GOBIERNO DE TI

Vista previa del material en texto

UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO 
“FACULTAD DE INGENIERÍA CIVIL, DE SISTEMAS Y ARQUITECTURA” 
“ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS” 
 
 “GOBIERNO DE TI” 
 
INTEGRANTES: 
 Burga Coronel Andrés 
 Matta Fernández Jhony Alberth 
 Muguerza Sánchez José Emanuel 
 Nicole de los Ángeles Valdivieso Pardo 
 Peña Sampén José Alonso 
 Sandoval Cherres José Alexander 
 
DOCENTE: 
 
Ing. Segundo Jose Castillo Zumarán 
 
CURSO: 
 
Normalización y Calidad 
 
 
Lambayeque, octubre del 2021 
 
 
 
GOBIERNO DE TI/SI 
Cada vez toma mayor importancia el área de TI (Tecnologías de la información) como apoyo 
para cada uno de los procesos de la organización, lo cual ha generado una nueva dinámica en 
la forma en que se efectúan los negocios, enmarcados hacia nuevos mercados en el plano 
nacional e internacional. Es poco común escuchar de los profesionales de TI, el término 
Gobierno de TI, pero sus aportes son muy valiosos, garantizando un soporte necesario en los 
objetivos del negocio. 
Se entiende por Gobierno TI o IT Governance, consiste en una estructura de relaciones y 
procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos 
y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. El 
Gobierno de TI, es una metodología de trabajo, no una solución en sí. Está orientado a proveer 
las estructuras que unen los procesos de TI, recursos de TI e información con las estrategias y 
los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza las mejores 
prácticas de planificación y organización, adquisición e implementación, entrega de servicios 
y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y 
las tecnologías relacionadas soportan los objetivos del negocio. El Gobierno de TI conduce a la 
empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, 
capitalizar sus oportunidades y obtener ventaja competitiva. ¿Por qué es tan importante el 
Gobierno de TI en una organización? Seguramente muchos empresarios cuando oyen hablar de 
la palabra “gobernabilidad”, intuitivamente la asocian con sus políticas de gobierno, altos 
costos, presupuestos quemados y procesos muy lentos. Sin embargo, los objetivos del Gobierno 
de TI (IT Governance) apuntan a todo lo contrario, como ya lo hemos hablado en artículos 
anteriores. El gobierno corporativo de TI está hecho especialmente para ayudar a esos 
empresarios en la toma de decisiones, basadas en buenas prácticas y casos de éxito. Apunta a 
reducir los costos de la organización, distribuir de manera óptima los presupuestos y poner en 
marcha los procesos mediante la adopción de una visión empresarial exitosa, en vez de perder 
tiempo y esfuerzo con la “prueba y error” 
Marco de gobierno de tecnologías de la información. 
De acuerdo con el IT Governance Institute, las principales dimensiones o áreas del gobierno TI 
son las siguientes: 
1. Alineamiento Estratégico: se enfoca en asegurar la conexión e integración del negocio 
con los planes de las Tecnologías de información. Su objetivo es obtener mejor 
alineación que la competencia. 
2. Entrega de valor: se refiere a ejecutar las propuestas de valor durante el ciclo de 
entrega, asegurando que TI entrega los beneficios relacionados con la estrategia del 
negocio, concentrándose en optimizar costes. 
3. Gestión del riesgo: Comprende la necesidad del cumplimiento con los requisitos, 
transparencia en el tratamiento de los riesgos más significativos e integrar las 
responsabilidades de la gestión de riesgos en la organización. 
4. Gestión de recursos: se centra en la organización de manera óptima de los recursos de 
TI de forma que los servicios que los requieran los obtengan en el lugar y momento 
requerido. 
5. Medición del Rendimiento: controla la estrategia de la implantación, la estrategia de 
los proyectos, el uso de los recursos y el rendimiento de los procesos. Sin embargo si 
no hay una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno 
TI es muy probable que fallen. Los tres marcos de referencia del gobierno de TI actúan 
como integradores de otros modelos, estándares y metodologías como ITIL, PMBOK, 
ISO 27002, ISO 9000. Lo que permite aprovechar los avances que ya existan en una 
organización respecto al gobierno TI. Los factores inductores del Gobierno TI en la 
organización pueden ser: Regulaciones y Normativa: Legales (SOX, LOPD), 
Estándares (ISO 27001, ISO 20000), Certificaciones CMMI. Optimización de 
Recursos: Reingeniería procesos TI, Consolidación de recursos y Estrategias de 
externalización. Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de 
vida de productos y de la demanda. 
Estándares para un buen Gobierno de TI 
Cada vez más, la alta dirección está tomando conciencia del impacto significativo que la 
información puede tener en el éxito de una organización, por tal motivo se está generando un 
cambio en cómo son concebidas las áreas de TI y su importancia en el crecimiento de las 
compañías. Dada su importancia, el Gobierno de TI ya tiene una norma ISO asociada, la 
ISO/IEC 38500:2008 “Corporate governance of information technology”, que viene a 
complementar el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la 
información. Esta norma fija los estándares para un buen gobierno de los procesos y decisiones 
empresariales relacionados con los servicios de información y comunicación que, suelen estar 
gestionados tanto por especialistas en TIC internos o ubicados en otras unidades de negocio de 
la organización, como por proveedores de servicios externos. Es así como debido a la creciente 
necesidad de implementar el Gobierno TI en las organizaciones, se ha tomado como marco de 
referencia a COBIT (Control Objectives for Information Technology), el cual tiene en 
Colombia implementaciones exitosas. Es muy importante que las organizaciones consideren 
implementar el Gobierno de TI, pues ayuda a la comunicación entre el negocio y el área de TI, 
logrando un mejor alineamiento entre ambos, permite la optimización de recursos y reducción 
de costos, cumplimiento regulatorio y mejora continua de los procesos de TI. 
Importancia del buen Gobierno de TI 
Es ya conocido por todas las importancias que las TI tienen en prácticamente todas las 
actividades económicas de hoy en día: en algunas industrias es un recurso competitivo necesario 
para diferenciarse y proporcionar ventaja competitiva; mientras que en muchas otras, determina 
no la prosperidad, sino simplemente la supervivencia. Podemos decir entonces que las TI se 
han convertido en una herramienta catalizadora por excelencia de la competitividad y 
productividad de toda organización. Por ello, realizar inversiones exitosas en TI para llevar a la 
organización al siguiente nivel de productividad, innovación y poder crear productos y servicios 
con valor agregado, se ha convertido en una habilidad universal en el mundo de los negocios. 
Por esto, las TI son un elemento empresarial tan intrínseco y difundido, y se necesita poner 
especial atención en ella, revisando cuanto se apoya la empresa en ésta y cuán importante es 
ésta para la ejecución de la estrategia empresarial. Tradicionalmente, el manejo de las TI 
siempre ha sido relegado a un netamente aspecto técnico que tiene que ver nada más con los 
“ingenieros”. Es por esto que muchas de las inversiones en TI que se realizan en el mundo, no 
consiguen ningún retorno ni aportan valor a la organización. 
Este “lejanía” de las TI de la visión empresarial es causada por la naturaleza distinta que tienen 
las TI, que requieren más entendimiento técnico que otras disciplinas para comprender cómo 
habilita a la empresa y crea riesgos y oportunidades. Además, las TI han sido tratadas 
tradicionalmente como una entidad separadadel negocio, por lo que la Alta Gerencia está 
acostumbrada a fijarse únicamente en la competencia empresarial y los riesgos estratégicos, sin 
darle la atención debida a las TI, a pesar de las grandes inversiones que implica. 
Buenas prácticas de modelos de implementación de gobierno de TI. 
En las empresas se tiene la necesidad de entender el estado de la TI existente y de decidir el 
nivel de administración que se debe proporcionar, para saber dónde se encuentra actualmente y 
si se requieren mejoras, haciendo monitorización continua al proceso. El marco propone una 
evaluación por cada componente (TIC, aplicativos de apoyo, arquitectura SI/TI y modelado de 
negocio), en cada uno de ellos se debe medir los objetivos de control presentes; asignándole un 
grado de madurez en cada nivel. 
El nivel o grado de madurez muestra una estructura que permite comparar el nivel de desarrollo, 
para establecer la capacidad de administración de proyectos en una empresa o negocio; este 
consiste en el proceso que explica el camino que debe emprender la empresa para alcanzar la 
excelencia. El modelo de madurez permite reconocer en dónde está en determinado momento 
la empresa y como puede alinear los procesos tecnológicos con el direccionamiento estratégico 
de la organización. Son modelos de seguridad informática (ACIS, VIII) NIST-CSEAT, CITI-
ISEM, COBIT Maturity Model, ISM3, SSE-CMM, CERT-CSO. El ISM3 Information Security 
Management Maturity Model, el modelo NIST-CSEAT: National Institute of Standards and 
Technology-Computer Secutiry Expert Assist Team que incluye cinco niveles de madurez 
progresiva como política, procedimiento, implantación, prueba e integración. 
El modelo NIST-CSEAT evalúa políticas, procedimientos, implementación, evaluación e 
Integración. Incluye aspectos como manejo y cultura, planes, entrenamiento y educación, 
presupuesto y recursos, manejo de ciclo de vida, responsabilidad en incidentes y emergencias, 
controles de seguridad operacional, seguridad física y controles de seguridad de TI. En los 
niveles de madurez de COBIT, va desde el nivel inexistente hasta el nivel optimizado; en el 
nivel inicial puede la empresa haber reconocido las necesidades de estructurar los procesos, 
pero no existen estándares, ni proceso formal, se manejan enfoques ad-hoc que generalmente 
se realizan de forma individual, presentándose gestión desordenada. En el nivel repetible el 
proceso se encuentra suficientemente desarrollado y varias personas ejecutan casi los mismos 
procedimientos, aunque carece de un entrenamiento formal y comunicación en los 
procedimientos siendo esto responsabilidad individual; el mayor problema radica en la 
dependencia del individuo (trabajador) existiendo una considerable probabilidad de error 
considerable. En el nivel definido, ya encontramos procesos estandarizados, documentados, 
bien difundidos a través de entrenamiento formal, el problema radica en el criterio para su 
adopción. En el siguiente nivel de madurez el gestionado, se pueden tomar decisiones ya que 
se monitorea y mide la aplicación de los procedimientos, se presenta mejora continua, los 
procesos se realizan de forma automática. En el nivel de madurez optimizado, o nivel de 
mejores prácticas, el proceso se basa en la mejora continua, las tecnologías se usan de forma 
integral, se incluyen herramientas que mejoran la calidad y efectividad, permitiendo aumentar 
la capacidad de adaptación de la organización y por ende la alineación de las tecnologías con 
las estructuras organizacionales. 
 
Alineamiento estratégico 
Las situaciones económicas de buena parte de las empresas hacen que todos los temas de 
inversión sean manejados con mucha cautela. La época de la presentación de presupuestos a 
finales del año para el año siguiente, y luego simplemente ejecutar el mismo se ha quedado en 
el recuerdo. 
El manejo de los presupuestos de tecnología informática también ha sufrido la misma suerte. 
Hace unos años, el crecimiento de los sistemas de información y la renovación tecnológica 
formaban parte de los rubros estables en los ejercicios de presupuesto. Hoy es indispensable 
que cada peso que se invierta en la tecnología informática sea justificado, no en términos de 
obsolescencia tecnológica sino en el impacto que tiene en el último renglón de los estados 
financieros, el renglón de las utilidades. 
Justificar proyectos de tecnología cada vez se hace más difícil precisamente por la dificultad de 
relacionar los desembolsos al impacto que tienen en el desempeño de la empresa. Existe, sin 
embargo, un concepto administrativo bajo el nombre de alineamiento estratégico de la 
tecnología que permite de alguna manera solventar esta dificultad. 
El alineamiento estratégico parte de las estrategias ya establecidas en una empresa. Por más 
pequeña que sea una empresa, por lo menos se tienen unos cursos de acción y unas metas a 
cumplir, puede que no formalmente, pero se tienen. En empresas de mayor tamaño ya se 
encuentran procesos de planeamiento estratégico que permiten identificar formalmente las 
estrategias de la compañía. Si está bien hecho el proceso, se obtienen los objetivos estratégicos, 
estos sí con sus respectivas métricas. 
Por otra parte, se necesita una adecuada ejecución de los procesos que impactan mayormente 
el resultado de la estrategia. Si el objetivo es el aumento de la venta mediante venta agregada 
con base en la historia de compra del cliente, el proceso de manejo histórico de las compras del 
cliente, además del de proyectar las ventas se vuelve crucial. 
Como dirían los profesores de ciencias y matemáticas, «por definición» los sistemas de 
información y por ende la tecnología digital debe brindar soporte a los procesos de la compañía, 
ya que éstos el componente más durable de la empresa. 
Por más que una compañía ajuste, mejore, divida o reduzca sus procesos, a menos que cambie 
de objeto, una empresa pagará a sus empleados, producirá y/o comercializará productos, 
comprará insumos y materias primas, y tendrá relaciones con entidades de control. La 
implementación de tecnología para apoyar procesos hace más duradera la efectividad de la 
misma. 
Por último, viene el alineamiento estratégico con el que iniciamos. La aplicación de la 
tecnología debe hacerse en los procesos que mayor impacto tienen sobre el éxito de la estrategia. 
Si una estrategia depende del conocimiento de la información de los clientes, un adecuado 
manejo de la misma a través de soluciones de CRM permitiría una alineación de la tecnología 
con las estrategias. 
Sin embargo, si, por el contrario, el énfasis está en la optimización del proceso productivo a 
través de mejoramiento de las relaciones con los proveedores, una aplicación de CRM no 
tendría oficio, por más que se sustente y esté de «moda» su implementación. 
Los Planes Estratégicos de Tecnología e Información persiguen este alineamiento, y en la 
medida en que efectivamente haya una implementación y administración de la tecnología 
alineada con el logro de los objetivos del negocio, habrá siempre disposición para seguir 
invirtiendo en tecnología. ¡De lo contrario, siempre se mirará el Departamento de TI como un 
Gasto! 
 
 
 
 
Estrategia de Negocio 
La estrategia del negocio y el alineamiento de las Tecnologías de la información y la 
comunicación (TI) son elementos fundamentales de un Gobierno de TI. Este ramifica las metas 
y estrategias hacia todas las áreas funcionales de una determinada organización para 
proporcionar un uso eficiente de la tecnología y sus estructuras organizativas para cumplir las 
metas establecidas. 
La administración estratégica involucra la formulación e implementación de los principales 
objetivos e iniciativas por los directivos de las compañías, con base en la consideración de los 
recursos y un asesoramiento de los ecosistemas en los que compite la compañía (Nag, 
Hambrick, & Chen, 2012) 
Su propósito de una estrategiade negocio es crear un "posicionamiento único y valioso en el 
mercado", hacer compromiso eligiendo "qué no hacer", y alinear las actividades de la compañía 
para que apoyen a la estrategia en curso. El Dr. Vladimir Kvint define la estrategia como "un 
sistema para encontrar, formular y desarrollar una doctrina que asegure el éxito a largo plazo" 
(Kvint, 2009). 
La estrategia corporativa involucra el responder a una pregunta clave: "¿En qué negocio 
deberíamos estar?" y la estrategia de negocios involucra la pregunta "¿Cómo deberíamos 
competir en este negocio?" En la teoría y práctica de la gestión hay diferencias, ya que la gestión 
operacional se preocupa en la mejorar de la eficiencia y control de los costos dentro de los 
límites establecidos por la estrategia de la compañía (Chaffee, 1985). 
Plan de ti/si 
Plan de TI/SI: 
Es importante entender que hay algunos axiomas fundamentales que todas las organizaciones 
de TI/SI deben reconocer: 
1. Focalizarse en tratar de estar alineados con las necesidades del cliente y ofrecer 
servicios de calidad que exceden las expectativas. 
2. Construir la información, aplicaciones, infraestructura y arquitecturas que soportan 
esos servicios. 
3. Tener la organización correcta, los roles y recursos indicados, y los procesos que 
apoyen esos servicios. 
4. Monitorear, medir y mejorar de forma continua. 
5. Asegurar las actividades de gobierno, control del riesgo y cumplimiento de todo lo 
anterior 
 
 Establecimiento de la estrategia 
¿Dónde estamos hoy? 
 Entendimiento de la organización 
¿Qué necesitamos hacer de forma urgente? 
 Diagnostico de tecnologia de informacion 
 Plan de accion de corto plazo 
¿A donde queremos estar? 
 Analisis de brecha 
¿Qué necesitamos hacer para llegar? 
 Formulacion del plan estrategico 
Análisis de la Brecha: 
• Alineación estratégica con el Negocio 
• FODA de TI 
• Tendencias de TIC en el sector 
• Evaluación arquitectura de TI y 
Comunicaciones 
• Análisis de Riesgos y Seguridad 
• Análisis del Portfolio de Aplicaciones 
• Demandas y niveles de servicio 
• Planes de recupero, seguridad, capacidad 
• Reorganización de procesos o estructural 
• Planes de RR.HH y capacitación 
 
 
Objetivos Generales: 
El Plan Estratégico de TI/SI debe estar orientado hacia el logro de los siguientes objetivos 
generales: 
• Integrar los proyectos de Tecnología de Información con los planes estratégicos generales de 
la Organización. 
• Garantizar una administración de TI/SI ágil, eficiente e innovadora acorde con las 
tecnologías actuales y las que están por venir. 
• Responder más eficaz y rápidamente a los cambios de las necesidades de la empresa. 
• Resolver las cuestiones, falencias y observaciones que hayan sido detectadas tanto en forma 
interna como por auditorías externas. 
• Identificar las necesidades futuras (corto y mediano plazo) tanto a nivel organizativo, 
necesidad de recursos humanos, e infraestructura tecnológica, en función de los niveles 
previstos de servicio. 
• Definir las estrategias de arquitectura de TI, en lo relacionado con la evolución del mercado 
a nivel de tecnologías informáticas y comunicaciones, 
• Identificar los servicios y definir los niveles de calidad exigibles en los mismos 
• Fomentar el trabajo conjunto de todas las gerencias de la entidad para evitar la duplicación 
de sistemas de aplicación. 
• Basar los proyectos en estudios de factibilidad, y gestionarlos conforme a la metodología 
establecida por la PMO. 
• Asegurar un desarrollo evolutivo de la Tecnología de Información para toda la entidad. 
 
Planeamiento Estrategico en TI/SI 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Generación de Valor de las Inversiones de TI/SI. 
La generación de valor de negocio a partir de la TI (Business Value from IT – BVIT) se logra 
cuando las firmas consiguen generar mayores ingresos o bajar sus costos mediante inversiones 
en TI4, Con el fin de identificar las actividades más importantes en relación a la gestión de TI 
que deben ser conducidas tanto por los ejecutivos de TI como por sus pares en las unidades de 
negocio. A partir del análisis estadístico fue posible determinar que aquellas firmas que son 
mejores en generar valor de negocio a partir de la TI (BVIT) desempeñan significativamente 
mejor las siguientes cuatro actividades: 
 Identificación de Necesidades, es decir, definen las iniciativas necesarias para apoyar 
negocio en el cumplimiento de sus metas 
 Desarrollo de Aplicaciones, tales como adquisición, desarrollo y mantenimiento de 
sistemas información. 
• Estrategia Organizacional 
• Competencias Fundamentales 
• Crecimiento, Estabilidad, Reducción 
• Modelo de Negocio (centralización, descentralización) 
• Planes de Inversión 
• Reestructuraciones Funcionales 
• Análisis de la Brecha y Análisis del FODA 
• Actualización Tecnológica por Obsolescencia 
• Observaciones de Auditorias y Mejores Prácticas 
• Necesidad de reestructuración funcional 
• Identificación de Objetivos Estratégicos 
• Identificación de proyectos, servicios, procesos para 
cada objetivo estratégico. 
FASE 1 
Comprension 
estrategica 
corporativa 
FASE 4 FASE 2 FASE 3 
Analisis Gap 
y elaboracion 
de estrategias 
Analisis 
situacion 
actual TI 
Elaboracion 
del plan 
estrategico 
• Alineamiento Estratégico 
• Identificación de Fortalezas, Oportunidades, 
Debilidades, Amenazas de TI (FODA) 
• Recopilacion de informes y observaciones de 
auditorias 
• Estado actual de infraestructura y servicios 
• Proyectos ya iniciados 
• Demandas internas 
• Detalle del Plan Estratégico a 3 años 
• Detalle de cada proyecto dentro del Objetivo 
Estratégico 
• Proyectos estratégicos ordenados y priorizados 
• Análisis de los Riesgos e Impacto 
• Identificación de recursos y responsables 
• Presupuestos estimados 
 Rediseño de Procesos de Negocio (BPR) /Cambio Organizacional, es decir, 
implantación de cambios en los procesos de negocio a consecuencia de iniciativas de 
TI. 
 Gestión de TI, es decir, asegurar la unidad de TI opere efectiva y eficientemente. 
Gestión del riesgo de TI 
Los riesgos de TIC han estado presentes en la evolución de los diferentes modelos de negocio 
y reglamentaciones que han surgido a través del tiempo, lo que pone de manifiesto que cualquier 
riesgo tecnológico no puede ser analizado al margen del contexto organizacional dado su efecto 
dominó sobre sus procesos, metas y objetivos. Ello conlleva un proceso de articulación entre 
las actividades de riesgo organizacional y riesgo de TIC, y en particular [a] desarrollar 
iniciativas de [gobierno y gestión de riesgos de TI] (Valencia et al., 2016). Valencia et al., 
aclaran que “El concepto de gobierno y gestión de riesgos de TIC surge a partir de la noción de 
gobierno y gestión de TIC. Entendido el gobierno de TI, como un sistema por el que se dirige 
y controla la utilización actual y futura de las TIC” (2016). La gestión de TI, por su parte, “se 
centra en administrar e implementar la estrategia tecnológica del día a día, y su enfoque está 
más orientado al suministro interno de TI” (Valencia et al., 2016). Además, se define la gestión 
de TI como “el sistema de controles y procesos requeridos para lograr los objetivos estratégicos 
establecidos por la dirección de la organización” (Valencia et al.). Marco Teórico Metodología 
para la gestión de riesgos de TI Informe del Trabajo Final de Graduación 29 Como parte de su 
investigación, Valencia et al. concluyen que algunas fases son comunes en cualquier proceso 
de gestión de riesgos. Estos autores, afirman que las fases se pueden resumir en: 
Establecimiento del contexto. 
 Identificación de riesgos. 
 Análisis de riesgos. 
 Valoración de riesgos. 
 Plan de tratamiento de riesgos. 
 Comunicación y consulta. 
 Monitoreo. 
Estas fases, son congruentes con lo que se indica en las mejoresprácticas relacionadas a la 
gestión de riesgos de TI. Más adelante, en este mismo capítulo, se detalla lo indicado por dichas 
prácticas. Los apartados siguientes muestran algunos aspectos clave en la gestión de riesgos de 
TI, las principales diferencias con una gestión de riesgos organizacional y algunos principios 
importantes para un enfoque estructurado de gestión de riesgos de TI. 
1. Aspectos clave en la gestión de riesgos de TI 
En (Kumsuprom, 2010), Se describen algunos aspectos clave para la gestión de riesgos 
de TI. En seguida se resumen dichos aspectos según lo indicado por este autor. 
Gestión de recursos humanos 
La gestión de riesgos de TI se encuentra inmersa en la estructura organizacional de la 
empresa o entidad en la que se desarrolle. Para garantizar una gestión de riesgos eficaz, 
la organización debe tener el conocimiento y establecer los procedimientos adecuados. 
Así mismo, la arquitectura organizacional, debe permitir que los colaboradores 
desempeñen sus responsabilidades en la gestión de riesgos de TI (Kumsuprom, 2010). 
Gestión de TI 
La importancia de la gestión de TI para una adecuada gestión de riesgos, radica en que 
la primera permite conocer los recursos y la capacidad de TI (Kumsuprom, 2010). Los 
recursos de TI están directamente ligados con el riesgo, pues pueden ser factores 
causantes de riesgo o bien, pueden verse afectados por la ocurrencia de riesgos. La 
capacidad de TI, por su parte, es un concepto al que se debe prestar atención en pro de 
disminuir el nivel de riesgo asociado. 
Gestión de la seguridad de la información 
La seguridad de la información, tanto física como lógica, es un aspecto relevante para 
la gestión de riesgos de TI. Permite asegurar que los datos y la información están 
protegidos con identificación/autenticación, autorización, confidencialidad, integridad 
y no repudio. Los controles de seguridad que establezca la organización son aliados 
importantes para la gestión de los riesgos; tanto aquellos asociados con vulnerabilidades 
propias de los activos como los que son causados por el hombre (Kumsuprom, 2010). 
Controles para riesgos de TI 
Tanto los controles que se haya establecido para los objetivos de negocio como los 
relacionados con los objetivos de TI, deben adaptarse al modelo de gestión de riesgos 
de TI. Adaptarse de manera que aseguren el diseño de políticas, procedimientos, 
prácticas y de una estructura organizacional que permita prevenir, detectar y corregir 
los riesgos de TI oportunamente (Kumsuprom, 2010). 
 
 
2. Aspectos diferenciadores entre la gestión de riesgos general y la de TI 
Los activos objeto del análisis de riesgo y los parámetros utilizados para medir el 
impacto del riesgo, son los principales aspectos diferenciadores entre un proceso de 
gestión del riesgo organizacional y uno específico para la gestión de riesgos de TI 
(Valencia et al., 2016). En los apartados siguientes, se resume lo indicado por los autores 
al respecto de estos dos aspectos. 
 
Activos objeto del análisis de riesgo 
Según Valencia et al., los principales objetos que se debe considerar para el análisis de 
riesgos de TI son la información y los activos tecnológicos (2016). Sin embargo, estos 
autores indican que debido a la evolución que ha experimentado la función de TI en las 
organizaciones, se debe agregar el concepto de servicios de TI. Pues esta función ha 
pasado de gestionar simplemente recursos tecnológicos, a realizar una gestión integral 
de servicios que soportan los procesos de una organización (Valencia et al.). Del párrafo 
anterior es posible resumir que, para una gestión integral de riesgos de TI, el análisis 
debe considerar tres áreas fundamentales: la información, los activos tecnológicos y los 
servicios de TI. En congruencia con estas tres áreas, Valencia et al., proponen un modelo 
de 12 capas interdependientes que deben ser consideradas por una gestión integral de 
riesgos, ya que podrían generar un efecto dominó en caso de falla en alguna de 
ellas(2016). La Tabla 5 presenta las capas que, según (Valencia et al.), se debe 
considerar en el análisis de riesgos de TI. 
1. Procesos de negocio. 
2. Servicios de TI 
3. Datos, información, conocimiento 
4. Sistemas de información transaccionales 
5. Sistemas de información de soporte 
6. Motores de bases de datos 
7. Sistemas operativos 
8. Computadoras personales de escritorio e impresoras 
9. Servidores 
10. Centros de redes y cableado 
11. Centros de cómputo 
12. Sistemas de energía 
Parámetros para la medición del impacto 
Según (Valencia et al., 2016), el impacto de cualquier tipo de riesgo afecta directamente 
los objetivos de una organización, sin embargo, el impacto de los riegos de tecnología 
de información se mide generalmente en tres términos: Confidencialidad, Integridad y 
Disponibilidad. A continuación, se presenta un resumen de estos tres aspectos. 
Confidencialidad hace referencia la propiedad de la información dolo ser accesible a 
individuos, entidades o procesos que tengan la respectiva autorización y que requieran 
conocer dicha información (Valencia et al., 2016). Integridad es la propiedad de 
salvaguardar y garantizar la exactitud y la completitud de los datos (Valencia et al., 
2016). Disponibilidad se refiere a que, tanto la información como los activos 
tecnológicos, deben estar disponibles en el momento en que así sea requerido por los 
procesos de negocio (Valencia et al., 2016). 
 
3. Enfoque estructurado para la gestión de riesgos de TI 
El desarrollo de las tecnologías de información y comunicación, ha crecido 
dramáticamente para soportar los procesos de negocio (Kumsuprom, 2010). Esto da 
paso al surgimiento de estructuras de gestión como lo son las siguientes. 
Gobierno de TI 
Para la adecuada gestión del riesgo de tecnología de información, se debe contar con 
una estructura de Gobierno de TI, que sea parte integral del Gobierno Corporativo. Una 
estructura de gobierno de este tipo, es capaz de definir lineamientos y responsabilidades 
para la adecuada gestión de riesgos, así como un proceso de evaluación de controles. 
Además de velar por el alineamiento de la gestión de riesgos con las aspiraciones del 
negocio (Kumsuprom, 2010). 
 
 
Gobierno de seguridad de la información 
La seguridad de la información, no solamente es un tema técnico, también incluye 
aspectos relevantes para el negocio. Una estructura de Gobierno de Seguridad de la 
Información tiene entre sus principales funciones proveer a la organización de una 
estrategia general para la seguridad de la información (Kumsuprom, 2010). Dicha 
estrategia, según (Kumsuprom, 2010), debe incluir: 
 El entendimiento de la información y de la seguridad de la información que 
son críticas para la organización. 
 La revisión de la inversión en seguridad de la información para asegurar el 
alineamiento con la estrategia y el perfil de riesgo de la organización. 
 Apoyar el desarrollo y la implementación de un programa integral de seguridad 
de la información. 
De acuerdo con (Kumsuprom, 2010) el liderazgo, así como los procesos 
organizacionales son fundamentales en el gobierno de seguridad de la información y sus 
principales beneficios son: 
 Mayor previsibilidad y menor incertidumbre en las operaciones de negocio 
mediante la reducción del riesgo relacionado con la seguridad de la información 
a niveles aceptables. 
Aseguramiento de una política efectiva de seguridad de la información y del 
cumplimiento de dicha política. 
 Una base sólida para la gestión eficiente y efectiva de riesgos, la mejora en el 
proceso y la rápida respuesta a incidentes relacionados con seguridad de la 
información. 
 
ITSM 
El impacto de las nuevas tecnologías de la información y la comunicación en las empresas hoy 
en día hace necesario que dispongan de una adecuada gestión de estos servicios. 
 
La importancia IT dentrode los distintos procesos empresariales implica que la conexión 
entre IT y la estrategia de negocio se realice correctamente, combinando la tecnología con 
los procesos y las personas. 
 
Qué es ITSM 
ITSM (Information Technology Service Management) o la gestión de servicios de 
tecnología de la información, es un enfoque estratégico orientado a la implementación, gestión, 
monitorización y mejora de los servicios IT de una empresa. ITSM es una metodología que 
pone el foco en el cliente y está orientada al servicio. 
 
ITSM vs. ITIL vs. DevOps 
El marco de trabajo de TI adecuado genera una colaboración y una supervisión efectivas. Como 
tal, muchas organizaciones se encuentran defendiendo ITSM/ITIL o DevOps. Pero 
comprometerse completamente con un enfoque u otro puede ser problemático. 
 
ITSM/ITIL y DevOps no son mutuamente excluyentes. Cada uno tiene sus propios objetivos y 
funciones. Aquí, proporcionamos definiciones de alto nivel de cada uno, así como una mirada 
a cómo se relacionan entre sí: 
 
https://www.ambit-bst.com/blog/itsm-clave-estrategica-transformacion-digital
https://www.ambit-bst.com/blog/itsm-clave-estrategica-transformacion-digital
ITSM 
ITSM es un enfoque estratégico para la gestión de TI que se centra en ofrecer valor a los 
clientes. ITSM define claramente los roles y responsabilidades de cada individuo y 
departamento con respecto a los servicios de TI. Permite aumentar la productividad, reducir los 
costes y mejorar la satisfacción del usuario final. 
ITIL 
ITIL es un marco para la gestión de servicios de TI que proporciona las prácticas recomendadas 
detalladas para que las funciones de TI se alineen con los resultados comerciales de una 
organización. ITIL significa biblioteca de infraestructura de TI. 
ITIL es uno de los diferentes marcos de prácticas recomendadas para ITSM, que proporciona 
las herramientas y técnicas necesarias para proporcionar servicios de TI de manera efectiva. El 
marco ITIL ha pasado por varias iteraciones y la última se conoce como ITIL 4. 
DevOps 
Similar a ITIL, DevOps es un marco de TI. Pero, donde ITIL ayuda a optimizar la gestión de 
servicios centrándose sobre todo en la satisfacción del cliente, DevOps es una filosofía para el 
desarrollo y la entrega de TI. Une a los equipos de desarrollo y operaciones con el objetivo de 
mejorar la comunicación y la colaboración dentro de una organización. 
DevOps permite la entrega continua de aplicaciones, gastos reducidos, ciclos de desarrollo más 
cortos y una mejor cooperación entre departamentos. DevOps suele incorporar SRE (siglas en 
inglés de ingeniería de fiabilidad del sitio), que respalda aún más los objetivos de DevOps al 
permitir que los ingenieros automaticen las tareas operativas y aborden la gestión de incidentes. 
 
¿Por qué ITSM es importante? 
Las tecnologías de la información ahora abarcan e incorporan tareas y responsabilidades de 
toda la organización. La gestión de estos servicios es un desafío continuo y los clientes esperan 
que las empresas estén a la altura de la tarea. Las empresas dependen de ITSM para coordinar 
de manera efectiva estas casi innumerables tareas y procesos, al tiempo que se aseguran de 
entregar un valor real al cliente. 
Ya que la gestión de servicios de TI (ITSM) es una colección de políticas y procesos para la 
gestión y el soporte de servicios de TI (a lo largo de todo su ciclo de vida), ITSM ayuda a 
mejorar la eficiencia de una empresa y a aumentar la productividad de los empleados. 
 
Beneficios de ITSM 
ITSM es el puente que conecta a los profesionales de TI dentro de una organización con los 
usuarios finales que necesitan servicios de TI. Al hacerlo, ofrece una serie de beneficios. Aquí 
hay varias ventajas de usar ITSM: 
 
Beneficios para las empresas 
 
 Mayor agilidad 
Adáptate rápidamente a los cambios y a la innovación. 
 Costes reducidos 
Visualiza fácilmente los flujos de trabajo, lo que se traduce en una mayor eficiencia y 
ahorros de costes. 
 Menos problemas de TI y mejor respuesta 
https://www.servicenow.es/products/itsm.html
Disminuye los problemas de TI y responde a los incidentes rápidamente, reduciendo el 
coste y la interrupción asociados. 
 Cumplimiento sencillo 
Garantiza el cumplimiento de los requisitos reglamentarios. 
 Mejor servicio 
Mejora las tasas de satisfacción de los usuarios finales. 
 
Beneficios para TI 
 
 Mayor productividad 
Los objetivos alineados respaldados por servicios fiables garantizan que se haga más 
con menos problemas. 
 Mayor satisfacción del usuario 
Se ofrece TI como un servicio con las necesidades del usuario como el centro de 
atención principal. 
 Mejor escalado de procesos 
Los procesos son más eficaces, lo que permite a las organizaciones manejar más 
desarrollo de TI sin reducir la calidad. 
 Respuestas y detección de incidentes más rápidas 
Las organizaciones más rápidas disfrutan de una visibilidad de TI mejorada, 
identificando incidentes y respondiendo rápidamente antes de que se conviertan en un 
problema. 
 
 
Beneficios para los empleados 
 
 Mejor soporte de TI 
Soporte de TI 24 horas al día, 7 días a la semana para un rendir y producir más. También 
disfrutan de una comprensión más clara de los servicios de TI disponibles y de cómo 
utilizarlos correctamente. 
 Experiencia omnicanal 
Accede a información relevante y realiza solicitudes de asistencia desde cualquier 
dispositivo, en cualquier momento y desde cualquier lugar del mundo. 
 Roles y responsabilidades más claras 
Los equipos pueden comprender quién es responsable de qué tareas y son más 
responsables y están más informados. 
 Mejor alineación empresarial 
Visibilidad de lo que la empresa y los usuarios finales necesitan y por qué. 
 
Eficiencias de ITSM 
Un beneficio importante de ITSM es su capacidad para mejorar la eficiencia de TI. ITSM lo 
hace de las siguientes maneras: 
 
 Uso eficaz de recursos escasos de TI 
El paraguas de ITSM abarca toda la gama de servicios de TI para un enfoque más eficaz. 
 Flujo de trabajo del proceso 
El flujo de trabajo del proceso automatizado mejora la colaboración y elimina muchas 
tareas manuales. ITSM reduce y optimiza muchas tareas de los empleados, dándoles 
más tiempo para concentrarse en la estrategia y los clientes. 
 Ahorra tiempo y dinero 
ITSM identifica y elimina problemas recurrentes y promueve una resolución de 
problemas más rápida. Esto reduce los costes, tanto en términos de inversión de tiempo 
como de dinero. 
 Reduce la inactividad 
Una respuesta de TI más rápida y una mejor gestión de la disponibilidad significan que 
tus recursos siempre estarán trabajando para mejorar tu empresa. 
 Prevé los problemas antes de que ocurran 
Crea respuestas eficaces y personalizadas para problemas específicos de TI. 
 Informes esclarecedores 
La automatización de informes hace que el proceso de informes sea más rentable y 
preciso. 
 Gestión de incidentes basada en servicios 
ITSM te permite identificar problemas potenciales y responder a ellos antes de que 
puedan causar problemas graves. Aumento de la visibilidad y la respuesta a incidentes 
 Recupere rápidamente los problemas críticos de TI 
ITSM proporciona las estrategias y los recursos para capear incluso los peores 
temporales de TI y luego recuperarse rápidamente. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Bibliografía 
 
Alex Armando Torres Bermúdez, H. A. (2016). Modelo de Gestión y Gobierno de Tecnologías de. Caso 
Instituciones de Educación Superior en el Departamento del Cauca. 
Chaffee, E. (1985). “Three models of strategy”. London: Academy of Management Review. 
Kvint, V. (2009). The Global Emerging Market: Strategic Management and Economics. Miami: 
Routeledge. 
Nag, R., Hambrick, D., & Chen. (2012). «What is strategic management, really? Inductive derivation of 
a consensus definition of the field». Miami: M-J Editions.