es un conjunto de recursos de la infraestructura de TI, que cumplen con una o

más necesidades de sus clientes. Están enfocados al cumplimiento de los objetivos del negocio y
es percibido por el cliente como una solución que apoya su función en el negocio. (ITIL, 2006)
Según (Reyes, 2006) un servicio TI es un conjunto descrito de instalaciones, pueden ser de

tecnologías de la información o no, sostenidas por el proveedor de servicio TI, que:
• Cubre una o más necesidades del cliente
• Soporta los objetivos de negocio del cliente
• Es percibido por el cliente como un todo coherente
Según (Berea, 2006) los servicios de TI son un conjunto de funcionalidades, basadas en sistemas
de TI, que la organización ofrece a sus clientes para llevar a cabo una función (de negocio). Los
elementos que componen las TI son:
5
Capítulo 1
• Hardware.
• Software.
• Procedimientos.
• Documentos.
• Recursos Humanos.
Engloba fundamentalmente tres elementos:
• La infraestructura tecnológica.
• Los procesos que lo conforman.
• Las responsabilidades y personas involucradas en dichos procesos.
Productos de TI
• Brindar información confiable, oportuna y segura.
• Ser el soporte de los negocios de las empresas en el momento que sea requerido.
• Apoyar a la toma de decisiones.
• Agregar valor a otros procesos.
• Automatizar tareas.
• Brindar respuestas a los requerimientos de los clientes.
Clientes de TI
• Las Empresas.
• Las Personas que trabajan en ellas.
• La Sociedad en general.
Aunque actualmente la provisión de un servicio está íntimamente relacionada con la tecnología

que lo soporta, no es este el único factor que puede conducir al fracaso. De hecho, el fracaso en
la provisión de un servicio tiene menos relación con la tecnología que con procesos mal diseñados
o inexistentes.
1.2. Gestión de Servicios de TI
Gestión de servicios TI se encarga de que la provisión y soporte de servicios TI resulten

apropiados a los requerimientos de negocio de la organización. (ITIL, 2006)
La gestión de servicios de tecnologías de la información de alta calidad (ITSM por sus siglas en
inglés IT Service Management) es una disciplina basada en procesos, enfocada en alinear los
6
Capítulo 1
servicios de TI proporcionados con las necesidades de las empresas, poniendo énfasis en los
beneficios que puede percibir el cliente final. (Wikipedia Enciclopedia Libre, 2008)
La gestión de servicios de TI propone cambiar el paradigma de gestión de TI, por una colección de
componentes enfocados en servicios usando distintos marcos de trabajo con las "mejores
prácticas". (itSMF, 2005)
Según (Narbona, 2005) la gestión de las TI es parte integral del éxito de la organización al
asegurar mejoras medibles, eficientes y efectivas de los procesos de la organización. La gestión
de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con
las estrategias y los objetivos de la organización. Para esto la dirección de la organización debe
dirigir y organizar la dirección de las TI, ya que debe asegurarse que la gestión de las TI se alinee
con los objetivos de la organización.
Según (Wikipedia Enciclopedia Libre, 2008) los proveedores de los servicios de TI no pueden
seguir manteniendo su enfoque en la tecnología y sus propias organizaciones, ahora tienen que
considerar la calidad de los servicios que proveen y enfocarse en sus relaciones con los clientes.
Usualmente la gestión de servicios de TI involucra el uso de outsourcings, insourcings y servicios
compartidos. Es extremadamente importante mantener una base de conocimiento amplia dentro
de la organización para que estas prácticas sean exitosas. Los objetivos de una buena gestión de
servicios TI han de ser:
• Proporcionar una adecuada gestión de la calidad.
• Aumentar la eficiencia.
• Alinear los procesos de negocio y la infraestructura TI.
• Reducir los riesgos asociados a los Servicios TI.
• Generar valor.
Es necesario un cambio en el rol de TI para extraer el máximo rendimiento a una inversión en TI y

usar la tecnología como un arma competitiva. De esta forma conseguir que la actitud de TI frente
al negocio pase de ser meramente reactiva a ser proactiva, anticipándose a las necesidades de la
organización. (network-sec, 2008)
Los sistemas de gestión pueden ayudar a las organizaciones a aumentar el control sobre los
procesos TI y la satisfacción del cliente.
El enfoque a través de un Sistema de Gestión de Tecnología de la Información (SGTI) anima a

las organizaciones a analizar los requisitos del cliente, definir los procesos que contribuyen al
logro de servicios aceptables para el cliente y a mantener estos procesos bajo control.
7
Capítulo 1
Gestionar no es resolver los problemas de cada día, es mucho más, gestionar un negocio es
tomar las decisiones estratégicas y tácticas más adecuadas para incrementar el beneficio. Según
el autor del presente trabajo Gestionar servicios de TI, es igualmente tomar las decisiones
estratégicas y tácticas sobre la infraestructura de TI, los procesos, los recursos y la información
alineándolos con los objetivos de la empresa para aportar valor que genere beneficio.
1.3. La necesidad de un marco de trabajo para la gestión de TI

Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información
puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera
en que la tecnología de información es operada y de la posibilidad de que sea aprovechada con
éxito para tener una ventaja competitiva. (Soler, 2008)
En particular, la alta dirección necesita saber si con la información administrada en la empresa es

posible que:
• Garantice el logro de sus objetivos.
• Tenga suficiente flexibilidad para aprender y adaptarse.
• Cuente con un manejo juicioso de los riesgos que enfrenta.
• Reconozca de forma apropiada las oportunidades y actúe de acuerdo a ellas.
• Las empresas exitosas entienden los riesgos y aprovechan los beneficios de TI, y encuentran
maneras para:
• Alinear la estrategia de TI con la estrategia del negocio.
• Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la
empresa.
• Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y

metas.
• Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios
externos.
• Medir el desempeño de TI.
Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de

gestión sin adoptar e implementar un marco de referencia de gestión y de control para TI, de tal
manera que:
• Se forme un vínculo con los requerimientos del negocio.
• El desempeño real con respecto a los requerimientos sea transparente.
8
Capítulo 1
• Organice sus actividades en un modelo de procesos generalmente aceptado.
• Identifique los principales recursos a ser aprovechados.
• Se definan los objetivos de control Gerenciales a ser considerados.
Los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración
de TI y sirven como facilitadores para establecer el gobierno de TI y cumplir con el constante
incremento de requerimientos regulatorios. (itSMF, 2005)
Según (COBIT4.0, 2006) Las mejores prácticas de TI se han vuelto significativas debido a un
número de factores:
• Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en

TI, es decir, que TI genere lo que el negocio necesita para mejorar el valor de los participantes.
• Preocupación por el creciente nivel de gasto en TI.
• La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de

servicios.
• Riesgos crecientemente complejos de la TI como la seguridad de redes.
• Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de

mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el
valor del negocio y reducir los riesgos de éste.
• La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque

estandarizado en lugar de enfoques desarrollados especialmente.
• La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como

COBIT, ITIL, ISO 17799, ISO 9001, PMBOK y PRINCE2.
• La necesidad de las empresas de valorar su desempeño en comparación con estándares

generalmente aceptados y con respecto a su competencia (Benchmarking).
1.4. Metodologías, estándares, marcos de trabajo y buenas prácticas para la Gestión de TI
Afortunadamente en los últimos años han surgido y madurado estándares, metodologías y buenas
prácticas que hacen posible la gestión de las TI, aunque quizá debido a la proliferación de las
metodologías no parece claro por dónde empezar.
Lo que tienen en común todas las metodologías que propugnan la creación de un sistema de
gestión es que éste debe basarse en los procesos que la organización ejecuta. (Narbona, 2006)
9
Capítulo 1
1.4.1. ISO 17799 (International Standard Organization)
Es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad
de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una
organización. ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la
información es proteger adecuadamente este activo para asegurar la continuidad del negocio,
minimizar los daños a la organización y maximizar el retorno de las inversiones y las
oportunidades de negocio. (Colectivo, 2005)
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de
seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.
(ISO 17799, 2005)
Se trata según (ISO 17799, 2005) de una norma no certificable, pero que recoge la relación de
controles a aplicar (o al menos, a evaluar). La adopción de la norma ISO 17799 proporciona
diferentes ventajas a cualquier organización:
• Aumento de la seguridad efectiva de los sistemas de información.
• Correcta planificación y gestión de la seguridad.
• Garantías de continuidad del negocio.
• Mejora continua a través del proceso de auditoría interna.
• Incremento de los niveles de confianza de nuestros clientes y partes
• Aumento del valor comercial y mejora de la imagen de la organización.
Tiene como ventaja que es de las más reconocidas en cuanto a seguridad de la información. Es
usada por muchos marcos de trabajo para trabajar el área de seguridad informática.
La norma como bien se ha planteado es específicamente para la seguridad de la información por

tanto no constituye por si sola un marco de trabajo para la gestión sino que aborda un elemento
importante a ser considerado en cualquier marco que se adopte para gestionar las TI.
1.4.2. ISO / IEC 20000
Es el primer estándar específico para la Administración de Servicios de TI en el que se describen

una serie de procesos orientados a lograr una entrega efectiva de servicios a los clientes/usuarios
de TI, además proporciona un sistema reconocido y probado de gestión el cual permite a las
organizaciones (o áreas) de TI planear, manejar, entregar, monitorear, reportar, revisar y mejorar
sus servicios. (Turbitt, 2007)
10
Capítulo 1
Es una especificación que contiene un modelo de gestión de servicios basado en procesos y en

las mejores prácticas de la industria, que proporciona una guía para la gestión y auditoría de
servicios de TI (Akker, y otros, 2006).
La base del desarrollo del estándar ISO/IEC 20000 es el marco de buenas prácticas en ITIL
(IT Infrastructure Library) que ya han sido establecidas y desarrolladas con amplia aceptación y
difusión desde finales de los años 80. (Álvarez, 2007)
El propósito de ISO 20000 es “proveer una norma de referencia común para toda empresa que
ofrezca servicios de TI tanto a clientes internos como externos”. Ya que la comunicación juega
un papel esencial en la gestión de servicios, uno de los objetivos más importantes de la norma
es crear una terminología común para las organizaciones proveedoras de servicios TI, sus
suministradores y sus clientes. La norma promueve la adopción de un planteamiento de
procesos integrados para la gestión de los servicios de TI. Estos procesos han sido
posicionados en un modelo de procesos, cubriendo los procesos ITIl de soporte de servicio y de
provisión de servicio, así como algunos procesos de gestión adicionales. Esta norma se
establece para definir todo aquello que es obligatorio para la buena gestión de servicios
(aspectos comunes y requeridos para toda gestión de servicios de un proveedor de servicios) y
no para especificar directamente requisitos particulares. (Seguinfo, 2007)
Se ha publicado en dos partes:
La parte uno es la especificación para la gestión de servicios que abarca la gestión de servicios de
TI. Ésta es la parte que se puede auditar y establece unos requisitos mínimos que deben
cumplirse para obtener la certificación. (Akker, y otros, 2006)
La parte dos es el código profesional para la gestión de servicios, que describe las mejores
prácticas para los procesos de gestión de servicios en el ámbito de la especificación. (Akker, y
otros, 2006)
Esta norma ya está repercutiendo positivamente en algunos de los sectores dependientes de la TI

más importantes, como los de externalización de procesos de negocio, telecomunicaciones y
finanzas, así como el sector público.
ISO 20000 es una ola que nace ahora, análogamente a otras que ya se iniciaron en su día como
la certificación en calidad y en gestión medioambiental; y la mayoría de empresas está atenta a la
evolución de su implantación. A medida que vaya convirtiéndose en un requisito, crecerá el interés
estratégico de las organizaciones en certificarse, de manera reconocida internacionalmente y con
revisión periódica. No bastará, por tanto, con decir que se realizan procesos de auditoría o que los
servicios se basan en procesos ITIL o COBIT, o que se cuenta con profesionales certificados en
ITIL, sino que será necesario disponer de una certificación.
11
Capítulo 1
1.4.3. ISO/IEC 27001
El estándar para la seguridad de la información (Information technology - Security techniques -

Information security management systems - Requirements) fue aprobado y publicado como
estándar internacional en Octubre de 2005 por International Organization for Standardization (ISO)
y por la International Electrotechnical Commission (IEC). (Gobierno TIC, 2008)
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA -
acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las
mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la
revisión de la norma británica British Standard BS 7799-2:2002. (Alan Calder, 2006)
La ISO 27001 permite a una organización evaluar sus riesgos e implementar controles apropiados
para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información. El
objetivo fundamental es proteger la información de la organización para que no caiga en manos
incorrectas o se pierda para siempre. (ISO 27001, 2007)
Los principales beneficios son:
• Reducción de los costos vinculados a incidentes.
• Posibilidad de disminución de las primas de seguro.
• Mejora del conocimiento de los sistemas de información, sus problemas y los medios de
protección.
• Mejora de la disponibilidad de los materiales y datos.
• Protección de la información.
• Diferenciación sobre la competencia y mercado.
1.4.4. Cuadro de mando integral para las tecnologías de la información (IT BSC,
Information Technology Balanced Scorecard)
Fue introducido por Kaplan y Norton en el ámbito empresarial desde 1992. Su idea básica según
(Kaplan, y otros, 2000) es que la evaluación de una organización no debe restringirse a
evaluación financiera tradicional sino que debería ser complementada con medidas
concernientes a la satisfacción de los clientes, a los procesos internos y a la capacidad de
innovar. Estas medidas adicionales deberían asegurar el futuro financiero de la empresa y
conducir a la empresa hacia sus metas estratégicas mientras mantiene equilibradas estas 4
perspectivas (financiera, cliente, proceso e innovación).
12
Capítulo 1
Kaplan y Norton proponen una estructura en 3 capas para estas 4 perspectivas: misión (por
ejemplo, para convertir a los clientes en su suministrador preferido), objetivos (por ejemplo, para
proveer a los clientes de nuevos productos) y medida (por ejemplo, porcentaje de facturación
generado por los nuevos productos). (Narbona 1, 2006)
El objetivo del BSC es enlazar todos estos indicadores para entender cuales son los indicadores
claves de desempeño (Key Performance Indicators KPI's) y poder de esta forma formular
estrategias y dirigir el rumbo de la empresa acorde a lo esperado. Este enlace se muestra en
relaciones de causa-efecto que permiten entender de forma clara en qué hay que enfocarse para
alcanzar las metas. (Kaplan, y otros, 2000)
El modelo estándar del BSC, debía ser modificado cuando se fuese a aplicar a las TI ya que las TI
son parte de la organización y participan de la perspectiva financiera aportando valor a la
organización. La aplicación de BSC a las TI fue descrita por Van Grembergen y Van Bruggen
(1997) y Van Grembergen and Timmerman (1998). (Martinez, 2001)
La Tabla 1.1 muestra el estándar IT BSC. La perspectiva Orientada a los Usuarios representa la
evaluación del usuario de las TI.
La perspectiva de Excelencia Operacional representa los procesos TI empleados para el

desarrollo y provisión de aplicaciones. La perspectiva de Orientación Futura se refiere a los
recursos humanos y tecnológicos que las TI necesitan para la provisión de sus servicios.
Finalmente, la perspectiva de la Contribución al Negocio indica el valor para la organización de
las inversiones en TI. (Van Grembergen, 2007)
1.4.5. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, Information

Technology Infrastructure Library)
Surge a finales de 1980, se ha convertido en el estándar mundial de facto en la Gestión de

Servicios Informáticos. La estructura base ha demostrado ser útil para las organizaciones en todos
los sectores a través de su adopción por innumerables compañías como base para consulta,
educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente.
(Colectivo, 2005)
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la
Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como
resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con
los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de
los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de
servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye
a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de
13
Capítulo 1
fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y

operaciones. (ITIL, 2006)
Tabla 1.1: Las 4 perspectivas del BSC. [Fuente: Kaplan, y otros, 2000]
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80%
del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De
esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en
esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de
organización, grande o pequeña, pública o privada, con servicios TI centralizados o
descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el
servicio debe ser fiable, consistente, de alta calidad, y de costo aceptable. (Stationery Office
Books, 2004)
La metodología ITIL por su parte, se basa en recopilar una serie de “mejores prácticas” en
diferentes sectores de actividad a nivel mundial, que se publican de forma práctica y sistemática,
con el objetivo de lograr una gestión eficiente de la Infraestructura y los Servicios TI. Los procesos
descritos en los libros ITIL están alineados con el estándar de calidad ISO 9000 y se encuentran
vinculados con el Modelo de Excelencia de la EFQM (European Foundation for Quality
Management), siendo utilizado por más de 1.000 empresas en todo el mundo. (Otros, 2006)
ITIL se centra en ofrecer servicios de alta calidad, partiendo de un enfoque estratégico basado en
el triángulo procesos-personas-tecnología (ver figura 1.2). A partir de este modelo se ofrece un
método probado para gestionar procesos, roles y actividades, así como sus interrelaciones. (ITIL,
2006)
14
Capítulo 1
Puede utilizarse en organizaciones que ya tengan sus propios métodos y actividades de Gestión
de Servicios, independientemente de su tamaño.
Los ocho libros de ITIL y sus temas son:
• Gestión de Servicios de TI
1. Entrega de Servicios
2. Servicio de Soporte
• Otras guías operativas
3. Gestión de la infraestructura de TI
4. Gestión de la seguridad
Figura 1.2: Triángulo de ITIL. [Fuente: ITIL, 2006]
5. Perspectiva de negocio
6. Gestión de aplicaciones
7. Gestión de activos de software
Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de
implementación (principalmente de la Gestión de Servicios):
8. Planeando implementar la Gestión de Servicios
Adicional a los ocho libros originales, más recientemente

recientemente se añadió una guía con
recomendaciones para departamentos de TIC más pequeños:
9. Implementación de ITIL a pequeña escala
15
Capítulo 1
La figura 1.3 muestra la estructura de ITIL. De todas estas áreas sólo la correspondiente a la
Gestión de Servicios (Entrega y Soporte del Servicio) está adecuadamente desarrollada en la
metodología, aunque le falta la definición de las métricas de los procesos. (Colectivo, 2005)
ITIL está especialmente diseñado para la Gestión de Servicios TI, aunque le faltan los elementos
de medida y control. (Colectivo, 2005)
Figura 1.3: Estructura de ITIL [Fuente: ITIL, 2006]
Se ha planteado que:: “La principal ventaja de ITIL es que ha demostrado su eficacia con su
enfoque a la gestión de servicios de TI” (Rudd, 2004)
Esto significa:
• Mayor alineamiento de TI con el negocio / enfoque a cliente.
• Resolución de incidencias y problemas más rápida y eficiente.
• Reducción del número de llamadas al Service Desk.
• Aumento del ratio de resolución de incidencias en primera instancia.
• Implantación
ón de cambios más rápida / mejor control de cambios.
• Reducción del número de cambios que necesiten ser revocados.
• Efectiva Gestión de la Capacidad.
• Mejor control de activos.
Ventajas de ITIL para la organización (Stationery

( Office Books, 2004):
16
Capítulo 1
• La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más
en los objetivos corporativos.
• La dirección tiene más control y los cambios resultan más fáciles de manejar.
• Una estructura de proceso eficaz brinda un marco para concretar de manera más adecuada la
externalización de algunos de los elementos de los servicios TI.
• Establece un marco de referencia para la comunicación interna y la comunicación con los

abastecedores, así como la estandarización y la identificación de los procedimientos.
• Da un marco de control y certificación de calidad que permite a las organizaciones alcanzar

posiciones comparativas de privilegio.
Según (Gobierno TIC, 2008) entre las principales críticas que se le hacen a ITIL están:
• No cubre adecuadamente las fases de desarrollo de software ni la gestión de proyectos

asociada a esa fase de construcción de activos software.
• Presenta problemas con las métricas y sistema de indicadores que miden la efectividad de los
procesos de negocio.
• Poco, muy poco o nada se habla en los libros oficiales de ITIL al respecto de planes
estratégicos del Departamento de Informática, de Planes de Sistemas o cosas similares.
• Todo lo relativo a la gestión de la seguridad es muy escasamente abordado en ITIL y se

considera arcaico el libro que propone al respecto.
• No refiere la gestión de riesgos.
1.4.6. Objetivos de Control para la Información y la Tecnología relacionada (COBIT, Control

Objectives for Information and related Technology)
Es una herramienta de las Tecnologías de la Información, lanzada en 1996, que ha cambiado la

forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de
control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso
crítico para la gerencia, los profesionales de control y los auditores.
El marco de trabajo COBIT se basa en el principio de la figura 1.4, proporcionar la información

que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los
recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos
de información. El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con
los requerimientos del negocio. (COBIT4.0, 2006)
17
Capítulo 1
Figura 1.4: Principio de funcionamiento de COBIT. [Fuente: COBIT4.0, 2006]
A continuación se relacionan algunos elementos que describen y caracterizan a COBIT

(COBIT4.0, 2006):
Usuarios
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto
en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio
en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos
con responsabilidades en el campo de la TI en las empresas.
Características
• Orientado al negocio
• Alineado con estándares y regulaciones "de facto"
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Recursos de TI necesarios para alcanzar los objetivos de negocio

nego
Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los
recursos requeridos para crear una capacidad técnica adecuada (ej., un sistema de planeación de
18
Capítulo 1
recursos empresariales) para dar soporte a la capacidad del negocio (ej., implementando una
cadena de suministro) que genere el resultado deseado (ej., mayores ventas y beneficios
financieros). (Colectivo, 2005)
Recursos de TI identificados en COBIT
• Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos

manuales que procesan información.
• La información son los datos en todas sus formas de entrada, procesados y generados por los
sistemas de información, en cualquier forma en que son utilizados por el negocio.
• La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas

de administración de base de datos, redes, multimedia, etc., así como el sitio donde se
encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
• Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Estructura
COBIT se divide en tres niveles:
• Dominios
• Procesos
• Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una

responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.
Dominios
1. Planeación y Organización: Este dominio cubre la estrategia y las tácticas y se refiere a la

identificación de la forma en que la tecnología de información puede contribuir de la mejor
manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente,
deberán establecerse una organización y una infraestructura tecnológica apropiadas.
2. Adquisición e Implementación: Para llevar a cabo la estrategia de TI, las soluciones de TI

deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas
dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
19
Capítulo 1
realizados a sistemas existentes.
3. Entrega y Soporte: En este dominio se hace referencia a la entrega de los servicios requeridos,
que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad
y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos
de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicación, frecuentemente clasificados como controles de aplicación.
4. Monitoreo: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Medición del Desempeño
COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los
indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles
altos. (Champlain 2003)
Se tiene que tener claro que COBIT ofrece un marco de referencia genérico para la gestión
TI, pero no cubre en profundidad aspectos concretos de las TI como son la calidad, la seguridad
de la información, la gestión de servicios o la gestión de proyectos. Para estos casos concretos se
debe recurrir a metodologías específicas, pero tratando de que encajen, sin forzarlo, en el marco
general de COBIT. (Sudhanshu, 2004)
Los beneficios de implementar COBIT como marco de referencia para la gestión de las TI
incluyen:
• Mejor alineación, con base en su enfoque de negocios.
• Una visión, entendible para la gerencia, de lo que hace TI.
• Propiedad y responsabilidades claras, con base en su orientación a procesos
• Aceptación general de terceros y reguladores.
• Entendimiento compartido entre todos los participantes, con base en un lenguaje común.
Relación de COBIT con diferentes metodologías
A modo de orientación (Narbona 2, 2006) sugiere dónde pueden encajar las distintas
metodologías, estándares y buenas prácticas, analizando los 4 dominios de COBIT. El Anexo 1
muestra la relación entre COBIT y otras metodologías (no se detallan los procesos
correspondientes en las otras metodologías, sólo se indica que existe relación con algún proceso
o control descrito en las otras metodologías) para cada proceso TI de COBIT. La relación indicada
no implica que se pueda sustituir el proceso TI de COBIT por el de la metodología
20
Capítulo 1
correspondiente, ni tampoco que la metodología correspondiente cubra completamente el proceso

TI de COBIT con el que está relacionado.
1.4.7 Otras metodologías
Proyectos en ambientes controlados (PRINCE2, Projects in Controlled Environments)
Es un método para la gestión de proyectos de todo tipo y tamaño, en cualquier tipo de

organización ya sea grande o pequeña. PRINCE2 abarca la gestión, control, organización y
entrega del proyecto. (IT Governance, 2008)
PRINCE2 frecuentemente es usado para gestionar proyectos dentro del marco de trabajo MSP
(Managing Successful Programmes). También es un estándar de facto de Gestión de Proyectos
en el Reino Unido, pero también se ha adoptado ampliamente en otros países en el EU y
Comunidad de naciones. (Bentley 2005)
Programas de Dirección Exitosos (MSP, Managing Successful Programmes)
Es una metodología que se usa predominantemente por las organizaciones en el Reino Unido y
Europa. El objetivo de MSP es proporcionar una herramienta eficaz al las organizaciones para
manejar los programas que permiten alcanzar una meta a un nivel estratégico para que puedan
lograr beneficios y mejoras en su negocio. Se usa a menudo para programas de TI. (itSMF, 2005)
Programa de dirección no debe confundirse con la dirección del proyecto. El Programa de

dirección es un acercamiento organizado y sistemático a preparar y manejar los diferentes
programas. Los programas son hecho de proyectos múltiples identificados por una organización
que juntos entregan algunos objetivos definidos, o meta, para la misma. Un programa sólo puede
tener éxito si los proyectos dentro de él tienen éxito. (IT Governance, 2008)
La última versión de MSP fue lanzada en 2007 y se ha puesto al día para reflejar los últimos
cambios y desarrollos de las mejores prácticas. También tiene una estructura simplificada y
nuevo diseño que resalta el los temas importantes de la metodología.
Cuerpo de Dirección de Proyecto de Conocimiento (PMBOK, Project Management Body of

Knowledge)
Es una norma de Dirección de Proyecto desarrollada por el Instituto de Dirección de Proyecto

(PMI) el instituto en los Estados Unidos. PMBOK consiste en procesos y áreas de conocimiento
que generalmente se aceptan como buenas prácticas en el campo de Dirección de Proyectos.
(Project Management Institute, 2004)
PMBOK puede aplicarse a cualquier tipo o tamaño de proyecto, si está en el público, privado o
sectores subsidiados. La norma de PMBOK también se ha adoptado internacionalmente por el
21
Capítulo 1
Institute of Electrical and Electronics Engineers(IEEE) como IEEE 1490-2003. (IT Governance,
2008)
Biblioteca de Servicios de Aplicación (ASL, Application Services Library)
Es de dominio público, es el principal marco de trabajo europeo para la gestión, mejora y

renovación de aplicaciones comerciales. ASL no enfoca en apoyar la propia aplicación. Enfoca en
apoyar los procesos comerciales que usan los sistemas de información, es decir, manejando y
manteniendo la aplicación (el software), bases de datos, documentación, disponibilidad,
programación, desarrollo del sistema, plan y análisis de impacto. (IT Governance, 2008)
Six Sigma (Quality and Process Improvement)
Six Sigma es una metodología eficaz y adaptable basada en la medida para la mejora de la
calidad de los servicios de TI. Ofrece una estructura por la que las organizaciones constantemente
pueden mejorar su desenvolvimiento en los procesos de TI, eliminando defectos, pérdidas y
costos, incrementando la calidad del servicio y la satisfacción del cliente. El objetivo principal de
Six Sigma es reducir la variación en los procesos de TI. (Howard 2004)
Six Sigma puede usarse junto con ITIL y COBIT. Ellos se complementan siendo Six Sigma una
metodología de mejora de calidad basado en la medición e ITIL y COBIT buenas practicas
basadas en procesos. (itSMF, 2005)
No hay ninguna certificación formal para las organizaciones con Six Sigma. Sin embargo uno de
las partes principales de aplicación de Six Sigma es la necesidad de entrenar a ciertos individuos
a un grado alto de familiaridad a la propia metodología. (IT Governance, 2008)
COSO-Enterprise Risk Management / SOX
El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del

sector privado estadounidense, formada en 1985. Su objetivo principal es identificar los factores
que causan informes financieros fraudulentos y hacer recomendaciones para reducir su
incidencia. COSO ha establecido una definición común de controles internos, normas y criterios
contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. (Otros,
2006)
COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos
profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA),
American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of
Internal Auditors (IIA) y The Institute of Management Accountants (IMA). (Otros, 2006)
COSO se puede combinar con COBIT o con ITIL como modelo de control para procesos y gestión
TI. (IT Governance, 2008)
22
Capítulo 1
Este sistema de control tiene también un importante reflejo en el área de seguridad de la

información. Uno de los marcos que más se utilizan para implantar el sistema en esta área es
COBIT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-
Oxley (ley regulatoria estadounidense), basado en directrices de COSO, con referencias cruzadas
a COBIT.
1.5. Selección de un marco de trabajo para las TI
Cada metodología de trabajo, marco o aproximación tiene sus propias ventajas, dependiendo de
la situación en la que se aplique, pero todas están diseñadas para adoptar una aproximación al
problema a gestionar.
Al analizar las metodologías y estándares relacionados con las TI, según la opinión del autor de
esta investigación, es COBIT la que responde más adecuadamente a la gestión de TI y su
alineación con los objetivos del negocio; promulgada por ISACA (Information Systems Audit and
Control Association) e ITGI (IT Governance Institute) a través de sus 4 dominios y 34 procesos
cubre prácticamente todas las funciones que se le suponen a un centro TI.
Otras metodologías y estándares cubren, con mayor profundidad y otra orientación, aspectos
parciales de la función TI. Así la serie ISO 9000 o el modelo EFQM se refieren a la Calidad,
ITIL e ISO 20000 a la Gestión de Servicios, la ISO 17799 e ISO 27001 a la Seguridad de la
Información, PRINCE2 a la gestión de proyectos, etc. Todas las funciones que estas
metodologías y estándares desarrollan, la calidad, la seguridad, la gestión de servicios, el
desarrollo, la gestión de proyectos, el análisis y la gestión de riesgos, etc., están incluidas de
algún modo en COBIT, siendo por tanto complemento perfecto para este marco de trabajo.
No hay metodología mágica ni herramientas estrella, la clave del éxito es una implantación
sostenida, basada en gestionar servicios, con implicación a todos los niveles.
1.6. Situación actual de las TI
En la actualidad, las empresas se han dado cuenta de que, hoy más que nunca, es necesario
considerar las TI como verdadero activo empresarial capaz de ofrecer valor constante. Es así que
para muchas empresas, la información y la tecnología que la soporta, representan sus activos
más valiosos. Muchas organizaciones reconocen los beneficios potenciales que la tecnología
puede proporcionar, las organizaciones exitosas, sin embargo, también comprenden y administran
los riesgos asociados con la implementación de nuevas tecnologías. Un elemento crítico para el
éxito y la supervivencia de estas organizaciones, es por tanto, la administración efectiva de la
información y de la Tecnología de Información relacionada. Esta criticidad emerge de:
• La creciente dependencia en información y en los sistemas que proporcionan dicha información,
• La creciente vulnerabilidad y un amplio espectro de amenazas informáticas,

23
Capítulo 1
• La escala y el costo de las inversiones actuales y futuras en información y en tecnología de

información; y
• El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las
prácticas de negocio, crear nuevas oportunidades y reducir costos.
Por lo anterior, la dirección debe tener una apreciación y un entendimiento básico de las ventajas
y riesgos del empleo de la tecnología de información, debe decidir la inversión razonable en
seguridad y control en TI y cómo lograr un balance entre riesgos e inversiones en control en un
ambiente de TI frecuentemente impredecible. La dirección necesita un Marco Referencial para la
gestión y control de sus TI.
Las cifras más recientes del comercio mundial muestran que el sector de mayor crecimiento y
mejores perspectivas es el de las tecnologías de la información y las comunicaciones (TICs) que
representan el 8% del Producto Interno Bruto mundial. La Industria de las TICs constituye uno de
los sectores más dinámicos de la economía mundial, pero explotada tímidamente en América
Latina, lo que la convierte en una buena oportunidad de negocios y crecimiento de todos estos
países. (Finquelievich, 2006)
En América Latina existe un desarrollo incipiente en cuanto a implantación de modelos,

estándares y buenas prácticas que permitan gestionar las TI, aunque no tan fuerte como el que
se puede apreciar en la India, EUA y Reino Unido entre otros. (Planas, 2005)
Entre los países de América Latina donde se observa un mayor esfuerzo y desarrollo en la
implantación de modelos de calidad Brasil ocupa el primer lugar, ya que cuenta con el mayor
número de organizaciones evaluadas CMM/CMMi (Modelo de Madurez de Capacidades/ Modelo
de Madurez de Capacidades Integrado), con cerca de 40 organizaciones en total; le sigue Chile
con alrededor de 20 organizaciones; seguidos de México y Argentina. (Finquelievich, 2005)
La investigación de las prácticas de gestión de TI en cientos de compañías en todo el mundo ha

revelado que la mayoría de las organizaciones no están optimizando su inversión en TI. Cuba no
escapa de este fenómeno, la pobre gestión de los servicios de TI en las empresas del país
atentan contra el retorno de la inversión de las mismas. El factor diferenciador entre los que lo
consiguen y los que no, radican en la participación de la dirección en las decisiones clave de TI.
La correcta participación de la dirección en dichas decisiones aporta un valor real a la inversión en
TI.
Existen entidades cubanas que llevan la voz cantante en este sentido como ETC (Empresa de
Telecomunicaciones), COPEXTEL, MINBAS (Empresa Eléctrica), Banco Nacional de Cuba (BNC)
aunque todavía no se han planteado una verdadera gestión de los servicios de TI se ven avances
24
Capítulo 1
año tras año para retornar la inversión de las TI pero falta mucho por andar pues existen enormes
problemas con los procesos inherentes a la tecnologías de la información que permitan
administrar los recursos de TI. Generalmente en la empresa cubana existe carencia parcial o total
de los procesos lo que permite que la gestión de las TI no sea del todo efectiva.
Las empresas cubanas poco a poco van entendiendo el valor de las TI y de la gestión de las
mismas que soporten la entrega de servicios, La Empresa de telecomunicaciones de Cuba es una
de ellas y da pasos de avance en este sentido a lo largo de todo el país.
1.7. Conclusiones parciales
Una vez concluido el marco teórico referencial de esta investigación se plantean las conclusiones
parciales siguientes:
1. La gestión de la información y las tecnologías que la soportan, en el contexto organizacional

actual, son extremadamente importantes al contribuir al desarrollo de un enfoque de mejora
continua hacia la competitividad empresarial.
2. Los estándares principales que permiten gestionar las tecnologías de la información así como
sus diferentes áreas para la gestión de TI, más referenciados en la literatura son: COBIT, ITIL,
ISO/IEC20000, ISO 17799, ISO 27001 e IT BSC.
3. Se selecciona el marco de trabajo de COBIT por su carácter integrador que responde

adecuadamente a la gestión de TI y su alineación con los objetivos del negocio, y se reconoce
la necesidad de complementarlo con otros estándares para algunas funciones específicas.
4. El análisis de la situación actual en el país reafirma la necesidad de establecer un marco de

referencia para la gestión de TI en empresas nacionales.
25
Capítulo ІІ
CAPÍTULO II: PROCEDIMIENTO PARA DISEÑAR EL FLUJO DE PROCESOS DE

PLANIFICACIÓN Y ORGANIZACIÓN DE TECNOLOGÍAS DE INFORMACIÓN BASADO EN EL
MARCO DE TRABAJO DE COBIT.
En este capítulo se expone una solución al problema científico planteado en la introducción de

esta investigación, que toma como base el estado del arte plasmado en el marco teórico
referencial y que consiste en un procedimiento para diseñar el flujo de procesos de Planificación y
Organización de TI basado en el marco referencial de COBIT.
Primero se exponen los principios en que se sustenta el procedimiento y las premisas generales
para la construcción del mismo. Luego se describe el procedimiento y cada una de las etapas y
pasos en que está dividido.
La definición de los instrumentos, herramientas y técnicas de las etapas 3 y 4 del procedimiento,

no se realiza en los marcos de este trabajo; proponiéndose solo un bosquejo general de las
mismas.
2.1. Principios en los que se sustenta el procedimiento
El procedimiento para diseñar el “flujo de procesos” de Planificación y Organización de

Tecnologías de Información, basado en el marco referencial de COBIT se sustenta sobre los
principios siguientes:
a) Flexibilidad: dada por la posibilidad de aplicarse en cualquier entidad que soporte su negocio
sobre las tecnologías de información y por su adaptabilidad a otros dominios definidos en el
marco referencial de COBIT.
b) Parsimonia: referido a su cualidad de ser "simple" dentro de la complejidad inherente que

presentan estos estudios.
c) Pertinencia: relacionada con la propuesta de un procedimiento para la mejora de la

planificación y organización de las tecnologías de información que se adecua a las condiciones
existentes y a las necesidades de las empresas cubanas que soporte su negocio sobre las
estas tecnologías.
d) Racionalidad: de acuerdo con la relación gasto - beneficio que se requiere para su aplicación.
e) Suficiencia informativa: se dispone de toda la información que se requiere para su aplicación.
f) Consistencia lógica: en función de la ejecución de sus pasos en la secuencia planteada y la

correspondencia con la lógica de la ejecución de este tipo de estudio.
g) Generalidad: posibilidad de su extensión como instrumento metodológico para el mejoramiento

de la planificación y organización de TI en otras organizaciones que no soportan su negocio en
estas tecnologías.
30
Capítulo ІІ
2.2. Premisas generales para la construcción del procedimiento
Debe construirse un procedimiento para diseñar el flujo de procesos de planificación y

organización de TI que:
• Organice las actividades de TI en un modelo de procesos que permita que el proceso de TI

logre sus objetivos y proporcione la información que la empresa necesita para lograr sus
objetivos.
• Permita la revisión de los procesos de TI proporcionando a la dirección la certeza de su

cumplimiento y/o el método para su mejora continua.
• Se base en un conjunto amplio, consistente y coherente de mejores prácticas para los procesos
de gestión de TI.
• Considere la relación entre los requerimientos del negocio, los procesos de TI y sus recursos
(aplicaciones, infraestructura, personal e información).
• Asegure la implementación de los procesos apropiados para respaldar la dependencia crítica de

muchos procesos de negocio de la organización en sus TI.
2.3. Características del procedimiento
El procedimiento general tiene como objetivo: diseñar un flujo de procesos que permita planificar
y organizar las TI en función de su alineación a los objetivos de negocio de la organización.
Las entradas del procedimiento son:
• objetivos y procesos del negocio
• los recursos de TI
• comportamiento actual de la gestión del proceso de TI
Las salidas del procedimiento son:
• Conjunto de procesos definidos y medibles que conforman el flujo de procesos de planificación y

organización de TI.
2.4. Descripción del procedimiento
El procedimiento propuesto que aparece en la figura 2.1 y se ha estructurado en las etapas

siguientes:
1. Análisis y especificación
2. Diseño del flujo de procesos
3. Implementación y prueba del flujo de procesos diseñado
31
Capítulo ІІ
4. Mejoramiento continuo de los procesos
Etapa #1: Análisis y especificación
La primera etapa del procedimiento abarca el análisis y especificación previos al diseño del flujo
de procesos de planificación y organización (PO) de tecnologías de información. Esta etapa se
divide en cuatro pasos:
• Diagnóstico de la planificación y organización de las TI.
• Determinación de los principales problemas que afectan la planificación y organización de las TI

en la organización,
• Determinación de los procesos requeridos para la planificación y organización de las

tecnologías de información alineadas a los objetivos del negocio de la OOE
• Determinación del nivel de madurez de administración de cada proceso.
• Estos pasos se describen a continuación:
• Paso 1.1 Realización del diagnóstico de TI
• En este paso se propone realizar el diagnóstico de la planificación y organización (PO) de

las tecnologías de información en la organización objeto de estudio (OOE).
Este estudio está dirigido a:
a) detectar la visión que tienen las diferentes áreas dentro de la organización sobre la
alineación de las TI a los objetivos del negocio
b) conocer cómo se realiza el proceso de planificación y organización de las TI en la

organización.
c) Detectar los problemas principales que afectan el desempeño del proceso de TI que están
relacionados con la planificación y organización de TI en la OOE.
Para cumplir estos objetivos es necesario realizar:
• Encuestas y entrevistas a personal de diferentes niveles, tales como:
- miembros del consejo de dirección
- responsables de los procesos de negocio de la organización.
- responsable del proceso de TI.
- personal del proceso de TI.
32
Capítulo ІІ
Figura 2.1: Procedimiento para diseñar el flujo de procesos de planificación y organización

de tecnologías de información. [Fuente: Elaboración propia]
Capítulo ІІ
- clientes del proceso de TI.
• Análisis de documentos.
• Observación del proceso en diferentes momentos.
Como punto de partida para la realización de este diagnóstico, se plantearon las interrogantes
siguientes:
• ¿Están alineadas las estrategias de TI y del negocio?
• ¿La empresa está alcanzando un uso óptimo de sus recursos?
• ¿Entienden todas las personas dentro de la organización los objetivos de TI?
• ¿Se entienden y administran los riesgos de TI?
• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
• ¿Están modelados e implementados los procesos de negocio en la OOE?
• ¿Con qué recursos de TI cuenta la organización?
• ¿Cómo se administran los recursos de TI?
• ¿Están identificados que recursos de TI son utilizados en cada proceso de negocio?
• ¿Se mide cómo los recursos de TI contribuyen al logro de los objetivos de negocio?
• ¿Están definidas las responsabilidades y roles del personal de TI?
• ¿Existe un plan estratégico de TI?
• ¿Qué contiene?
• ¿Es adecuado?
• ¿Se cumple?
• ¿Cómo se mide su realización?
• ¿Cómo se planifican las TI en la OOE?
• ¿Cómo se planifica la prestación de servicios de TI?
• ¿Existe un proceso definido para la PO de TI?
• ¿Es adecuado?
• ¿Es aplicado correctamente?
• ¿Están identificado los riesgos de TI?
• ¿Cómo son administrados?
32
Capítulo ІІ
• ¿Cuál es la estrategia corporativa para las inversiones en TI y planificación de los sistemas

informativos?
• ¿Cómo se administran las inversiones en TI?
Obtenida la información esta se procesará y se emitirá un resumen de los aspectos relevantes

objetivos de estudio.
Paso 1.2. Análisis de los problemas que afectan la planificación y organización de TI en la

organización.
Apoyado en el diagnóstico realizado en el paso anterior se analizarán los problemas principales

que afectan el desempeño del proceso de TI, relacionados con la planificación y organización.
Para ello, se emplean las herramientas y técnicas siguientes:
• Tormenta de ideas para listar los problemas a partir del resumen del paso anterior.
• Diagrama causa-efecto para establecer las relaciones entre ellos.
• Método de experto para ordenar los problemas (ver Anexo 2).
Este análisis se realiza con el objetivo de descubrir las prioridades para generar e implementar las
soluciones específicas de planificación y organización en el gobierno de las TI alineado a los
objetivos del negocio.
Paso 1.3. Determinación de los procesos requeridos para la planificación y organización de

las tecnologías de información alineadas a los objetivos del negocio de la OOE
En este paso el análisis a realizar incluye:
• Analizar de acuerdo al dominio de Planificación y Organización definido por COBIT cuáles

procesos son pertinentes o no en la organización.
• Analizar qué otros procesos se requieren en correspondencia de las características de la

organización que no están contemplados en el marco de trabajo de COBIT.
Para realizar este análisis se utiliza el método que se describe a continuación:
Paso 1) Dividir los objetivos de la entidad en requerimientos del negocio más pequeños para
relacionarlos con los procesos definidos por COBIT.
Paso 2) Construir la matriz de relación. (Tabla 2.1)
33
Capítulo ІІ
Tabla 2.1: Matriz de relación. [Fuente: Elaboración propia]
Procesos de Planificación y Organización de COBIT

Requerimientos
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10
2
…….
Paso 3) Definir la relación, que puede ser:
a) 1 a 1 cuando un requerimiento se relaciona con un proceso de COBIT.
b) 1 a N cuando un requerimiento se relaciona con más de un proceso.
c) N a N cuando todos los requerimientos se relacionan con todos los procesos.
d) Si no se cumplen a, b ó c; entonces los requerimientos (o un requerimiento específico) no

se relacionan con ningún proceso.
Paso 4) Definir los procesos requeridos.
a) Si un proceso de COBIT no satisface ningún requerimiento entonces es eliminado.
b) Si un requerimiento no ha sido cubierto por ningún proceso de COBIT entonces es

necesario definir un nuevo proceso.
Para aplicar el método propuesto se requiere conocer los procesos del dominio de Planificación y
Organización (PO) definido por COBIT los cuales son:
• PO1. Definir un plan estratégico de TI
• PO2. Definir la arquitectura de la información
• PO3. Determinar la dirección tecnológica
• PO4. Definir los procesos, organizaciones y relaciones de TI
• PO5. Administrar la inversión
• PO6. Comunicar las aspiraciones y la dirección de la gerencia
• PO7. Administrar recursos humanos de TI

34
Capítulo ІІ
• PO8. Administrar la calidad
• PO9. Evaluar y administrar los riesgos de TI
• PO10 Administrar proyectos
A continuación se describen brevemente cada uno de los procesos mencionados, aunque para
llevar a cabo este paso debe realizarse el análisis de dichos procesos basado en el documento
completo del marco de trabajo de COBIT 4.1.
PO1 Definir un plan estratégico para TI
Definir un plan estratégico para TI que satisfaga el requisito del negocio de TI para sostener o
extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se
mantiene la transparencia sobre los beneficios, costos y riesgos enfocándose en la incorporación
de TI y de la gerencia del negocio en la traducción de los requerimientos del negocio a ofertas de
servicio, y el desarrollo de estrategias para otorgar estos servicios de una forma transparente y
rentable.
PO2 Definir la arquitectura de información
Definir la arquitectura de la información que satisface el requisito de negocio de TI para agilizar la

respuesta a los requerimientos, proporcionar información confiable y consistente, para integrar de
forma transparente las aplicaciones dentro de los procesos del negocio enfocándose en el
establecimiento de un modelo de datos empresarial que incluya un esquema de clasificación de
información que garantice la integridad y consistencia de todos los datos.
PO3 Determinar la dirección tecnológica
Determinar la dirección tecnológica que satisface el requisito de negocio de TI para contar con
sistemas aplicativos estándar, bien integrados, rentables y estables, así como recursos y
capacidades que satisfagan requerimientos de negocio actuales y futuros enfocándose en la
definición e implantación de un plan de infraestructura tecnológica, una arquitectura y estándares
que tomen en cuenta y aprovechen las oportunidades tecnológicas.
PO4 Definir los procesos, organización y relaciones de TI
Definir los procesos, organización y relaciones de TI que satisface el requisito de negocio de TI

para agilizar la respuesta a las estrategias del negocio mientras al mismo tiempo cumple con los
requerimientos de gobierno y se establecen puntos de contacto definidos y competentes
enfocándose en el establecimiento de estructuras organizacionales de TI transparentes, flexibles y
responsables, y en la definición e implantación de procesos de TI con los propietarios, y en la
integración de roles y responsabilidades hacia los procesos de negocio y de decisión.
35
Capítulo ІІ
PO5 Administrar la inversión en TI
Administrar la inversión en TI que satisface el requisito de negocio de TI para mejorar de forma

continua y demostrable la rentabilidad de TI y su contribución a la rentabilidad del negocio con
servicios integrados y estandarizados que satisfagan las expectativas del usuario enfocándose en
decisiones de portafolio e inversión en TI efectivas y eficientes, y por medio del establecimiento y
seguimiento del presupuestos de TI de acuerdo a la estrategia de TI y a las decisiones de
inversión.
PO6 Comunicar las aspiraciones y la dirección de la gerencia
Comunicar las aspiraciones y la dirección de la gerencia que satisface el requisito de negocio de

TI para una información precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos
asociados y las responsabilidades enfocándose en proporcionar políticas, procedimientos,
directrices y otra documentación aprobada, de forma precisa y entendible y que se encuentre
dentro del marco de trabajo de control de TI a los interesados.
PO7 Administrar los recursos humanos de TI
Administrar los recursos humanos de TI que satisface el requisito de negocio de TI para personas
competentes y motivadas para crear y entregar servicios de TI enfocándose en la contratación y
entrenamiento del personal, la motivación por medio de planes de carrera claros, la asignación de
roles que correspondan a las habilidades, el establecimiento de procesos de revisión definidos, la
creación de descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre
los individuos.
PO8 Administrar la calidad
Administrar la calidad que satisface el requisito de negocio de TI para la mejora continua y

medible de la calidad de los servicios prestados por TI enfocándose en la definición de un sistema
de administración de calidad (QMS, por sus siglas en inglés), el monitoreo continuo del
desempeño contra los objetivos predefinidos, y la implantación de un programa de mejora
continua de servicios de TI.
PO9 Evaluar y administrar los riesgos de TI
Evaluar y administrar los riesgos de TI que satisface el requisito de negocio de TI para analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio
enfocándose en la elaboración de un marco de trabajo de administración de riesgos el cual está
integrado en los marcos gerenciales de riesgo operacional, evaluación de riesgos, mitigación del
riesgo y comunicación de riesgos residuales.
36
Capítulo ІІ
P010 Administrar proyectos
Administrar proyectos que satisface el requisito de negocio de TI para la entrega de resultados de

proyectos dentro de marcos de tiempo, presupuesto y calidad acordados enfocándose en un
programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los
proyectos de TI, lo cual facilita la participación de los interesados y el monitoreo de los riesgos y
los avances de los proyectos.
Paso 1.4. Determinación del nivel de madurez de administración de cada proceso
El modelado de la madurez para la administración y el control de los procesos de TI se basa en un

método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un
nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute definió para la madurez de la capacidad del
desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado
granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no
es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y
cómo fijar prioridades para las mejoras.
Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa
reconocería como descripciones de estados posibles actuales y futuros. No están diseñados para
ser usados como un modelo limitante, donde no se puede pasar al siguiente nivel superior sin
haber cumplido todas las condiciones del nivel inferior. Si se usan los procesos de madurez
desarrollados para cada uno de los 34 procesos TI de COBIT, la administración podrá identificar:
• El desempeño real de la empresa — Dónde se encuentra la empresa hoy
• El estatus actual de la industria — La comparación
• El objetivo de mejora de la empresa — Dónde desea estar la empresa
Para hacer que los resultados sean utilizables con facilidad en resúmenes gerenciales, donde se
presentarán como un medio para dar soporte al caso de negocio para planes futuros, se requiere
contar con un método gráfico de presentación (ver figura 2.2).
COBIT define un modelo de madurez para cada uno de los procesos de TI con una escala de
medición creciente de 0 (no existente) hasta 5 (optimizado). El desarrollo de estos modelos se
basó en las descripciones de un modelo de madurez genérico. (ver figura 2.3)
37
Capítulo ІІ
Figura 2.2: Representación gráfica del modelo de madurez. [Fuente: COBIT 4.0]
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos
administrativos, esto es, qué tan capaces son en realidad. Los procesos que delimita COBIT
pueden estar o no definidos formalmente en la OOE, y esta consideración es tenida en cuenta en
el modelo de madurez que COBIT plantea para cada uno de ellos.
Figura 2.3: Modelo genérico de madurez. [Fuente: COBIT 4.0]

En este paso se aplica el modelo de madurez para cada uno de los procesos que fueron definidos
como pertinentes para la OOE. Este análisis arrojará un diagnóstico inicial que servirá de punto de
partida para el diseño del flujo de procesos.
38
Capítulo ІІ
2.4.2. Etapa #2: Diseño del “flujo de procesos” de planificación y organización de

tecnologías de información
Esta segunda etapa del procedimiento incluye cuatro pasos para obtener el diseño del flujo de
procesos de planificación y organización de TI, estos son:
• Rediseño de cada proceso clasificado como pertinente en la OOE.
• Diseño del flujo de procesos.
Evaluación y aprobación del flujo de procesos diseñado.

• Rediseño del flujo de procesos de acuerdo a la evaluación realizada.
Estos pasos son descritos a continuación:
Paso 2.1 Rediseño de los procesos
En correspondencia con las características de la OOE en este paso deben rediseñarse los
procesos que define COBIT y son pertinentes en la organización. Los elementos y estructura de
un proceso definido en el marco referencial de COBIT se muestran a continuación
1. Descripción general del proceso
2. Representación gráfica de la definición del proceso y su interacción con los atributos de la

información, recursos de TI y áreas del gobierno de TI (ver figura 2.4).
3. Descripción de las actividades del proceso.
4. Representación tabular de las entradas y salidas del proceso (ver figura.2.5).
5. Gráfica RACI (ver figura.2.6).
6. Representación de las metas y métricas del proceso. (ver figura.2.7).
Figura.2.5: Representación tabular de las entradas y salidas del proceso.
El rediseño parte de un análisis exhaustivo de los procesos para adaptarlos a las condiciones
particulares de la entidad, que incluye:
• Adecuar términos y definir conceptos: Algunos términos definidos en los procesos de COBIT
pueden no estar en correspondencia con la organización y es necesario realizar las
adecuaciones necesarias para asegurar su factibilidad y el entendimiento del personal.
39
Capítulo ІІ
Igualmente importante es establecer el significado de los conceptos que se manejen en aras de

evitar incongruencias y confusiones.
• Redefinir, eliminar y/o adicionar actividades: Las actividades son el nivel más bajo que
contempla COBIT, y constituyen las acciones requeridas para lograr un resultado medible del
proceso. Deben ser revisadas en función de su adecuada y real aplicación.
• Redefinir, eliminar y/o adicionar metas y métricas: Este punto es sumamente importante. Las
métricas y las metas se definen en COBIT a tres niveles:
- Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el
negocio usaría para medir a TI)
- Metas y métricas de procesos que definen lo que el proceso de TI debe generar para
dar soporte a los objetivos de TI (cómo sería medido el propietario del proceso de TI)
- Métricas de desempeño de los procesos (miden qué tan bien se desempeña el

proceso para indicar si es probable alcanzar las metas)
40
Capítulo ІІ
Figura 2.4: Representación gráfica de la definición del proceso y su interacción con los
atributos de la información, recursos de TI y áreas del gobierno de TI. [Fuente: (COBIT4.0,
2006)]
Capítulo ІІ
Figura 2.6: Gráfica RACI. [Fuente: (COBIT4.0, 2006)]
Figura 2.7: Representación de las metas y métricas. [Fuente: (COBIT4.0, 2006)]

Capítulo ІІ
COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los
indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles
altos.
Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia—después
del hecho—si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general
en términos de criterios de información.
Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se
está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que
indican si será factible lograr una meta o no, y son buenos indicadores de las capacidades,
prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el
propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.
Las métricas efectivas deben tener las siguientes características:
• Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del
logro de las metas en contraste con el esfuerzo de lograrlos)
• Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o
números en el tiempo)
• Deben ser comparables externamente sin tomar en cuenta el tamaño de la empresa o la

industria
• Es mejor tener pocas métricas (quizá una sola muy buena que pueda ser influenciada por
distintos medios) que una lista más larga de menor calidad
• Debe ser fácil de medir y no se debe confundir con las metas
El análisis de las metas y métricas debe tener en cuenta también los criterios siguientes:
Nombre: La identificación y diferenciación de un indicador es vital, y su nombre, además de

concreto debe definir claramente su objetivo y utilidad.
Unidades: La manera como se expresa el valor de determinado indicador está dada por las
unidades, las cuales varían de acuerdo con los factores que se relacionan.
Responsabilidad: Dará respuesta a las preguntas ¿Quién lo mide?, y ¿Quién actuará en

consecuencia con los resultados cuando haya desviaciones?
Periodicidad: Dará respuesta a la pregunta ¿cuándo medirlo?
Valor deseado: Es el valor que se ha definido para que cumpla el indicador.
42
Capítulo ІІ
• Redefinir, eliminar y/o adicionar entradas y salidas: Las entradas del proceso son lo que el proceso
requieres de otros y las salidas lo que debe entregar. Son muy importantes porque determinan el
“flujo de procesos”.
• Reelaborar las graficas RACI: [Responsibility (Responsabilidad), Accountable (Rendir cuentas),

Consulted (Consultado) and Informed (Informado)]. Para cada proceso rendir cuentas significa
delimitación de las responsabilidades es la persona que provee autorización y direccionamiento a
una actividad. Responsabilidad se refiere a la persona que realiza la actividad. Los otros dos roles
(consultado e informado) garantizan que todas las personas que son requeridas están involucradas
y den soporte al proceso.
Paso 2.2 Diseño del flujo de procesos
Una vez redefinidos cada uno de los procesos pertinentes en la organización se procede a diseñar
el flujo de procesos, que mostrará cómo se relacionan estos procesos conectados entre si por sus
entradas y salidas. El flujo de procesos debe modelarse utilizando la herramienta ARIS
preferentemente o cualquiera otra como Microsoft Visio o Microsoft Word.
Paso 2.3 Evaluación y aprobación del flujo de procesos
En este paso se presenta a la alta dirección y al propietario del proceso de TI el flujo de procesos
propuesto para su evaluación y aprobación. Si el resultado de evaluación arroja la necesidad de
cambios, estos deberán aprobarse y se ejecutará el paso 2.4 de lo contrario es aprobado el flujo
de procesos y se pasa a la etapa 3.
Paso 2.4 Rediseño de acuerdo a la evaluación realizada
En este paso se realizan las modificaciones necesarias teniendo en cuenta los cambios
aprobados, los cuales se reflejarán en los elementos contemplados en el diseño. Rediseñado el
flujo de los procesos se vuelve al paso 2.3.
2.4.3. Etapa #3: Implementación y prueba
En esta etapa se debe llevar a cabo la implementación del flujo de procesos en la OOE,
observando cómo es su comportamiento en función de realizar ajustes al mismo. Se divide en 4
pasos:
• Prueba del proceso primario del flujo de procesos.
• Elaboración de un plan de implementación.
• Ejecución del plan de implementación.
• Pruebas de integración entre los procesos del flujo.
43
Capítulo ІІ
Paso 3.1 Prueba del proceso primario del flujo de procesos
Este paso incluye:
• Selección del proceso primario: Un proceso es primario cuando tiene el mayor número de
procesos que dependen de él, es decir, sus salidas involucran a la mayor cantidad de procesos.
Proceso primario = max (cantidad de procesos involucrados con las salidas)
• Implementar el proceso.
• Analizar el logro de los objetivos del proceso.
Paso 3.2 Elaboración de un plan de implementación
Para garantizar el funcionamiento exitoso del flujo de procesos diseñado para la planificación y
organización de las tecnologías de información se debe establecer un plan de implementación.
Este plan se caracteriza por tener enmarcadas todas las acciones que se deben tomar en
consideración para garantizar el tránsito desde la forma de trabajo actual hacia el flujo de
procesos recomendado. Entre los aspectos que se deben incluir en el plan de implementación
están:
• Propósito del plan.
• Prioridad de los procesos a implementar.
• Restricciones técnicas y de gestión.
• Estimaciones de esfuerzo, costo y duración.
• Estimación de los recursos necesarios, para cada uno de los cuales se requiere definir:
descripción, informe de disponibilidad, fecha en que se requiere, tiempo o duración en que será
aplicado el recurso.
• Estrategia de gestión del riesgo.
• Planificación temporal.
• Asignación de los roles y responsabilidades del personal involucrado en la implementación
• Mecanismos de control.
Paso 3.3 Ejecución del plan de implementación
En este paso se realiza la implementación del flujo de procesos de acuerdo con el plan definido
anteriormente.
Paso 3.4 Pruebas de integración entre los procesos del flujo
44
Capítulo ІІ
Definir diferentes niveles de prueba de integración para comprobar las relaciones definidas en el
flujo de los procesos e identificar nuevas relaciones.
2.4.4 Etapa #4: Mejoramiento (rediseño y perfeccionamiento)
En esta etapa se deben evaluar los procesos del flujo de procesos propuesto y tomar decisiones
sobre cambios o modificaciones que deban realizarse al mismo aprovechando su flexibilidad. Para
evaluar los efectos se controlarán los procesos y se analizará el desempeño actual de la
organización y sus causas. Lo anterior se desglosa en los tres pasos que se muestran a
continuación:
Paso 4.1 Control de los Procesos
El control de los procesos no requiere de la implementación total del flujo de procesos, permite
controlar el desempeño de cada proceso individualmente durante su realización y posterior a ella.
En este paso se propone el cálculo de los indicadores clave de desempeño (KPI) durante la
realización de un proceso y los indicadores clave de metas (KGI) después de aplicado para
determinar si logró o no su objetivo. Los KPI determinan qué tan bien se está desempeñando el
proceso de TI para alcanzar la meta, indicando si será factible lograr una meta o no y los KGI
definen mediciones para informar si un proceso TI alcanzó sus requerimientos de negocio.
Estas métricas y metas permitirán ir visualizando el desempeño del flujo de procesos propuesto en
función de su rediseño y perfeccionamiento de ser necesario.
Paso 4.2 Análisis comparativo del desempeño de la organización para valorar la mejora del
flujo de procesos
Este paso consiste en realizar una comparación de los resultados del comportamiento de la
situación actual, considerando la entrega de servicios de calidad, la administración de riesgos y el
aseguramiento de los recursos de TI que contribuyan al máximo aprovechamiento de la
información y los recursos tecnológicos en la empresa; con los resultados derivados de la
aplicación de la primera etapa del procedimiento. Con esta comprobación se puede auditar la
eficacia del flujo de procesos propuesto lo cual además permite dar una medida del grado de
efectividad del mismo y establecer las mejoras pertinentes en caso de ser necesarias.
Concluido este paso, si el flujo de procesos propuesto es el adecuado para planificar y organizar
las tecnologías de información en la organización, será necesario revisar su desempeño
periódicamente, según las características de la organización y los cambios que se puedan generar
interna o externamente, regresando a la etapa 2 de ser necesario.
45
Capítulo ІІ
Si el desempeño de la organización no ha evolucionado favorablemente se pasa al paso tres de

esta etapa para analizar posible causas de este comportamiento y determinar si están
relacionadas directamente con el flujo de procesos propuesto o su implementación.
Paso 4.3 Análisis de posibles causas
En este paso se analizarán que causas pueden estar provocando que la organización no haya
evolucionado positivamente en el planeamiento y organización de sus tecnologías de información.
El análisis puede arrojar problemas en la aplicación del flujo de procesos o en su diseño, en cuyo
caso se procederá al perfeccionamiento del mismo.
Este paso puede retornar a la etapa 2 del procedimiento para el rediseño del flujo de procesos en
función de las deficiencias detectadas en su diseño inicial y/o su implementación para lograr las
mejoras necesarias.
2.5 Acciones previas para la aplicación del procedimiento
• Conformación del equipo de trabajo
La primera acción consiste en la conformación del equipo de trabajo, el cual tendrá como función
la aplicación completa del procedimiento. Para ello deberán seleccionarse, como miembros del
equipo a, personal especialista de gestión de TI, miembros del proceso de TI de la OOE y
miembros en general de la organización. Además, los miembros del equipo llevarán a cabo las
tareas siguientes:
1) Organizar y dirigir la realización de cada etapa del procedimiento (Jefe del equipo)
2) Recopilar la información necesaria para realizar el diagnóstico.
3) Analizar y revisar detalladamente el marco referencial de COBIT para la especificación y
rediseño de los procesos.
4) Supervisar la implementación del flujo de procesos y,
5) Controlar el comportamiento de flujo en función de la mejora continua.
El tamaño del equipo estará en dependencia del tamaño de la OOE y de las capacidades y
experiencia de los miembros a seleccionar, pero siempre debe estar conformado por miembros
internos y miembros externos a la organización especialistas en la gestión de TI. También se
realizará, de ser necesaria, la capacitación del personal involucrado.
• Caracterización de la organización objeto de estudio
Otra acción importante es la caracterización de la organización objeto de estudio, que debe ir en

particular a apreciar el valor de las tecnologías de información para el logro de los objetivos de su
negocio, es decir identificar si las TI soportan los procesos de negocio de la organización.
46
Capítulo ІІ
2.6. Conclusiones parciales
1. El procedimiento se basa en la mejora continua del flujo de procesos, lo que lo caracteriza

como un procedimiento iterativo e incremental.
2. El procedimiento propuesto permite llevar a cabo un proceso complejo de manera

relativamente sencilla y rápida, organizando las actividades de planificación y organización
de TI en un modelo de procesos que permita que el proceso de TI logre sus objetivos y
proporcione la información que la empresa necesita acorde a sus características y
objetivos del negocio.
3. La etapa de análisis y especificación incluye la exploración y el diagnóstico sobre la

planificación y organización actual de las TI en la organización, así como el análisis de la
pertinencia y el nivel de madurez de cada proceso definido por COBIT, lo que permite
sentar las bases para el diseño adecuado del flujo de procesos.
47
Capítulo ІІI
CAPÍTULO ІІІ: APLICACIÓN DEL PROCEDIMIENTO EN LA FILIAL DE TECNOLOGÍA DE

INFORMACIÓN Y SOFTWARE DE LA EMPRESA DE TELECOMUNICACIONES DE CUBA.
Este capítulo contiene la aplicación del procedimiento elaborado para diseñar el flujo de procesos
de planificación y organización de tecnologías de la información basado en el marco de trabajo
COBIT, en la filial de Tecnología de la Información (FTI) de la Empresa de Telecomunicaciones de
Villa Clara Cuba. La aplicación del procedimiento se realiza hasta el primer paso de la etapa 3
debido al tiempo en que se enmarca la presentación de los resultados de esta investigación. Se
muestran los resultados del diagnóstico y el análisis de los problemas que afectan actualmente la
planificación y organización de TI en la filial, la determinación de los procesos requeridos en la filial,
así como el diseño del flujo de procesos. También se desarrolla la implementación del proceso de
planeación estratégica de TI.
3.1 Acciones previas a la aplicación del procedimiento
El equipo de trabajo para la aplicación del procedimiento quedó conformado de la forma siguiente:
• Tres especialistas en modelación de procesos COBIT.
• Sub-gerente de la filial FTI V.C.
• Un especialista del Grupo de Administración de Aplicaciones de la FTI V.C.
La caracterización de la organización objeto de estudio se muestra a continuación:
Caracterización General de EMPRESA DE TELECOMUNICACIONES
ETC, Empresa de Telecomunicaciones de Cuba sociedad anónima es considerada una de las

empresas más fuertes en el mercado cubano. Fundada como entidad mixta en agosto de 1994
como parte del amplio proyecto de reanimación económica llevada a cabo por parte del estado,
tiene como objeto social prestar los servicios públicos de telecomunicaciones, mediante la
operación, instalación, explotación, comercialización y mantenimiento de redes y los servicios
asociados en todo el territorio nacional, mediante la cartera siguiente:
• Servicio básico nacional e internacional.
• Servicio de conducción de señales nacionales e internacionales.
• Servicio de transmisión de datos nacionales e internacionales.
• Servicio de teles nacional e internacional.
• Servicio de cabinas telefónicas públicas.
• Servicio de telecomunicaciones de valor agregado.
• Servicio de radiocomunicación móvil.
48
Capítulo ІІI
Oferta sus servicios a la población, las organizaciones económicas, sociales, culturales y

científicas de carácter estatal, gubernamental o no, privado y mixto que lo requieran; tanto en el
territorio nacional como en el extranjero.
Su estructura (ver Anexo 3), para lograr su misión y visión se divide en tres niveles: corporativo,
operativo y direcciones territoriales (conocidas como gerencias territoriales). En el nivel operativo,
orientado y controlado por el corporativo, se encuentran las unidades de negocios y dentro de
ellas la de Tecnología de la Información (FTI).
En las direcciones territoriales se encuentran las filiales territoriales, células fundamentales de la

empresa siempre en constantes interacciones, 7 en total (Clientes, Red, Datos, Móvil, Servicios
Compartidos, Telefonía Pública y FTI), que a su vez son orientadas y controladas por el nivel
superior, en el caso de FTI. A FTI pertenece el grupo de Gestión y Administración de Aplicaciones
(GAA) cuya misión fundamental es la entrega y soporte de servicios TI en las direcciones
territoriales.
Las filiales, usuarios internos de FTI, tienen al menos una aplicación que soporta su proceso de
negocio gestionada por FTI y que determina en el funcionamiento de las direcciones, por tanto de
ETC.
En estos momentos, la empresa se encuentra en constante evolución enfrentando un cambio de

estructura orientada al cliente, como su eje fundamental, desarrollando el nivel de las
telecomunicaciones en la isla en coordinación e integrada a los planes de desarrollo y reanimación
de la economía que lleva a cabo el estado cubano.
Esta empresa ha recibido un fuerte impacto tecnológico producto de la inversión que fue necesario
hacer para desarrollar los servicios de telecomunicaciones y a su vez cambios estructurales. La
estructura organizacional conformada por unidades de negocio facilita la orientación de sus
colaboradores a la satisfacción del mercado y proporciona soluciones creativas a los problemas
mediante la utilización de una tecnología de avanzada y el compromiso de la calidad total, acorde
a los valores y principios de nuestra sociedad.
El nivel corporativo es el soporte del vértice empresarial, desarrolla las estrategias que permiten a
la organización crecer y prosperar, para la cual prevé, crea y orienta el cambio y logra el
compromiso competencial y costos eficaces de los recursos, generando una importante ventaja
competitiva que conduce al éxito de la organización. Este nivel está concebido para dirigir los
resultados especializados y económicos de la empresa, define los mecanismos, normativas e
instrumentos que regulan las relaciones y funcionamiento entre las unidades de negocio en el
ámbito empresarial.
49
Capítulo ІІI
Caracterización general de la EMPRESA DE TELECOMUNICACIONES Villa Clara

La empresa de telecomunicaciones Villa Clara se sustenta en la estructura organizativa que se
muestra en el Anexo 4.
Misión (Proyección Estratégica 2008-2010):

“Proporcionar a los usuarios y a toda la población, servicios que garanticen la satisfacción de sus
necesidades en materia de telecomunicaciones, respaldando los planes de desarrollo social y
económico que lleva a cabo el país, las tareas de la defensa y garantizando los resultados
económicos planeados”.
Visión (Proyección Estratégica 2008-2010):

“Somos una empresa de avanzada en constante transformación, con una alta cultura de servicio,
en función de satisfacer las necesidades de nuestros usuarios y de la población, la defensa y el
desarrollo socioeconómico del país”.
Filosofía Empresarial
La Filosofía de trabajo de la DT de ETC en Villa Clara para el próximo período estratégico se
sustenta en los siguientes principios:
• La satisfacción de las necesidades en materia de telecomunicaciones, priorizando los intereses

del territorio, los planes de desarrollo social, económico y la defensa.
• Combinación adecuada, armónica y oportuna de las decisiones que se adopten a nivel de

Dirección Territorial y las que se deleguen a otros niveles. Se le exige a cada nivel en función de
la autoridad otorgada, por lo que está presente tanto la responsabilidad individual como
colectiva.
• La comunicación permanente entre todos los niveles de la Dirección Territorial.
• Estructura organizativa flexible y dinámica, que garantice el control y la integración de todos los
procesos.
• Proceso de mejora continua haciendo uso de la gestión por programas, a través de la cual se
evalúan permanentemente los resultados, sobre la base del diagnóstico y el autocontrol, la
utilización oportuna de la información y la implementación de soluciones ágiles y viables a todos
los problemas que se detecten.
• Estrecha relación entre la administración, las organizaciones políticas y de masas, sobre la base
del respeto mutuo, la cooperación y el análisis colectivo.
• Implementación de la Gestión de Calidad y de la Dirección por Objetivos basada en valores.
50
Capítulo ІІI
• La administración eficiente de los recursos financieros, humanos y materiales, poniendo en

práctica los sistemas de control establecidos en virtud de la organización y la disciplina en la
Dirección Territorial.
• Cuadros y Dirigentes con una adecuada preparación política y profesional, cuya actuación se
base en sólidos valores éticos, el uso de métodos de dirección colectiva, el aprendizaje continuo
y el intercambio permanente con sus trabajadores.
• Estimulación de manera individual y colectiva a partir de los resultados y no de los esfuerzos, en

virtud del aporte real de cada cual a la Dirección Territorial.
• Clima de trabajo de transparencia, compromiso, cooperación y unidad entre todos los

trabajadores.
Valores Compartidos
1. Profesionalidad: Cada trabajador en su puesto debe cumplir con las actividades que le han
sido asignadas, asumiendo con responsabilidad y seriedad sus funciones, siendo exigente
consigo mismo y demostrando su capacidad para el puesto que desempeña, sin escatimar
sacrificios. Poner la excelencia como meta en el trabajo y no hacer la más mínima concesión
a la mediocridad, la falta de calidad o de rigor profesional.
2. Transparencia: Crear un ambiente de confianza en el actuar, con claridad en las

informaciones que trasmitimos, evitando rumores, tergiversaciones e imprecisiones en los
planteamientos, que creen confusiones o conflictos no deseados en los colectivos de trabajo.
3. Sentido de pertenencia: Sentirnos parte del colectivo de trabajo, de la Dirección Territorial y

de la Empresa, estando plenamente identificado con su razón de ser y sus valores. Ser
conscientes de que los logros de la Dirección Territorial dependen de lo que cada uno de
nosotros seamos capaces de hacer en el lugar que nos corresponde, convencidos de la
importancia social de nuestro trabajo y de nuestro compromiso con el desarrollo del país.
4. Cohesión: Unidad y la armonía necesarias entre nuestros trabajadores para alcanzar las
metas propuestas, llegando a conformar colectivos de trabajos integrados, comprometidos y
motivados. Es mantener un clima agradable, optimista, de colaboración y trabajo en equipo,
que favorezca el desarrollo conjunto de todas las áreas de la Dirección Territorial.
5. Cultura del servicio: Cada trabajador en su actuar, y a partir de sus conocimientos y

habilidades, debe brindar un servicio con calidad y que complazca a quien lo recibe, lo que
puede manifestarse en acciones como sonreír, agradecer, atender rápido, escuchar,
mantener una actitud positiva y resolver problemas; brindar toda la información necesaria y
orientar adecuadamente.
51
Capítulo ІІI
Áreas de Resultados Claves (ARC)
• ARC 1: Gestión Integral del Capital Humano.

• ARC 2: Gestión de la Calidad, Comunicación e Información.
• ARC 3: Gestión Comercial.
• ARC 4: Operación de la Red de Telecomunicaciones.
• ARC 5: Gestión Económico Financiera.
• ARC 6: Desarrollo de la Red de Telecomunicaciones.
• ARC 7: Aseguramiento Logístico.
• ARC 8: Control Interno.
Caracterización de FTI Villa Clara
Esta entidad surge en el 2001 y tiene como misión administrar, operar y proteger la red
corporativa territorial, los servidores y aplicaciones informáticas en correspondencia con las
estrategias de la empresa, garantizando la fiabilidad y las necesidades de información de las
distintas unidades organizativas, así como la disponibilidad técnica de los medios de cómputo.
Funciones y responsabilidades de la filial FTI.
Garantiza el cumplimiento de las políticas sobre seguridad informática emitidas por la Empresa.
Instalación y configuración de los equipos periféricos del territorio. Administración de las
plataformas informáticas en el territorio. Asistencia técnica a los usuarios. Garantiza la
confiabilidad de la información impidiendo su intervención. Elabora el presupuesto de
mantenimiento de estaciones de trabajo, sistemas periféricos y redes. Realiza el diseño y
programación de software en el territorio. Análisis, captación y procesamiento de la información
primaria para la facturación. Verifica el cierre de los maestros de facturación. Realiza el ensobrado
de la facturación. Realiza el mantenimiento preventivo y correctivo a las estaciones de software
del territorio.
La FTI Villa Clara se sustenta con la estructura organizativa mostrada en el Anexo 5.
3.2 Desarrollo del procedimiento
Etapa #1: Análisis y especificación
Paso1.1 Realización del diagnóstico de TI
En este paso se realizó una entrevista (Anexo 6) a trabajadores y directivos de la filial FTI que
permitió caracterizar la situación actual de la filial. A continuación se relaciona un resumen con los
principales aspectos identificados.
La Empresa de Telecomunicaciones de Cuba posee una potente infraestructura de TI incluyendo

redes LAN, intranet, gran cantidad de medios de cómputo que soportan el proceso de negocio de
52
Capítulo ІІI
la entidad a lo largo de todo el país, sin embargo las TI no son reconocidas como un área de
resultados claves de la organización.
Está definido un macroproceso de TI (ver figura 3.1), con los subprocesos que lo componen
(Soler, 2008). Estos son:
• Innovación, Planeamiento Estratégico y adquisición de TI.
• Planeación operativa de TI.
• Desarrollo de Soluciones de TI.
• Operación y Mantenimiento Sistemas e Infraestructura.
• Soporte a Usuarios.
Este macroproceso es poco conocido en las filiales de FTI del país, no implementándose
oficialmente. Desde principios del 2007 la filial FTI de Villa Clara ha venido realizando trabajos
para definir e implementar sus procesos de negocios basados en el macroproceso definido, como
resultado de lo cual se diseñó el modelo mostrado en el Anexo 7, que aún no es implementado. A
pesar de que se reconocen los intentos de la filial por definir y organizar sus procesos internos,
todavía no se ha definido cómo gestionar los recursos de TI y la prestación de servicios partiendo
de su planificación y organización.
53
Capítulo ІІI
Figura 3.1:Macroproceso de TI de EMPRESA DE TELECOMUNICACIONES. [Fuente

(Departamento, 2007)]
Capítulo ІІI
En la actualidad el plan estratégico de la FTI no se realiza teniendo en cuenta: los objetivos de

negocios de la empresa y su relación con los aspectos claves en que pueden las TI contribuir al
logro de estos objetivos, el estado actual de la empresa en materia de Información y Sistemas, la
Identificación de las necesidades operativas y de información, las oportunidades de aplicación de
la TI para mejorar las ventajas competitivas, el orden de ejecución de los proyectos contenidos en
el plan y los costos y beneficios resultantes de la implementación del plan.
Por otra parte, los recursos de TI que son utilizados en cada proceso de negocio de la DT de Villa
Clara no están identificados oficialmente por la FTI, por lo que no se administran de forma
efectiva y no se reconoce realmente cómo contribuyen al logro de los objetivos del negocio.
Los roles del personal de la FTI no están definidos, ni las características y competencias que
deben de tener estos para soportar el proceso TI. Se plantea que no son suficientes los
trabajadores en el área del taller para cumplir con los servicios que actualmente presta y en estos
momentos la plantilla está congelada.
FTI cuenta con el sistema ERP (Enterprise Resource Planning) SAP R/3 y se prevé incrementar el
nivel de digitalización de las funciones. En las condiciones de organización de trabajo actuales no
es posible enfrentar tal situación pues FTI debe garantizar el soporte a todas estas tecnologías.
Paso 1.2 Análisis de los problemas que afectan la planificación y organización de TI en la

organización.
Para listar los problemas principales a partir del diagnóstico realizado se aplicó primeramente la
técnica de Tormenta de Ideas, luego se empleo un diagrama causa efecto para reflejar las
relaciones entre ellos y por último se aplicó el método de expertos para darles orden de prioridad.
Los problemas listados fueron:
• No se encuentran las TI como un ARC siendo unas de las bases principales del soporte
del negocio de la empresa.
• No están identificados los recursos de TI que son utilizados en cada proceso de

negocio de la organización por lo que no se alcanza un uso óptimo de los mismos en
función de los objetivos del negocio. De igual forma no se registra qué está automatizado
en cada proceso.
• No están definidos los roles del personal de la FTI ni que características y

competencias deben de tener estos para soportar el proceso TI.
• Acción reactiva en la prestación de servicios debe ocurrir la interrupción para que se

resuelva, es decir, FTI está detrás del servicio, esperando a que un cliente le comunique
54
Capítulo ІІI
que algo ha dejado de funcionar o no realiza una tarea determinada. Es muy escaza la
planificación de la prestación de servicios.
• Mala planificación de las TI existen intentos aislados para la planificación de las TI, pero
no existe un consenso único para su planificación a nivel de las filiales FTI. Existe material
escrito al respecto en el macroproceso de TI. Los planes estratégicos de la unidad se
realizan para cumplir una política sin conocer realmente cuales son los lineamientos para
que las TI satisfagan los procesos de negocio y los servicios de la empresa alineados a
los objetivos estratégicos de esta.
• Existen problemas en la comunicación. No hay nada que establezca cómo comunicar

las estrategias o nuevas necesidades.
• No se aplican normas, modelos de referencia ni metodologías para establecer los

procesos de TI. Existe solo una guía para el desarrollo de proyecto de software (GPSW)
que abarca una parte del proceso TI. No hay un marco de trabajo para gestionar los
procesos de TI. No se registra información sobre los proyectos de software por lo que no
se puede comparar un proyecto nuevo con los anteriores y aprender de éstos.
• No existen indicadores que permitan evaluar y mejorar el desempeño del proceso TI.
Nacionalmente no hay indicadores establecidos para controlar el proceso. No hay nada
sobre registros de mantenimientos, atención a los clientes, tiempos, disponibilidad de
enlaces, aplicaciones. Generalmente no se cuenta con métricas sobre el desempeño
personal, del equipo, ni del proceso y no existen herramientas de apoyo para el registro de
éstas. No se sabe como los clientes ven el proceso TI, pues no existe orientación de hacer
estudios que permita obtener criterios de mejoras. No existen las facilidades para recoger
quejas y sugerencias perdiéndose una potencial fuente de mejoras.
El Anexo 8 muestra el diagrama causa efecto de los problemas listados
Para determinar las prioridades de los problemas se determinó el número necesario de expertos
con la expresión siguiente:
p * (1 − p ) * k
nE = (1)
i2
Donde:
nE: # de expertos a participar.
i : nivel de precisión deseado.
p: proporción estimada de errores de los expertos
k : constante cuyo valor está asociado al nivel de confianza elegido.

55
Capítulo ІІI
1 – α: nivel de confianza.
Tomando los valores siguientes:
i = 0.11
p = 0.01
k = 6.6564
α=0,01
1 – α = 0.99
Se sustituye en (1):
0.01 * (1 − 0.01) * 6.6564

nE =
0.112
n E = 5.446 ≈ 6 exp ertos
Luego se realiza una ponderación de los problemas listados, otorgándole un valor del 1 al 8,
asignándole 8 a la más importante, como se muestra en la tabla 3.1
Con el resultado de las ponderaciones, se procede a determinar la concordancia entre los

expertos utilizando el estadígrafo coeficiente de concordancia de Kendall:
12 * (∑ D 2 )
W= (2)
M 2 * (K 3 − K )
Donde:
M: Número de expertos.
K: Número de propiedades o índices a evaluar.
D: Desviación del valor medio de los juicios emitidos.
Valor que se determina mediante la fórmula siguiente:
∑ (a ) − T
m
D = ij (3)
j =1
Donde:
ai j: Juicio de importancia del índice i dado por el experto j.
T: Factor de comparación (valor medio de los rangos)
56
Capítulo ІІI
T = ½ * M * (K + 1 ) (4)
T = ½ * 6 * (7 + 1 ) = 24
Tabla 3.1: Ponderaciones establecidas por los expertos para cada uno de los problemas
[Fuente: Elaboración propia].
Criterio de los expertos

Características
2
1 2 3 4 5 6 ∑ aij D(3) D
No se encuentran las TI como 4 3 4 2 3 2 18 -6 36

un ARC
No están identificados los 4 5 3 3 2 2 19 -5 25

recursos de TI
No están definidos los roles 7 6 4 5 5 6 33 9 81

del personal de FTI
Acción reactiva en la 2 3 2 4 1 2 14 -10 100

prestación de servicios
Mala planificación de las TI 6 8 7 6 6 8 41 17 289
No se aplican normas,
modelos de referencia ni 3 4 3 2 2 2 16 -8 64
metodologías para establecer
los procesos de TI.
Existen problemas en la 3 3 2 2 1 3 14 -10 100

comunicación.
2
∑D 695
Luego:
D2 = 695
12 * (695)
W =
6 2 * (7 3 − 7)
W = 0.689
El índice de concordancia de Kendall, es de 0.689, se encuentra en el intervalo [0.5; 1] por lo que

se puede decir que existe concordancia entre los juicios emitidos por los expertos.
Para probar la significación del grado de concordancia de los expertos se aplica la prueba de
hipótesis siguiente:
57
Capítulo ІІI
H0: El juicio de los expertos no es consistente.
H1: El juicio de los expertos es consistente.
S = ∑ D2
S = 695
En este caso se procede a comparar el S calculado con el S de la tabla (Stab) que aparece en la
tabla de Friedman:
Stab = 118. 45, para 1% de significación.
R.C: S > Stab, se rechaza H0.
695 > 118.45, Se cumple la región crítica, se rechaza la hipótesis nula, por tanto el juicio de los
expertos es consistente.
Después de determinar la consistencia de los expertos en cuanto a los criterios brindados se pasa
a listar los problemas según las prioridades. Los resultados se muestran a continuación en la tabla
3.2.
Tabla 3.2: Orden de prioridad de los problemas [Fuente: Elaboración propia].
∑ aij Importancia
Prioridad Características
relativa
1 Mala planificación de las TI 41
No están definidos los roles del 33

2
personal de FTI
No están identificados los 19

3
recursos de TI
No se encuentran las TI como 18

4
un ARC
No se aplican normas, modelos

de referencia ni metodologías 16
5
para establecer los procesos de
TI.
Acción reactiva en la prestación 14

6
de servicios
Existen problemas en la 14
7
comunicación.
58
Capítulo ІІI
Como se puede apreciar en la tabla, según los expertos, el principal problema de la filial es la
mala planificación de las TI, seguido por la falta de definición de los roles del personal de TI.
Paso 1.3. Determinación de los procesos requeridos para la planificación y organización de

las tecnologías de información alineadas a los objetivos del negocio de la OOE
En este punto se desarrolla un análisis para determinar los procesos requeridos para la
planificación y organización de las TI en la filial de FTI. Para realizar este análisis se utiliza el
método descrito en el capítulo anterior:
Paso 1) Se dividieron los objetivos que responden a la misión de la filial en requerimientos más
pequeños para relacionarlos con los procesos definidos por COBIT. Estos requerimientos parten
de las funciones que tiene la filial en el mapa de responsabilidades de ETC.
• Cumplir con las políticas sobre seguridad informática.
• Administrar las plataformas informáticas.
• Garantizar la confiabilidad de la información.
• Asistir técnicamente a los usuarios.
• Diseñar y programar software.
Paso 2) La Tabla 3.3 muestra la matriz de relación.
Paso 3) Definir la relación:
La relación es 1 a N (cuando un requerimiento se relaciona con más de un proceso). Cada

requerimiento se relaciona con 2 o más procesos y todos los procesos excepto PO5 se relaciona
al menos con un requerimiento. En el caso del proceso PO5 no procede a nivel de la unidad de
FTI ya que las inversiones son administradas por la dirección territorial.
Paso 4) Definir los procesos requeridos:
Los procesos que plantea COBIT relacionados con la planificación y organización de los recursos
de TI cubren los requerimientos planteados, por tanto, exceptuando PO5 son requeridos en la filial
de FTI y no es necesario definir otro proceso adicional.
Paso 1.4. Determinación del nivel de madurez de administración de cada proceso
En este paso se realizó la aplicación de los cuestionarios de madurez para cada proceso
requerido en la filial. En la tabla 3.4 se muestra la relación entre los procesos y los resultados del
diagnóstico realizado; y en el Anexo 9 la definición de cada nivel de madurez por proceso. Se
puede apreciar que la mayoría de los procesos se encuentran en un nivel inicial o ad hoc o sea
que existe alguna evidencia de que la empresa ha reconocido que los problemas existen y
requieren ser resueltos, sin embargo, no existen procesos estándar, en su lugar existen procesos
59
Capítulo ІІI
ad hoc que tienden a ser aplicados de forma individual. No existe una administración adecuada de
los procesos de Planificación y Organización de TI.
Tabla 3.3: Matriz de relación. [Fuente: Elaboración propia]
Procesos de Planificación y Organización de COBIT

Requerimientos
PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10
Cumplimiento de
las políticas sobre X X X X X X
seguridad
informática
Administración de
las plataformas X X X X X X X
informáticas.
Garantiza la
confiabilidad de la X X X X X
información
Asistencia técnica X X X
a los usuarios
Diseño y
programación de X X X X X X
software
Etapa #2: Diseño del “flujo de procesos” de planificación y organización de tecnologías de

información
Paso 2.1 Rediseño de los procesos

En este paso se redefinen los procesos para adaptarlos a las características de la FTI de Villa
Clara.
60
Capítulo ІІI
Tabla 3.4: Diagnóstico de los procesos definidos por COBIT en la filial de FTI V.C. [Fuente:
Elaboración propia].
Código Diagnóstico
En la filial la planeación estratégica se realiza para cumplir con alguna
PO1 formalidad de la empresa, en la mayoría de los casos se inventa, no se cuenta
con una metodología que permita realizar la planeación.
Existen algunas indicaciones sobre la arquitectura de la información pero esta

PO2
desactualizado.
PO3 No existe nada legislado acerca de la dirección tecnológica de la filial.

En la filial se vienen haciendo una serie de trabajos que tributan a la
PO4
organización del procesos de TI desde el 2007 aunque la filial reacciona
todavía de forma reactiva a nivel operativo.
No está definida una política para comunicar las aspiraciones a la dirección de
PO6
la filial. Sus directivos reconocen la necesidad de comunicar las estrategias,
lineamientos y metas.
No existe un proceso de selección consistente que permita elegir a la persona
correcta para el puesto, que posea las características idóneas. Los
profesiogramas están desactualizados. Se evalúa con carácter anual
PO7
evidenciándose falta de objetividad en la apreciación del trabajo de los
especialistas, al no poseer los mecanismos para detectar la magnitud del
trabajo desarrollado y contar con modelos de evaluación únicos para todo el
personal de la empresa.
PO8
No está implementada una política sólida de Gestión de Calidad en la filial.
PO9 Existe una metodología para los riesgos pero poca usada, no esta definido el
proceso que la utilice con el fin de identificar, evaluar y mitigar los riesgos.
Existe la GPSW (Guía para el desarrollo de Proyecto de Software) que solo
abarca una parte del proceso TI y se basa además en una metodología para
PO10
proyectos grandes y complejos, nada ágil. Generalmente no se cuentan con
métricas sobre el desempeño personal, del equipo, ni del proceso y no existen
herramientas de apoyo para el registro de éstas.
Se adecuaron algunos términos definidos en los procesos de COBIT para asegurar su factibilidad
y el entendimiento del personal. Las actividades fueron revisadas y se definieron los indicadores
para cada proceso.
Para la ejecución de este paso se realizaron las acciones siguientes:
• Ejecución del modelado as-is y análisis de as-is (definición y análisis del estatus actual de la
FTI en VC, diagnóstico)
- Se realizó el modelado as-is que no es más que la modelación del proceso actual tal como
se ejecuta en la filial, ya sea de manera formal o informal, y su transposición al lenguaje
64
Capítulo ІІI
gráfico. Esto permitió un mejor entendimiento de los procesos que se llevan a cabo,
analizando los problemas que arrojó el diagnóstico.
• Ejecución del modelados to-be y Optimización del Proceso (considerando los objetivos a
alcanzar y las dificultades detectadas se definirán los procesos)
- El modelado to-be se basó fundamentalmente en el análisis del modelo as-is y en las

debilidades detectadas en el diagnóstico y tiene como objetivo definir el “cómo serán” los
procesos de planificación y organización de las TI en la filial.
Las actividades que se definieron por cada proceso se muestran a continuación y en los anexos
correspondientes se refleja la estructura completa que fue redefinida para cada uno de ellos:
1. Planeación estratégica de TI (P1).(ver Anexo 10)
• Alineación de TI con el negocio
• Evaluación del desempeño actual
• Elaborar Plan estratégico de TI
• Elaborar planes tácticos de TI
2. Selección de la Arquitectura de TI (P2). (ver Anexo 11)
• Selección del modelo de arquitectura de información empresarial
• Selección del esquema de clasificación de datos
• Administración de la integridad
3. Dirección tecnológica (P3). (ver Anexo 12)
• Planeación de la dirección tecnológica
• Planeación de infraestructura tecnológica
• Monitoreo de tendencias y regulaciones futuras
• Revisión de Estándares tecnológicos
4. Definir procesos, organización y relaciones de TI (P4). (ver Anexo 13)
• Crear comité directivo de TI
• Establecer una estructura organizacional
• Definir roles y responsabilidades
• Relaciones
5. Comunicación de las aspiraciones (P5). (ver Anexo 14)
65
Capítulo ІІI
• Administración de políticas para TI.
• Implantación de políticas de TI.
• Comunicación de los objetivos y la dirección de TI.
6. Gestión de los recursos humanos de TI (P6). (ver Anexo 15)
• Reclutamiento y Retención del Personal.
• Gestión de competencias del personal.
• Asignación de roles.
• Entrenamiento del personal de TI.
• Dependencia sobre los individuos.
• Evaluación del desempeño del empleado.
• Cambios y terminación de trabajo.
7. Gestión de la calidad de TI (P7). (ver Anexo 16)
• Identificar estándares y prácticas de calidad.
• Selección de estándares de desarrollo y de adquisición.
• Enfocar la calidad al cliente.
• Mejora continua.
• Medición, monitoreo y revisión de la calidad.
8. Administración los riesgos de TI (P8). (ver Anexo 17)
• Identificación de eventos
• Evaluación de riesgos
• Respuesta a los riesgos
• Mantenimiento y monitoreo de un plan de acción de riesgos
9. Administración de proyectos (P9). (ver Anexo 18)
• Enfoque de administración de proyectos
• Lograr el compromiso de los interesados
• Estatuto de alcance del proyecto
• Plan integrado del proyecto
• Recursos del proyecto

66
Capítulo ІІI
• Administración de riesgos del proyecto
• Control de cambios del proyecto
• Medición del desempeño, reportes y monitoreo del proyecto
• Cierre del proyecto
• Cierre del proyecto
Las metas y métricas tanto de las actividades, como de los procesos y de TI, definidas fueron
adecuadas al entorno de la FTI.
Los nuevos procesos aunque se hayan hecho con un enfoque de mejoramiento requerirán la
introducción de algunos cambios estructurales que permitan la ejecución de los mismos de manera
optimizada. Esto por supuesto, va más allá de una pura secuencia de funciones, es necesaria la
distribución equitativa y lógica de las tareas. Es muy importante determinar vínculos y nexos
organizacionales que no impidan la adecuada ejecución de los procesos, no pueden entrar en
discordia los intereses del jefe con los intereses del proceso.
Paso 2.2 Diseño del flujo de procesos
Después de haber redefinido los procesos pertinentes en la filial se realizó una propuesta de cómo
quedaría el flujo de procesos de planificación y organización para la FTI (ver figura 3.2).
Paso 2.3 Evaluación y aprobación del flujo de procesos
El flujo de procesos propuesto fue sometido a evaluación y aprobación de la dirección de la filial y

otros miembros relacionados con su implementación, donde se analizaron las relaciones entre los
procesos, las actividades, las metas y los indicadores propuestos o sea se realizó un análisis
integral del flujo de procesos y se propusieron las modificaciones siguientes:
Se eliminaron las actividades siguientes:
• Ubicación organizacional de la función de TI (P4). Esta actividad se encuentra por encima de la

administración de la filial no le corresponde a ella ubicar a la función de TI dentro de la
estructura organizacional general con un modelo de negocios dentro de la empresa, en
especial en función de que tan crítica es para la estrategia del negocio.
• Administración de Políticas de TI (P5). La filial no es la encargada de elaborar y dar

mantenimiento a un conjunto de políticas que apoyen la estrategia de TI de la empresa. La
filial debe de cumplir con estas políticas pero a nivel nacional son los encargados de
administrar las políticas.
67
Capítulo ІІI
Paso 2.4 Rediseño de acuerdo a la evaluación realizada
Se realizaron las modificaciones señaladas y nuevamente se procedió a su evaluación, siendo

aprobado definitivamente para su implementación inicial.
Etapa #3: Implementación y prueba
Paso 3.1 Prueba del proceso primario del flujo de procesos
El proceso primario seleccionado fue P1: como se puede apreciar en el flujo es el proceso
primario pues todos dependen de el, sus salidas involucran a todos los procesos definidos.
Desarrollo de la implementación
Para implementar el proceso se realizaron las actividades especificadas:
Definir plan estratégico de TI: para esta actividad se establece utilizar la Metodología del
Ministerio de Educación Superior para la planificación estratégica (MES DPO & PE, 2005) junto
con el modelo de planeamiento dado por (Lardent, 2001).
Según Metodología del Ministerio de Educación Superior se plantea que la planeación

estratégica consta de ocho elementos fundamentales:
1. Misión
2. Visión
3. Valores Compartidos
4. Escenarios
5. Diagnóstico Estratégico a basa de: Amenazas, Oportunidades, Fortalezas, Debilidades.
6. Áreas de Resultados Claves
7. Factores Claves de Éxito.
8. Objetivos Estratégicos.
El modelo propuesto por Lardent en la figura 3.3 sugiere una evaluación interna de la FTI,
identificando las debilidades y fortalezas relacionadas con el ámbito interno y las amenazas y
oportunidades relacionadas con el ámbito externo.
Misión:
“Administrar, operar y proteger la red corporativa territorial, los servidores y aplicaciones

informáticas en correspondencia con las estrategias de la empresa, garantizando la fiabilidad y las
necesidades de información de las distintas unidades organizativas, así como la disponibilidad
técnica de los medios de cómputo”.
68
Capítulo ІІI
Figura 3.2: Flujo de procesos de planificación y organización de TI propuesto. [Fuente:

Capítulo ІІI
Figura 3.3: Modelo de planeamiento. [Fuente: (Lardent, 2001)]
Visión:
“Somos una entidad con un alto nivel, que brinda servicios de TI alineados con los objetivos
estratégicos de la empresa según los estándares internacionales, gestionamos los recursos de las
tecnologías informáticas y la seguridad informática en función de satisfacer a los usuarios internos
y soportar los procesos de negocio.
Valores Compartidos:
Los valores compartidos son enunciados esenciales, profundamente creíbles y están formados
por aquellos valores básicos que deben guiar e inspirar las conductas cotidianas de todos en la
filial. Deben servir como mecanismo de autocontrol y cauce estratégico de los procesos cotidianos
que se realizan en cada organización para la puesta en marcha de la Misión y la Visión. (MES
DPO & PE, 2005)
A nivel nacional se han definido los valores compartidos de ETC:
68
Capítulo ІІI
1. Compromiso con la Revolución y la defensa de la Patria.
2. Profesionalidad.
3. Transparencia.
4. Sentido de pertenencia.
5. Cohesión.
6. Cultura del servicio.
Diagnóstico Estratégico:
Confección de la matriz DAFO
Para la confección de la matriz DAFO, se utilizó una técnica de trabajo en grupo Tormenta de
Ideas, con expertos de la organización. Se trabajó con el número de expertos calculado en el paso
1.2
A partir del criterio de los expertos, se precisó la situación de la filial FTI en relación con las
Amenazas y Oportunidades (ámbito externo) y de las Fortalezas y Debilidades (ámbito interno).
Amenazas:
La situación financiera de la empresa.

La inestabilidad en el mercado de proveedores de recursos.
El cambio estructural de la empresa.
La baja cultura empresarial relacionada con las TI.
Oportunidades:
Reconocimiento de la importancia de los procesos de TI.

Alta demanda de servicios TI.
Tendencia mundial a la gestión de las TI.
Surgimiento y desarrollo de metodologías y buenas prácticas para la gestión de TI.
Fortalezas:
El reconocimiento en la filial de la importancia del proceso TI.

La introducción de la gestión por procesos.
La competencia del personal involucrado en el proceso TI de la filial.
El compromiso de dirección de la filial en relación con el proceso TI.
Debilidades:
Mala planificación de las TI.

No están definidos los roles del personal.
No están identificados los recursos de TI.
69
Capítulo ІІI
Escaso registro de las informaciones relativas al proceso TI.
Para determinar si es o no confiable el juicio emitido por los expertos se utiliza el coeficiente de
concordancia de Kendall. A continuación se muestra este análisis sólo para las Amenazas, para
las Oportunidades, Debilidades y Fortalezas se muestra en el Anexo 19, ya que se hace de la
misma forma.
Se realizó una ponderación de las amenazas, otorgándole un valor del 1 al 4, asignándole 4 a la

más importante, como se muestra en la tabla 3.5.
Tabla 3.5: Ponderaciones establecidas por los expertos para cada una de las Amenazas

Características
2
1 2 3 4 5 6 ∑ aij D D
La situación financiera de la 1 1 2 1 1 3 9 -6 36
empresa.
La inestabilidad en el mercado 2 1 2 2 1 2 10 -5 25
de proveedores de recursos.
La baja cultura empresarial 4 4 4 3 4 4 23 8 62

relacionada con las TI.
El cambio estructural de la 3 4 3 3 2 3 18 3 9
empresa.
2
∑D 132
Con el resultado de las ponderaciones, se procede a determinar la concordancia, utilizando el

estadígrafo W de la formula (2):
T = ½ * M * (K + 1 ) = 15
12 * (132)
W =
6 2 * ( 4 3 − 4)
W = 0.733
El índice de concordancia de Kendall, es de 0.733, se encuentra en el intervalo [0.5; 1] por lo que

se puede decir que existe concordancia entre los juicios emitidos por los expertos.
70
Capítulo ІІI
Para probar la significación del grado de concordancia de los expertos se aplica la prueba de
hipótesis siguiente:
S = ∑ D2
S = 132
En este caso se procede a comparar el S calculado con el S de la tabla (Stab) que aparece en la
tabla de Friedman:
Stab = 118. 45, para 1% de significación.
R.C: S > Stab, se rechaza H0.
132 > 118.45, Se cumple la región crítica, se rechaza la hipótesis nula, por tanto el juicio de los
expertos es consistente.
La matriz de impactos cruzados DAFO quedó conformada como se muestra en el Anexo 20, la filial
se encuentra en el cuadrante defensivo ya que las debilidades que presenta no le permiten
aprovechar las oportunidades que brinda el ámbito externo, la filial es débil pero con oportunidades,
por lo que debe trazarse estrategias de mantenimiento o estabilización.
Por lo que es necesario dirigir la planeación partiendo de una estrategia ofensiva, donde se utilicen
las fortalezas para aprovechar las oportunidades del entorno
Áreas de Resultados Claves (ARC):

Las áreas de resultados claves de la filial fueron definidas de manera siguiente:
• ARC 1-: Gestión Integral de los recursos de TI.
• ARC 2-: Gestión de la Calidad del proceso y los servicios de TI.
• ARC 3: Seguridad informática.
• ARC 4: Gestión del usuario final.
• ARC 5: Gestión de proyectos de Software.
Objetivos Estratégicos.
El rol principal que juegan los objetivos en el proceso estratégico es servir de enlace o vínculo
entre planeación y ejecución, concretando las categorías estratégicas básicas en resultados
específicos a alcanzar por la organización. La misión y la visión deben complementarse con un
71
Capítulo ІІI
sistema de objetivos que dan consistencia a la orientación general que marcan aquellas y sirvan
de guía para las acciones. Con ello, los objetivos estratégicos contribuyen a facilitar el proceso de
Dirección Estratégica, precisando las metas que se requieren alcanzar para lograr el estado
deseado futuro. (MES DPO & PE, 2005)
Se definieron los siguientes objetivos estratégicos generales los cuales responden a las ARC
definidas:
ARC 1-: Gestión Integral de los recursos de TI.
1.1. Rediseñar las redes informáticas de ETC, que garanticen disponer en breve plazo de
tiempo de una infraestructura que asegure los altos niveles de vitalidad, seguridad e
invulnerabilidad, así como el desarrollo futuro de un proceso de expansión.
1.2. Proporcionar plataformas adecuadas para las aplicaciones, de acuerdo con la arquitectura
definida de TI y los estándares de tecnología. Dar mantenimiento a la infraestructura de
TI.
1.3. Optimizar el desempeño de la infraestructura y las capacidades de TI en respuesta a las

necesidades del negocio, y llevar registro de los activos de TI.
1.4. Contar con personas competentes y motivadas para crear y entregar servicios de TI.
ARC 2-: Gestión de la Calidad del proceso y los servicios de TI.
2.1. Asegurar la alineación de los servicios claves de TI con la estrategia del la DT.
2.2. Traducir los requerimientos funcionales a un diseño efectivo y eficiente de soluciones
automatizadas.
2.3. Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio,
mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y
en la solución.
2.4. Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y
niveles de servicio, y de forma transparente integrar las soluciones de aplicación y
tecnología dentro de los procesos del negocio.
ARC 3: Seguridad informática.
3.1. Obtener una información precisa y oportuna sobre los servicios de TI actuales y futuros,
los riesgos asociados y las responsabilidades.
3.2. Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir
y recuperase de errores y fallas.
3.3. Garantizar la Seguridad informática de las redes y aplicaciones.
72
Capítulo ІІI
3.4. Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI.
3.5. Mantener la integridad de la información y de la infraestructura de procesamiento y
minimizar el impacto de las vulnerabilidades e incidentes de seguridad.
ARC 4: Gestión del usuario final.
4.1. Usar de forma efectiva y eficiente de soluciones y aplicaciones tecnológicas y el

cumplimiento del usuario con las políticas y procedimientos.
4.2. Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles
de servicio, reducir los defectos en la prestación de los servicios y de las soluciones.
ARC 5: Gestión de proyectos de Software.
5.1. Entregar resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad

acordados.
Definir planes tácticos de TI: es la traducción de la planeación estratégica a planes reales
donde se definen las acciones para alcanzar los objetivos estratégicos.
Plan táctico:
ARC 1-: Gestión Integral de los recursos de TI.
1.1. Reorganizar la operación de nuestras redes actuales, logrando una administración y

gestión más eficiente de los recursos con que contamos. Documentar toda la gestión y la
Red Corporativa.
• Responsable: Grupo de Gestión de Aplicaciones
• Fecha: Septiembre.
1.2. Establecer un plan de adquisición de tecnología que se alinea con el plan de

infraestructura tecnológica, la planeación de mantenimiento de la infraestructura, la
implantación de medidas de control interno y seguridad.
• Responsable: Subgerente de la FTI
• Fecha: Abril
1.3. Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de
servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeño
y capacidad de TI a través del monitoreo y la medición.
• Responsable: Subgerente de la FTI.
• Fecha: Desde enero
73
Capítulo ІІI
1.4. Realizar la contratación y entrenamiento del personal, la motivación por medio de planes
de carrera claros, la asignación de roles que correspondan a las habilidades, el
establecimiento de procesos de revisión definidos, la creación de descripción de puestos y
el aseguramiento de la conciencia de la dependencia sobre los individuos.
• Fecha: Cuando descongelen la plantilla de la filial.
ARC 2-: Gestión de la Calidad del proceso y los servicios de TI.
2.1. Identificar los requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo

del cumplimiento de los niveles de servicio.
• Fecha: Marzo.
2.2. Identificar las soluciones técnicamente factibles y rentables, realizar estudios de

factibilidad y aprobar (o rechazar) los requerimientos y los resultados de los estudios de
factibilidad.
• Fecha: Todo el año.
2.3. Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la

infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se
deben a especificaciones incompletas de la solicitud.
2.4. Proporcionar manuales de usuario y de operación y materiales de entrenamiento para

transferir el conocimiento necesario para la operación y el uso exitosos del sistema.
• Responsable: Especialista del GAA.
• Fecha: Febrero.
ARC 3: Seguridad informática.
3.1. Publicar políticas, procedimientos, regulaciones legales y otra documentación aprobada,

de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control
de TI a los interesados.
• Fecha: Febrero.
74
Capítulo ІІI
3.2. Cumplir con los niveles operativos de servicio para procesamiento de datos programado,
protección de datos de salida y monitoreo y mantenimiento de la infraestructura.
• Responsable: Administrador de la red.
3.3. Garantizar la continuidad del servicio de TI, desarrollar, mantener y probar planes de
continuidad de TI, almacenar respaldos fuera de la instalación y entrenar de forma
periódica sobre los planes de continuidad que minimicen la probabilidad y el impacto de
interrupciones mayores en los servicios de TI.
• Fecha: Enero.
3.4. Publicar los, procedimientos y estándares de seguridad de TI y el monitoreo, detección,

reporte y resolución de las vulnerabilidades e incidentes de seguridad.
• Responsable: Jefe del GAA.
• Fecha: Trimestralmente.
ARC 4: Gestión del usuario final.
4.1. Determinar necesidades de entrenamiento de los usuarios de TI, la ejecución de un plan

de entrenamiento y la medición de resultados.
• Fecha: Febrero.
4.2. Registrar, rastrear y resolver problemas operativos; investigación de las causas raíz de
todos los problemas relevantes y definir soluciones para los problemas operativos
identificados.
• Responsable: Administrador de la red.
ARC 5: Gestión de proyectos de Software.
5.1. Implantar una aplicación que permita perfeccionamiento del sistema de control e
información en tiempo real que permita conocer el estado de avance de cada proyecto,
así como la toma de decisiones y acciones correctivas en el momento oportuno.
• Responsable: Jefe de GAA
• Fecha: Agosto
75
Capítulo ІІI
Resultado de la implementación
Luego de implementar el proceso de planeación estratégica en la filial donde se realizaron las

actividades definidas en el mismo. Se procede a realizar una evaluación inicial del
comportamiento del proceso según el modelo de madurez definido por COBIT. Se puede afirmar
que el P1 pasó de un nivel de madurez 1 ó inicial/ad hoc donde la planeación estratégica era
desorganizada a un nivel 3 ó de proceso definido, se define cómo y cuando realizar la planeación
estratégica de TI, proceso que garantiza que es factible realizar una planeación adecuada. Sin
embrago, no existen procedimientos para analizar el proceso, ni aún cómo los cada uno de los
requisitos de negocio se traducen en ofertas de servicio. Otro aspecto importante es que no se ha
definido claramente el portafolio de proyectos de sistemas de información que respondan a los
factores críticos de éxito de la empresa ni el portafolio de servicios de TI y por tanto no se
contribuye a su gestión.
Con la implementación del proceso primario se logra determinar la traducción de los planes
estratégicos en planes tácticos los que posteriormente se convertirán en operativos, permite el
desarrollo de estrategias para otorgar los servicios de una forma transparente. El entendimiento
de las capacidades actuales de TI.
El proceso de planeación estratégica de TI define cómo realizar la planeación estratégica de TI,
siguiendo un enfoque estructurado, el cual se documenta y se da a conocer a toda la filial. El
proceso garantiza realizar una planeación adecuada. La planeación estratégica de TI se discute
en reuniones de la dirección del negocio.
Para que la TI se convierta en un activo estratégico en la organización, es de vital importancia
medir el progreso realizado en la construcción de una infraestructura. De esta forma conseguimos
que la actitud de TI frente al negocio pase de ser meramente reactiva a ser proactiva,
anticipándose a las necesidades de la empresa.
3.3 Conclusiones parciales
1. La aplicación práctica del procedimiento evidenció que la planificación actual de las TI en la

FTI es deficiente, siendo generalmente reactiva la acción en la prestación de servicios.
2. En la FTI los procesos de COBIT fueron suficientes para satisfacer los requerimientos de la
organización, siendo eliminado el proceso de administrar la inversión de TI (PO5) por no ser
pertinente bajo las condiciones de la entidad.
3. La adaptación de los procesos a las condiciones de la FTI de la Empresa de

Telecomunicaciones, realizada en la etapa de rediseño, estuvo principalmente dada por la
descripción de los procesos, redefinición de actividades, entradas y salidas y las metas y
métricas de TI.
76
Capítulo ІІI
4. La implementación del proceso de planeación estratégica de TI permitió mejorar la

planificación estratégica/táctica de la filial, logrando llevar el proceso de un nivel 1 ó
inicial/ad hoc a un nivel 3 ó de proceso definido.
77
Bibliografía
CONCLUSIONES GENERALES:
1. El estudio bibliográfico realizado para la construcción del marco teórico - referencial de la

investigación confirma la existencia de una creciente base teórica conceptual sobre la
gestión de las TI. Sin embargo en la componente metodológica son escasos los
procedimientos que permitan dotar a las empresas de una guía para hacer uso de estas
mejores prácticas. Por lo cual el problema científico formulado se considera de actualidad y
pertinencia.
2. El análisis de la situación problémica que fundamentó esta investigación demostró la

necesidad de desarrollar un procedimiento para diseñar el flujo de procesos para la
planificación y organización de las TI en FTI.
3. La aplicación del procedimiento para diseñar el flujo de procesos para la planificación y

organización de las TI en ETC V.C, permitió la determinación de los problemas que afectan
la gestión de las TI, así como el diseño y modelación de un flujo de procesos basado en el
marco de trabajo de COBIT, contribuyendo a mejorar el desempeño de la filial en la gestión
de sus TI.
4. La aplicación del diagnóstico de la etapa de Análisis y Especificación del procedimiento,

reveló que la planificación actual de las TI en la FTI V.C es deficiente siendo muy bajo el
nivel de madurez de sus procesos; además los principales problemas que la afectan la son
la mala planificación de las TI y la falta de definición de los roles del personal.
5. La implementación del proceso primario del flujo de procesos diseñado, permitió contribuir
a elevar el nivel de la planeación estratégica de las TI, de la filial FTI a través de la
implementación de un plan estratégico de TI que refleja el uso de las tecnologías de
información alineadas con los objetivos del negocio de la dirección territorial de
Telecomunicaciones.
78
Bibliografía
BIBLIOGRAFÍA
1. Akker, R., & Bos, S. (2006). ISO/IEC 20000: Guía de Bolsillo. Van Haren Publishing.
2. Alan Calder, S. (2006). Watkins International IT Governance: An Executive Guide to ISO

17799/27001. Kogan Page Limited.
3. Álvarez, R. (2007). ISO 20000: ¿Qué és? BMC Publishing.
4. Bentley, C. (2005). Practical PRINCE2. The Stationary Office.
5. Berea, D. C. (2006). Gestión de Servicios de TI: ITIL e ISO 20000. ITE Caixa Galicia.
6. Brand, K., & Boonen, H. (2004). IT Gorvernance: A Pocket Guide based on COBIT. The
Stationery Office.
7. Carbajal, E. (2003). ¿Qué és importante?: Establecimiento de las Áreas de Resultado

Clave.
8. Champlain, J. (2003). Auditing. Information Systems. . Jonh Wiley and Sons.
9. COBIT4.0. (2006). Sitio de ISACA DIsponible en http://www.isaca.org/cobit.htm.
10. Colectivo, d. a. (2005). Alining COBIT, ITIL an ISO 17799 for Business Benefit. Disponible
en: http://www.itgi.org.
11. Departamento, d. O. (2007). Mapa de procesos de ETC. Disponible en

http://www.dopc.ETC.cu.
12. Finquelievich, S. (2005). Las TIC en el desarrollo social y económico de las naciones
emergentes. La cooperación Sur – Sur: India – MERCOSUR. Disponible en:
www.links.org.ar/infoteca/barcelona2004.ppt.
13. Gobierno TIC. (2008). Las 15 grandes carencias de ITIL. Disponible en:
http://www.gobiernotic.es.
14. Gerencia de Desarrollo Organizacional. (2007). Mapa de Responsabilidades de ETC.
15. Howard, D. T. (2004). The Six Sigma Path to Leadership:Observation from de Trenches.
American Society for Quality.
16. ISO 17799. (2005). Tecnología de Información-Técnicas de Seguridad-Código para la

Práctica de la Gestion de la Seguridad de la Información (2da Edición ed.). Disponible en:
http://www.ISO17799.es.
17. ISO 27001. (2007). Introduction to ISO 27001. Disponible en: http://www.27001-
online.com/.
18. IT Governance. (2008). IT Management Frameworks. Disponible en:

http://www.itgovernance.co.uk/frameworks.aspx.
19. ITIL. (2006). Disponible en: http://www.itil.co.uk.
79
Bibliografía
20. itSMF. (2005). Metodologías y marcos de referencia en Gestión de Servicios de TI.

Argentina: Disponible en: http://www.itsmf-argentina.com.ar.
21. Kaplan, R., & Norton, D. (2000). The Balanced Scorecard. Norton Harvard Business School
Press.
22. Martínez, R. R. (2001). Balanced Scorecard- Sistema de comunicación, control y

aprendizaje estratégico. Disponible en: http://www.areath.com.
23. MES DPO (2005). Elementos metodológicos y conceptuales básicos para el proceso de
diseño, implementación y control de la planificación estratégica y la dirección por objetivos.
24. Narbona 1, M. S. (2006). Cuadro de Mando Integral para la Gestión de TI de

Administración Electrónica. Sevilla: Comunicación 332. Tecnim@ap.
25. Narbona 2, S. M. (2006). Cómo construir un sistema de gestión de las tecnologías de la

información (SGTI). Sevilla: Comunicacion 333. Tecnim@ap.
26. Narbona, M. S. (2005). Organización de los centros TI para la administración electrónica

en la junta Andalucia. Sevilla: Comunicación 041. Tecnim@ap.
27. network-sec. (2008). La necesidad del cambio de rol en TI. Disponible en:
http://www.network-sec.com/gobierno_TI/cambio_de_rol_en_ti.
28. Otros. (2006). Otros estándares. Dsiponible en: Http://www.iso 27000.es.
29. Pathak, J. (2005). Information Technology Auditing: An Evolving Agenda. Springer.
30. Planas, I. G. (2005). "Insatisfacciones, logros y proyectos". Habana: Punto cu. Mensuario
de Informática y Comunicaciones, Número 28.
31. Project Management Institute. (2004). A Guide to the Project Management Body of
Knolegde (PMBOK guide) (Third Edition ed.). Project Management Institute.
32. Reyes, G. R. (2006). Panorama general de la Administración de Servicios ITIL. Disponible

en: http://www.pinkelephant.com.
33. Rudd, C. (2004). An Introductory Overview of ITIL. itSMF Ltd.
34. Seguinfo. (2007). ISO 20000 y la gestión de servicios TI. Disponible en:
http://seguinfo.wordpress.com.
35. Soler, G. (2008). Propuesta de Implementación del Proceso TI con alcance al Dominio
Soporte y Entrega de Servicios. Ciudad Habana: Tesis para optar por el Título de Master
en Informática Aplicada.
36. Stationery Office Books. (2004). Introduction to ITIL. The Stationery Office.
37. Sudhanshu, K. (2004). Practical Guide to Security Assessments. CRC Press.
38. Turbitt, K. (2007). ISO 20000: ¿Qué deben hacer las organizaciones? Disponible en:
http://www.bsi-global.com/ICT/service.
80
Bibliografía
39. Van Grembergen, W. (2007). The Balanced Scorecard and IT Governace. Information
Systems Control Journal.
40. Vernon, L. (2002). Planning to Implement Service Managment. The Stationery Oficce.
41. Wikipedia Enciclopedia Libre. (2008). Gestión de Servicios TI. Disponible en:
http://es.wikipedia.org/wiki/Gestion_de_Servicios_TI.
81
Anexos
Anexo 1: Relación de COBIT con otras metodologías. [Fuente: (Narbona 2, 2006)]
orma para determinar el número de expertos.

Anexo 2: Forma
A través de la expresión siguiente:

Anexos
p * (1 − p ) * k
nE = (2.1)
i2
nE: # de expertos a participar.
i : nivel de precisión deseado.
p: proporción estimada de errores de los expertos
k : constante cuyo valor está asociado al nivel de confianza elegido.
1 – α: nivel de confianza.
Luego se realiza un proceso de selección de los expertos. La calidad de los expertos influye
decisivamente en la exactitud y fiabilidad de los resultados y en ello interviene la calificación
técnica, los conocimientos específicos sobre el objeto a evaluar y la posibilidad de decisión entre
otros.
Para valorar la concordancia de los expertos, se emplea el coeficiente de concordancia de

Kendall, basándose en la expresión siguiente:
12 * (∑ D 2 )
W= (2.2)
M 2 * (K 3 − K )
(0<W<1); W ≥ 0.5 Confiable
Donde:
M: Número de expertos.
K: Número de propiedades o índices a evaluar.
D: Desviación del valor medio de los juicios emitidos. Valor que se determina mediante la fórmula
siguiente:
∑ (a ) − T
m
D = ij (3)
j =1
Anexo 2: Forma para determinar el número de expertos. (Continuación)
Donde:
ai j: Juicio de importancia del índice i dado por el experto j.
T: Factor de comparación (valor medio de los rangos)

Anexos
El coeficiente de concordancia de Kendall expresa el grado de asociación (concordancia) entre

los M expertos, por tanto es una medida de correlación utilizando rangos. Para analizar la
significación y/o grado de confiabilidad del juicio de los expertos, se emplean las siguientes
pruebas estadísticas:
Si k ≥ 7 (Nº de atributos o características) se realiza el test de contraste chi-

cuadrado x( ) siguiente:
2
(x )calculada : estadígrafo x
2 2
= M (k − 1)W
(x )tabulada : x (a, k − 1)
2 2
Prueba de hipótesis
Si el valor del estadígrafo cumple la siguiente restricción:
RC: x ≥ x (a, k − 1) ; entonces se rechaza la hipótesis nula (H0).

2 2
(calculada ≥ tabulada)
Muestras pequeñas
Si k ≤ 7 se compara el valor de S ≤ ∆2 con el valor de S tabulada en la tabla de Friedman.
Prueba de hipótesis
S ≥ S tabulada H1: El juicio de los expertos es consistente
S < S tabulada H0: El juicio de los expertos no es consistente
RC: Si S < S tabulada, la hipótesis nula se rechaza al 5% o 1% de significación
Anexo 3:Estructura Organizativa de EMPRESA DE TELECOMUNICACIONES.

[Fuente:(Gerencia de Desarrollo Organizacional, 2007)]
Anexos
Anexo 4:Estructura de la Direccion Territorial de Villa Clara. [Fuente:(Gerencia de

Desarrollo Organizacional, 2007)]
Anexos
Anexo 5:Estructura de la filial de FTI Villa Clara. [Fuente:(Gerencia de Desarrollo

Organizacional, 2007)]
Anexos
Anexo 6: Entrevista realizada a trabajadores de la filial de FTI. [Fuente: elaboración propia]
Guía de Entrevista.
Directivo_______ Trabajador_______
¿Entienden todas las personas dentro de la organización los objetivos de TI?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Están modelados e implementados los procesos de TI en la OOE?
Anexos
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Están identificados que recursos de TI son utilizados en cada proceso de negocio?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Se mide cómo los recursos de TI contribuyen al logro de los objetivos de negocio?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Están definidas las responsabilidades y roles del personal de TI?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Cómo se planifican las TI en la OOE?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Existe un plan estratégico de TI?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
¿Existen procesos definidos para la Planificación y Organización de TI?
------------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Anexo 7: Propuesta de flujograma de procesos de la filial de FTI.

Anexos
Anexo 8: Diagrama Causa- Efecto de los problemas listados.[Fuente: Elaboración propia]

Anexos
Anexo 9: Niveles de madurez de los procesos COBIT en la filial FTI. [Fuente: Elaboración
propia].
Anexos
Código Niveles de madurez según COBIT para cada proceso en la Filial FTI
1 Inicial/Ad Hoc La filial conoce la necesidad de una planeación estratégica de TI.

La planeación de TI se realiza según se necesite como respuesta a un requisito de
PO1 negocio específico. La planeación estratégica de TI se discute de forma ocasional
en las reuniones de la DT. La posición de riesgo estratégico se identifica de manera
informal.
1 Inicial/Ad Hoc La filial reconoce la necesidad de una arquitectura de información.

El desarrollo de algunos componentes de una arquitectura de información ocurre
PO2 de manera ad hoc. Las definiciones abarcan datos en lugar de información. Existe
una comunicación esporádica e inconsistente de la necesidad de una arquitectura
de información.
1 Inicial/Ad Hoc La filial reconoce la necesidad de planear la infraestructura
tecnológica. El desarrollo de componentes tecnológicos y la implantación de
PO3
tecnologías emergentes son ad hoc y aisladas. Existe un enfoque reactivo y con
foco operativo hacia la planeación de la infraestructura. La comunicación del
impacto potencial de los cambios en la tecnología es inconsistente.
2 Repetible La función de TI está organizada para responder de forma táctica
aunque de forma inconsistente, a las necesidades de los clientes y a las relaciones
PO4 con los proveedores. La necesidad de contar con una organización estructurada y
una administración de proveedores se comunica, pero las decisiones todavía
dependen del conocimiento y habilidades de individuos claves.
1 Inicial/Ad Hoc La gerencia es reactiva al resolver los requerimientos del
PO6 ambiente de control de información. Las políticas, procedimientos estándares se
elaboran y comunican de forma ad hoc de acuerdo a los temas. Los procesos de
elaboración, comunicación y cumplimiento son informales e inconsistentes.
1 Inicial/Ad Hoc La gerencia reconoce la necesidad de contar con administración
de recursos humanos de TI. El proceso de administración de recursos humanos de
PO7 TI es informal y reactivo. El proceso de recursos humanos de TI está enfocado de
manera operacional en la contratación y administración del personal de TI. Se está
desarrollando la conciencia con respecto al impacto que tienen los cambios y la
necesidad de nuevos niveles de habilidades y de competencia.
Anexo 9: Niveles de madurez de los procesos COBIT en la filial FTI. [Fuente: Elaboración
propia]. (Continuación)
Código Niveles de madurez según COBIT para cada proceso en la Filial FTI
1 Inicial/Ad Hoc Existe conciencia por parte de la dirección de la necesidad de un

PO8
Sistema de Gestión de la Calidad (SGC). El SGC es impulsado por individuos
cuando éste ocurre. La dirección realiza juicios informales sobre la calidad.
Anexos
1 Inicial/Ad Hoc Los riesgos de TI se toman en cuenta de manera ad hoc. Se

realizan evaluaciones informales de riesgos según lo determine cada proyecto. En
algunas ocasiones se identifican evaluaciones de riesgos en un plan de proyectos.
Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e
PO9 integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgos
relativos a TI que afectan las operaciones del día con día, son rara vez discutidas
en reuniones gerenciales. Cuando se toman en cuenta los riesgos, la mitigación es
inconsistente. Existe un entendimiento emergente de que los riesgos de TI son
importantes y necesitan ser considerados.
1 Inicial/Ad Hoc El uso de técnicas y enfoques de administración de proyectos

dentro de TI es una decisión individual que se deja a los gerentes de TI. Existe una
carencia de compromiso por parte de la filial hacia la propiedad de proyectos y
hacia la administración de proyectos. Las decisiones críticas sobre administración
de proyectos se realizan sin la intervención de la gerencia usuaria ni del cliente.
PO10 Hay poca o nula participación del cliente y del usuario para definir los proyectos de
TI. No hay una organización clara dentro de TI para la administración de proyectos.
Los roles y responsabilidades para la administración de proyectos no están
definidas. Los proyectos, calendarios y puntos clave están definidos pobremente, si
es que lo están. No se hace seguimiento al tiempo y a los gastos del equipo del
proyecto y no se comparan con el presupuesto.
Anexo 10: Proceso de planeación estratégica de TI. [Fuente: Elaboración propia].
Descripción
En este proceso se define la estrategia de la filial FTI para las TI que soportan la operación de
ETC Villa Clara. El plan estratégico debe mejorar el entendimiento de la dirección de las
oportunidades y limitaciones de TI, evaluar el desempeño actual y aclarar el nivel de inversión
requerido. La estrategia de la entidad y las prioridades se deben reflejar en la programación
operativa y deben ser ejecutadas por los planes tácticos de TI, los cuales establecen objetivos,
planes y tareas específicas, entendidas.
Actividades
Alineación de TI con el negocio

Anexos
Educar a los ejecutivos de ETC sobre las capacidades tecnológicas actuales y sobre el rumbo
futuro, sobre las oportunidades que ofrece TI, y sobre qué debe hacer la DT para capitalizar esas
oportunidades. Asegurarse de que el rumbo de la filial este alineado a las necesidades de DT.
Las estrategias de la DT y de la filial deben estar integradas, relacionando de manera clara las
metas de la empresa y las metas de TI y reconociendo las oportunidades así como las
limitaciones en la capacidad actual. Identificar las áreas de resultados claves (ARC) y establecer
prioridades.
Definir plan estratégico de TI
Se define el Plan Estratégico de TI a partir de los lineamientos estratégicos (indicaciones,

resoluciones, instrucciones, etc. Manual de Indicaciones) definidos por la empresa a nivel
nacional. La ejecución del plan estratégico de TI implica definir entre otros: Misión, Visión, Valores
Compartidos, Escenarios, Diagnóstico Estratégico (Matriz DAFO), ARC y Objetivos Estratégicos.
Define cómo se cumplirán y medirán los objetivos. El plan estratégico de TI debe incluir el
presupuesto a solicitar a la DT, la estrategia de adquisición, y los requerimientos legales y
regulatorios.
Definir planes tácticos de TI
En esta actividad se establecen los objetivos generales de la filial en materia de Tecnologías de la

Información, sobre la base de los objetivos estratégicos y las estrategias corporativas resumidas
en el Plan Estratégico de TI. Se revisan las prioridades surgidas de la evaluación de necesidades
y se establecen los objetivos generales a alcanzar en materia de TI. Se planifica la explotación de
los recursos de TI y se elabora el Plan Maestro de TI Los planes tácticos deben tener el detalle
suficiente para permitir la definición de planes proyectados.
Anexo 10: Proceso de planeación estratégica de TI. [Fuente: Elaboración propia].

(Continuación)
Entradas Salidas
P7 Resultados del monitoreo del proceso TI. Plan estratégico de TI. (Todos)
Reporte de la dirección estratégica de la

Plan táctico de TI.
empresa.(Cumplimiento de la dirección)
P9 Proyectos informáticos actualizados. Acuerdos de servicios.
P8 Evaluación de riesgo. Proyectos de TI.
Requerimiento de nuevos servicios.
Metas e indicadores
Anexos
Anexo 11: Proceso de definición de la arquitectura de información de TI. [Fuente:

Descripción
Este proceso define la arquitectura de la información más adecuada para la filial. Esto incluye el
esquema de clasificación de datos y los niveles de seguridad. Este proceso mejora la calidad de
la toma de decisiones de la DT asegurándose que se proporciona información confiable y segura,
y permite racionalizar los recursos de los sistemas de información (SI) para igualarse con las
estrategias de la DT. Este proceso de TI también es necesario para incrementar la
responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y
control de la información compartida a lo largo de las aplicaciones.
Actividades
Selección del modelo de arquitectura de información empresarial.
Establecer y mantener un modelo de información que facilite el desarrollo de aplicaciones y las

actividades de soporte a la toma de decisiones, compatible con los planes de TI como se
describen en P1. El modelo facilita la creación, uso y compartición óptimas de la información por
parte de la DT de una manera que conserva la integridad y sea flexible, funcional, rentable
oportuna segura y tolerante a fallas.
Diccionario empresarial de datos y reglas de sintaxis de datos

Anexos
Mantener un diccionario empresarial de datos que incluya las reglas de sintaxis de datos de la
organización. El diccionario facilita la compartición de elementos de datos entre las aplicaciones y
los sistemas, fomenta un entendimiento común de datos entre los usuarios de TI y del negocio, y
previene la creación de elementos de datos incompatibles.
Selección del esquema de clasificación de datos.
Establecer un esquema de clasificación que aplique a toda la DT, basado en que tan crítica y
sensible es la información (esto es, pública, confidencial, secreta) de la empresa. Este esquema
incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad
y de controles de protección, y una breve descripción de los requerimientos de retención y
destrucción de datos, además de qué tan críticos y sensibles son. los siguientes tipos de
documentos deben estar controlados bajo el sistema de gestión documental.
Administración de la integridad
Definir e implantar procedimientos para garantizar la integridad y consistencia de todos los datos
almacenados en formato electrónico, tales como bases de datos (DB), almacenes de datos
(Data-Warehouse) y archivos.
Anexo 11: Proceso selección de la arquitectura de información de TI. [Fuente: Elaboración

propia]. (Continuación)
Entradas Salidas
P1 Planes estratégicos y tácticos de TI. (permiten Esquema de clasificación de datos

definir la arquitectura)
Revisión post-implantación. (Monitorea la Arquitectura de información P3

arquitectura seleccionada)
Información de desempeño y capacidad. (¿Es Procedimientos y herramientas de

correcta?) clasificación
P7 Resultados del monitoreo del proceso TI. Diccionario empresarial de Datos
Metas e indicadores
Anexos
Anexo 12: Proceso de dirección tecnológica de TI. [Fuente: Elaboración propia].
Descripción
En este proceso se selecciona la tecnología informática, políticas y estándares para dar soporte
al proceso de TI. Esto requiere de la creación de un plan de infraestructura tecnológica y de un
consejo de arquitectura que permita la selección de la misma, analizando lo que la tecnología
puede ofrecer en términos de productos, servicios y mecanismos de aplicación. Este proceso
realiza investigación y desarrollo de tecnología para SI dentro de la filial y evalúa la aplicabilidad
de las tecnologías emergentes. Participa en las decisiones corporativas de "make-or-buy" (hacer
o comprar), aportando información y criterios necesarios en la toma de decisiones.
Actividades:
Planeación de la dirección tecnológica
La actividad permitirá hacer un análisis de escenarios tecnológicos de las TI, profundizando, a

través de estudios de detalle o de experimentaciones (propias o por terceros), todas aquellas
temáticas que sean relevantes y que estén en línea con la estrategia de la Empresa, las
metodologías y las arquitecturas existentes y las objetivo. Comprende la investigación, estudio y
eventual experimentación de las nuevas técnicas, metodologías, arquitecturas y productos
tecnológicos vinculados a las TI, innovadoras para la Empresa o renovadoras de las tecnologías
existentes.
Planeación de infraestructura tecnológica

Anexos
Crear y mantener un plan de infraestructura tecnológica que esté de acuerdo con los planes
estratégicos y tácticos de TI definidos en PO1. El plan se basa en la dirección tecnológica e
incluye acuerdos para contingencias y orientación para la adquisición de recursos tecnológicos.
También toma en cuenta los cambios tecnológicos en el ambiente y la mejora en la
interoperabilidad de las plataformas y las aplicaciones.
Monitoreo de tendencias y regulaciones futuras
Monitorear las tendencias tecnológicas, de infraestructura, legales y regulatorias (Regulaciones

del Departamento de Asuntos Regulatorios DDAR). Incluir las consecuencias de estas
tendencias en el desarrollo del plan de infraestructura tecnológica de TI.
Revisión de Estándares tecnológicos
Proporcionar soluciones tecnológicas consistentes, efectivas y seguras para toda la empresa,

establecer un foro tecnológico para brindar directrices tecnológicas y guías sobre la selección de
la tecnología, y medir el cumplimiento de estos estándares y directrices.
Anexo 12: Proceso de dirección tecnológica de TI. [Fuente: Elaboración propia].

(Continuación)
Entradas Salidas
P1 Planes estratégicos y tácticos de TI. Oportunidades tecnológicas
P2 Plan de arquitectura de información. Estándares tecnológicos P7
P7 Actualizaciones de los estándares. Plan de infraestructura tecnológica
Metas e indicadores
Anexos
Anexo 13: Proceso de definir procesos, organización y relaciones de TI. [Fuente:

Descripción
Este proceso permite definir la organización de TI tomando en cuento a los requerimientos de

personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. Permite la
selección de un marco de trabajo de procesos de TI que asegure la transparencia y el control, así
como el involucramiento de los altos ejecutivos y de la DT de ETC VC. Determinar las prioridades
de los recursos de TI alineados con las necesidades de la empresa. Deben existir procesos,
políticas administrativas y procedimientos para todas las funciones, con atención específica en el
control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la
información, la propiedad de datos y de sistemas. Para garantizar el soporte oportuno del
proceso de negocio, TI se debe involucrar en los procesos importantes de decisión.
Actividades
Crear comité directivo de TI
Establecer un comité directivo de TI compuesto por directivos de la DT y de la filial de FTI para:

Anexos
• Hacer seguimiento al estatus de los proyectos y resolver los conflictos de recursos

• Monitorear los niveles de servicio y las mejoras del servicio.
Ubicación organizacional de la función de TI
Ubicar a la función de TI dentro de la estructura organizacional general con un modelo de

negocios supeditado a la importancia de TI dentro de la empresa, en especial en función de que
tan crítica es para la estrategia del negocio y el nivel de dependencia operativa sobre TI. La línea
de reporte del supervisor es proporcional con la importancia de TI dentro de la empresa.
Establecer una estructura organizacional.
Establecer una estructura organizacional de TI interna y externa que refleje las necesidades del
negocio. Además implantar un proceso para revisar la estructura organizacional de TI de forma
periódica para ajustar los requerimientos de personal y las estrategias internas para satisfacer los
objetivos de negocio esperados y las circunstancias cambiantes.
Definir roles y responsabilidades.
Definir y comunicar los roles y las responsabilidades para todo el personal en la filial con
respecto a los sistemas de información para permitir que ejerzan los roles y responsabilidades
asignados con suficiente autoridad. Crear y actualizar periódicamente la descripción de roles,
incluyendo definiciones de habilidades y experiencia necesarias en cada posición y que serán
aplicables en el uso y evaluación del desempeño.
Anexo 13: Proceso de definir procesos, organización y relaciones de TI. [Fuente:

Elaboración propia]. (Continuación)
Relaciones
Establecer y mantener una estructura óptima de enlace, comunicación y coordinación entre la

función de TI y otras funciones dentro y fuera de la función de TI, tales como el consejo directivo,
ejecutivos, unidades de negocio, usuarios individuales, proveedores, oficiales de seguridad,
gerentes de riesgo, el grupo corporativo de cumplimiento, los contratistas externos y la DT.
Entradas Salidas
P1 Planes estratégicos y tácticos de TI Organización y relaciones de TI P6
Políticas y procedimientos de TI y RR.HH, Roles documentados y responsabilidades

matriz de habilidades de TI, definición de de TI P6
competencias descripciones de puestos
(Profesiogramas)
P7 Actividades de mejoramiento de calidad Propietarios de sistemas documentados

P6
P8 Planes de actividades para corregir riesgos

relacionados con TI.
Requerimientos legales y regulatorios

relacionados con los servicios de TI
Metas y métricas
Anexos
Anexo 14: Proceso de comunicación de las aspiraciones. [Fuente: Elaboración propia].
Descripción
Este proceso permite que la filial de FTI V.C elabore un ambiente de trabajo de control
empresarial para TI, y comunique las políticas a seguir. Un programa de comunicación continua
se debe implantar para articular la misión de la filial, los objetivos de servicio, las políticas y
procedimientos, etc., aprobada y apoyada por la DT. El proceso debe garantizar el cumplimiento
de las leyes y reglamentos relevantes.
Actividades
Administración de políticas para TI
Elaborar y dar mantenimiento a un conjunto de políticas que apoyen la estrategia de TI. Estas
políticas deben incluir la intención de las políticas, roles y responsabilidades, procesos de
excepción, enfoque de cumplimiento y referencias a procedimientos y estándares. Las políticas
deben incluir temas claves como calidad, seguridad, confidencialidad, controles internos y
propiedad intelectual. Su relevancia se debe confirmar y aprobar de forma regular.
Implantación de políticas de TI
Asegurarse de que las políticas de TI se implantan y se comunican a todo el personal relevante

de la filial de FTI. Los métodos de implantación deben resolver necesidades, implicaciones de
recursos y concientización por parte de los trabajadores y directivos de la filial.
Comunicación de los objetivos y la dirección de TI
Asegurarse de que la conciencia y el entendimiento de los objetivos y la dirección del proceso de

TI se comunican a toda la organización. La información comunicada debe abarcar una misión
claramente articulada, los objetivos de servicio, la seguridad, los controles internos, la calidad, el
código de ética y conducta, políticas y procedimientos, etc., y se deben incluir dentro de un
programa de comunicación continua, apoyado por la DT.
Anexos
Anexo 14: Proceso de comunicación de las aspiraciones. [Fuente: Elaboración propia].

(Continuación)
Entradas Salidas
P1 Planes estratégicos y tácticos de TI Marco de control empresarial
P8 Directrices de administración de riesgos Políticas, Requerimientos legales y

relativos a la TI regulatorios para TI
P7 Reportes sobre la efectividad de los Controles

de TI
Metas y Métricas
Anexos
Anexo 15: Proceso de gestión de los recursos humanos de TI. [Fuente: Elaboración propia].
Descripción
Este proceso permite seleccionar, mantener y motivar la fuerza de trabajo para la creación y
entrega de servicios de TI. Realizar la contratación y entrenamiento del personal, la motivación
por medio de planes de carrera claros, la asignación de roles que correspondan a las
habilidades, el establecimiento de procesos de revisión de finidos, la creación de descripción de
puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos. Este
proceso es crítico, ya que las personas son activos importantes, y el ambiente de trabajo y de
control interno depende fuertemente de la motivación y competencia del personal
Actividades
Reclutamiento y Retención del Personal
Realizar los procesos de reclutamiento del personal de TI de acuerdo a las políticas y

procedimientos generales de personal de la DT de ETC. La buena selección garantiza que FTI
cuente con una fuerza de trabajo posicionada de forma apropiada y que tenga las habilidades
necesarias para alcanzar las metas propuestas. (Definir Método de Reclutamiento)
Gestión de competencias del personal
Verificar de forma periódica que el personal tenga las habilidades para cumplir sus roles con
base en su entrenamiento y/o experiencia. Definir los requerimientos esenciales de habilidades
para TI y verificar que se les dé continuidad, usando programas de capacitación que permitan
aumentar las habilidades.
Asignación de roles
Definir, monitorear y supervisar los roles, responsabilidades y compensación del personal,

incluyendo el requisito de adaptarse a las políticas y procedimientos administrativos de la filial,
así como al código de ética y prácticas profesionales. Los términos y condiciones de empleo
deben enfatizar la responsabilidad del empleado respecto a la seguridad de la información, al
control interno y al cumplimiento regulatorio. El nivel de supervisión debe estar de acuerdo con la
sensibilidad del puesto y el grado de responsabilidades asignadas.
Entrenamiento del personal de TI
Proporcionar a los empleados de la filial el entrenamiento continuo para conservar su

conocimiento, aptitudes, habilidades, controles internos y conciencia sobre la seguridad, al nivel
requerido para alcanzar las metas establecidas.
Dependencia sobre los individuos
Realizar una buena política de cuadros y documentarlo para no crear dependencia de individuos
críticos.
Anexo 15: Proceso de gestión de los recursos humanos de TI. [Fuente: Elaboración propia].
(Continuación)
Anexos
Evaluación del desempeño del empleado
Realizar evaluaciones de desempeño periódicamente (cada 6 meses), comparando contra los

objetivos individuales derivados de las metas de la filial, estándares establecidos y
responsabilidades específicas del puesto.
Cambios y terminación de trabajo
Tomar medidas respecto a los cambios en los puestos, en especial las terminaciones. Se debe
realizar la transferencia del conocimiento, reasignar responsabilidades y se deben eliminar los
privilegios de acceso, de tal modo que los riesgos se minimicen y se garantice la continuidad de
la función.
Entradas Salidas
P4 Organización y relaciones de TI; roles y Políticas y procedimientos de recursos

responsabilidades documentados humanos de TI
Matriz de habilidades de TI
Aptitudes y habilidades de los trabajadores,

incluyendo el entrenamiento.
Requerimientos específicos de entrenamiento
Roles y responsabilidades (Todos)
Metas y Métricas
Anexo 16: Proceso de gestión de la calidad de TI. [Fuente: Elaboración propia].
Descripción
Este proceso permite asegurar la aplicación uniforme de la metodología y de los estándares para
TI en la filial de FTI de Villa Clara. Monitorea los niveles de servicio ofrecidos y activa el ciclo de
mejora continua. Comprende la identificación, desarrollo y difusión de los estándares técnicos e
Anexos
indicadores de calidad, el monitoreo del uso de metodologías, estándares e indicadores de gestión

y el aseguramiento de la calidad de los proyectos. Recibe los indicadores gestionados en cada
uno de los proceso claves y de soporte. Los requerimientos de calidad se deben manifestar y
documentar con indicadores cuantificables y alcanzables. Mensualmente se hará el análisis de los
indicadores que se definen monitorear en el proceso TI y a partir de ellos se describirá el Plan de
Mejora, que contará además con todos los estados de opinión que lleguen por el soporte de
usuario y los estudios de calidad percibida y clima laboral realizados en la filial.
Actividades:
Identificar estándares y prácticas de calidad.
Identificar y mantener estándares, procedimientos y prácticas para los procesos clave de TI. Usar
las mejores prácticas de la industria como referencia al mejorar y adaptar las prácticas de calidad
de la organización (Benchmarking).
Selección de estándares de desarrollo y de adquisición.
Adoptar y mantener estándares para todo el desarrollo y adquisición. Los temas a considerar la
utilización de software libre, normas de nomenclatura; formatos de archivos, estándares de
diseño para esquemas; estándares para la interfaz de usuario; eficiencia de desempeño de
sistemas; escalabilidad; estándares para desarrollo y pruebas; validación contra requerimientos;
planes de pruebas; y pruebas unitarias, de regresión y de integración.
Enfocar la calidad al cliente.
La administración de calidad tiene que estar enfocada en los usuarios (cliente interno),
determinar sus requerimientos y necesidades alineándolos con los estándares y prácticas de TI.
Se definen los roles y responsabilidades respecto a la resolución de conflictos entre el usuario y
la filial.
Mejora continua
Se elabora y comunica el plan de calidad de la filial que promueva la mejora continua, de forma
periódica.
Medición, monitoreo y revisión de la calidad
Realizar las mediciones de las métricas de cada proceso para monitorear el cumplimiento
continuo del Sistema de Calidad. La medición, el monitoreo y el registro de la información deben
ser usados por el responsable del proceso para tomar las medidas correctivas y preventivas
apropiadas en caso de desviaciones.
Anexo 16: Proceso de gestión de la calidad de TI. [Fuente: Elaboración propia].

(Continuación)
Entradas Salidas
P1 Plan estratégico de TI Estándares de adquisición
P1 Planes detallados de proyectos Estándares de desarrollo P9
P7 Planes de acciones correctivas Requerimientos de estándares y métricas de

calidad P7
Anexos
Medidas para la mejora de la calidad P7
Metas y Métricas
Anexo 17: Proceso de administración los riesgos de TI. [Fuente: Elaboración propia].
Descripción
Este proceso permite documentar un nivel común y acordado de riesgos de TI, estrategias de
mitigación y riesgos residuales acordados. Cualquier impacto potencial sobre las metas de la
filial, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben
adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel
aceptable. El resultado de la evaluación debe ser entendible para los participantes y se debe
expresar en términos financieros, para permitir a los participantes llevar los riesgos a un nivel
aceptable de tolerancia.
Actividades
Identificación de eventos
Identificar todos aquellos eventos (amenazas, vulnerabilidades, ataques) con un impacto

potencial sobre las metas o las operaciones de la empresa, aspectos de negocio, regulatorios,
Anexos
legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos. Determinar la

naturaleza del impacto y dar mantenimiento a esta información.
Evaluación de riesgos
Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados en la filial
usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos
inherentes y residuales se debe determinar de forma individual y por categoría.
Respuesta a los riesgos
Identificar los propietarios de los riesgos y a los responsables de procesos afectados, y elaborar y
mantener respuestas a los riesgos. Garantizar que los controles y las medidas de seguridad
mitigan la exposición a los riesgos de forma continua. La respuesta a los riesgos debe identificar
estrategias de riesgo tales como evitar, reducir, compartir o aceptar.
Mantenimiento y monitoreo de un plan de acción de riesgos
Asignar prioridades y planear las actividades de control a todos los niveles para implantar las
respuestas a los riesgos, identificadas como necesarias y la responsabilidad de la ejecución.
Buscar la aprobación para las acciones recomendadas y la aceptación de cualquier riesgo
residual, y asegurarse de que las acciones comprometidas son propiedad del dueño de los
procesos afectados. Monitorear la ejecución de los planes y reportar cualquier desviación a la
dirección.
Anexo 17: Proceso de administración los riesgos de TI. [Fuente: Elaboración propia].
(Continuación)
Entradas Salidas
P1 Plan estratégico y tácticos de TI Evaluación de riesgos
Plan de administración de riesgos de

Reporte de riesgos P1, P7 y P9
proyectos
Directrices de administración de riesgos

Resultados de pruebas de contingencia
relacionados con TI P1
Planes de acciones correctivas para riesgos

Amenazas y vulnerabilidades de seguridad
relacionados con TI P7
Tendencias y eventos de riesgos históricos
Metas y Métricas
Anexos
Anexo 18: Proceso de administración de proyectos de TI. [Fuente: Elaboración propia].
Descripción
Este proceso permite establecer un programa para la administración de todos los proyectos de TI
dela filial. Asegura el cumplimiento de las actividades del plan de trabajo y su completa
realización. Implica la elaboración del cronograma detallado del proyecto, desde la etapa de
diseño hasta la entrega y difusión; el monitoreo de las actividades, la gestión de los recursos; la
individualización de los puntos críticos y de las soluciones a activar; la verificación de la resolución
de los problemas y el control del estado de avance. Debe incluir un plan maestro, asignación de
recursos, definición de entregables, aprobación de los usuarios, un enfoque de entrega por fases,
aseguramiento de la calidad, un plan formal de pruebas, revisión de pruebas y revisión post-
implantación después de la implantación para garantizar la administración de los riesgos del
proyecto y la entrega de valor para el negocio. Realizar el balance de tiempos, materiales y
equipos comparando lo previsto en el proyecto con lo realmente utilizado y se realizan las
operaciones contables para el cierre presupuestario.
Actividades
Enfoque de administración de proyectos
Establecer un enfoque de administración de proyectos que corresponda al tamaño, complejidad y

requerimientos regulatorios de cada proyecto. Asegurar que todos los proyectos de TI cuenten
con responsables con la suficiente autoridad para apropiarse de la ejecución del proyecto dentro
del programa estratégico global.
Estatuto de alcance del proyecto

Anexos
Definir y documentar la naturaleza y alcance del proyecto para confirmar y desarrollar, entre los
interesados, un entendimiento común del alcance del proyecto y cómo se relaciona con otros
proyectos.
Plan integrado del proyecto
Establecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de
negocio y de los sistemas de información) para guiar la ejecución y el control del proyecto a lo
largo de la vida del éste. Las actividades e interdependencias de múltiples proyectos dentro de
un mismo programa se deben entender y documentar.
Recursos del proyecto
Definir las responsabilidades, relaciones, autoridades y criterios de desempeño de los miembros

del equipo del proyecto y especificar las bases para adquirir y asignar a los miembros
competentes del equipo y/o a los contratistas al proyecto. La obtención de productos y servicios
requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del
proyecto, usando las prácticas de adquisición de la organización.

(Continuación)
Administración de riesgos del proyecto
Eliminar o minimizar los riesgos específicos asociados con los proyectos individuales por medio
de un proceso sistemático de planeación, identificación, análisis, respuestas, monitoreo y control
de las áreas o eventos que tengan el potencial de ocasionar cambios no deseados. Los riesgos
afrontados por el proceso de administración de proyectos y el producto entregable del proyecto
se deben establecer y registrar de forma central.
Medición del desempeño, reportes y monitoreo del proyecto
Medir el desempeño del proyecto contra los criterios clave del proyecto (ej. alcance, calendario,
calidad, costos y riesgos); identificar las desviaciones con respecto al plan; evaluar su impacto
sobre el proyecto y sobre el programa global; reportar los resultados a los interesados clave; y
recomendar, implantar y monitorear las medidas correctivas, según sea requerido, de acuerdo
con el marco de trabajo de gobierno del programa y del proyecto.
Cierre del proyecto
Solicitar que al finalizar cada proyecto, los interesados del proyecto se cercioren de que el
proyecto haya proporcionado los resultados y los beneficios esperados. Identificar y comunicar
cualquier actividad sobresaliente requerida para alcanzar los resultados planeados del proyecto y
los beneficios del programa, e identificar y documentar las lecciones aprendidas a ser usadas en
futuros proyectos y programas
Plan integrado del proyecto.
Establecer un plan integrado para el proyecto, aprobado y formal (que cubra los recursos de
negocio y de los sistemas de información) para guiar la ejecución y el control del proyecto a lo
largo de la vida del éste. El plan del proyecto se debe mantener a lo largo de la vida del mismo.
El plan del proyecto, y las modificaciones a éste, se deben aprobar de acuerdo al programa y del
proyecto.
Anexos
Entradas Salidas
P1 Acuerdos de Servicios Reportes de desempeño del proyecto P7
P6 Matriz de habilidades de TI actualizada Plan de administración de riesgos del

proyecto P8
P7 Estándares de desarrollo Planes detallados del proyecto
Revisión post-implantación Proyectos de TI actualizado

(Continuación)
Metas y Métricas
Anexos
Anexo 19: Ponderaciones establecidas por los expertos para las distintas categorías
Oportunidades:

Características
2
1 2 3 4 5 6 ∑ aij D D
Reconocimiento de la importancia 1 1 2 1 1 2 8 -7 49
de los procesos de TI.
Alta demanda de servicios TI. 4 3 3 4 4 3 21 6 36
Tendencia mundial a la gestión de 3 4 4 3 4 2 20 5 25

las TI.
Surgimiento y desarrollo de
metodologías y buenas prácticas 2 2 1 2 1 2 10 -5 25
para la gestión de TI.
∑ D2 135
Debilidades:

Características
2
1 2 3 4 5 6 ∑ aij D D
Mala planificación de las TI. 3 4 3 3 4 4 21 6 25
No están definidos los roles del 2 2 2 1 1 1 9 -5 36

personal.
No están identificados los 2 4 3 3 4 3 19 4 16

recursos de TI.
Anexos
Escaso registro de las

informaciones relativas al 2 1 1 2 1 1 8 -7 49
proceso TI.
2
∑D 126
Anexo 19: Ponderaciones establecidas por los expertos para las distintas categorías
[Fuente: Elaboración propia]. (Continuación)
Fortalezas:

Características
2
1 2 3 4 5 6 ∑ aij D D
El reconocimiento en la filial de 1 2 1 2 1 2 9 -6 36
la importancia del proceso TI.
La introducción de la gestión 4 3 4 3 4 2 20 5 25
por procesos.
La competencia del personal

involucrado en el proceso TI de 2 1 2 1 1 1 8 -7 49
la filial.
El compromiso de dirección de
la filial en relación con el 3 4 4 4 3 3 21 6 36
proceso TI.
2
∑D 146
2 Región Crítica.
D W S Stab
S≥ Stab
Oportunidades 135 0.75 135 118. 45 Se cumple
Debilidades 126 0.7 126 118. 45 Se cumple
Fortalezas 146 0.811 146 118. 45 Se cumple

Anexos
Anexo 20: Matriz de impactos cruzados (DAFO).
View publication stats

Planificación de Las Tecnologías de La Información Procedimiento para La Planificación de TI Basado en El Framework COBIT

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Planificación de Las Tecnologías de La Información Procedimiento para La Planificación de TI Basado en El Framework COBIT

Uploaded by

Copyright:

Available Formats

See discussions, stats, and author proﬁles for this publication at: https://www.researchgate.

Planiﬁcación de las Tecnologías de la Información

Book · January 2011

Frank Medel-González Lourdes García-Ávila

SEE PROFILE SEE PROFILE

EurekaSD View project

The user has requested enhancement of the downloaded ﬁle.

Ing. Frank Medel-González

Ms. Patricia Perez Lorences

Dr. C. Lourdes García-Ávila

CAPÍTULO I: MARCO TEÓRICO REFERENCIAL DE LA INVESTIGACIÓN ............... 5

1.1 Servicios de TI........................................................................................................ 5

1.2 Gestión de Servicios de TI .................................................................................... 7

1.3 La necesidad de un marco de trabajo para la gestión de TI ............................... 8

1.4 Metodologías, estándares, marcos de trabajo y buenas prácticas para la Gestión de TI

1.4.1 ISO 17799 ........................................................................................................... 10

1.4.2 ISO / IEC 20000 .................................................................................................. 11

1.4.3 ISO/IEC 27001 .................................................................................................... 12

1.4.5 Biblioteca de Infraestructura de Tecnologías de la Información (ITIL, Information

1.4.7 Otras metodologías .......................................................................................... 21

1.5 Selección de un marco de trabajo para las TI .................................................... 23

1.6 Situación actual de las TI .................................................................................... 24

1.7 Conclusiones parciales ....................................................................................... 25

CAPÍTULO II: PROCEDIMIENTO PARA DISEÑAR EL FLUJO DE PROCESOS DE

2.1. Principios en los que se sustenta el procedimiento ........................................ 30

2.2. Premisas generales para la construcción del procedimiento.......................... 31

2.3. Características del procedimiento ..................................................................... 31

2.4. Descripción del procedimiento .......................................................................... 32

2.5 Acciones previas para la aplicación del procedimiento.................................... 46

2.6 Conclusiones parciales ....................................................................................... 47

CAPITULO ІІІ: APLICACIÓN DEL PROCEDIMIENTO EN FTI ETC V.C..................... 48

3.1 Acciones previas a la aplicación del procedimiento ......................................... 48

3.2 Desarrollo del procedimiento .............................................................................. 52

3.3 Conclusiones parciales ....................................................................................... 76

Conclusiones Generales ........................................................................................... 78

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de

Las investigaciones de las prácticas de gestión de TI en cientos de compañías en todo el mundo

La Empresa de Telecomunicaciones de Cuba S.A es la encargada de prestar servicios públicos de

desenvolvimiento actual y futuro de la filial para enfrentar la demanda de servicios de TI influyendo

Todo lo anterior sintetiza la situación problémica de la presente investigación cuyo problema

En correspondencia con lo planteado se formuló la hipótesis Investigativa siguiente: Si se

En conformidad con la hipótesis planteada, el objetivo general de la investigación es desarrollar

Este objetivo general fue desglosado en los objetivos específicos siguientes:

2. Elaborar un procedimiento que permita diseñar el flujo de procesos para la planificación y

3. Realizar el diagnóstico del estado actual de la planificación y organización de las tecnologías

4. Validar la hipótesis de investigación con la implementación del procedimiento elaborado en la

El objeto de investigación es el proceso de gobierno de las tecnologías de información y para el

La validación de la hipótesis se realizará mediante la utilización de la dinámica de los sistemas

a) cuando trabaja sin una planificación y organización de las tecnologías de información

Para su presentación, este trabajo de investigación se estructuró de la forma siguiente:

CAPÍTULO I: MARCO TEÓRICO REFERENCIAL DE LA INVESTIGACIÓN

Un servicio de TI es un conjunto de recursos de la infraestructura de TI, que cumplen con una o

Según (Reyes, 2006) un servicio TI es un conjunto descrito de instalaciones, pueden ser de

• Cubre una o más necesidades del cliente

• Soporta los objetivos de negocio del cliente

• Es percibido por el cliente como un todo coherente

Engloba fundamentalmente tres elementos:

• Los procesos que lo conforman.

• Las responsabilidades y personas involucradas en dichos procesos.

• Brindar información confiable, oportuna y segura.

• Apoyar a la toma de decisiones.

• Agregar valor a otros procesos.