http://dx.doi.org/10.14483/udistrital.jour.tecnura.2015.SE1.a14

Un enfoque de buenas prácticas de gobierno corporativo de TI

Model for implementation of IT corporate governance

Torcoroma Velásquez Pérez¹, Andrés Mauricio Puentes Velásquez², Yesica María Pérez Pérez³

¹Ingeniera de sistemas, especialista en ingeniería de software; magister en ciencias computacionales; doctorado en educación (c). Grupo de investigación de tecnología y desarrollo en ingeniería, Universidad Francisco de Paula Santander Ocaña. Ocaña, Colombia, tvelasquezp@ ufpso.edu.co
² Ingeniero de sistemas, especialista en docencia universitaria; magister en ingeniería de sistemas y computación (c). Grupo de investigación de tecnología y desarrollo en ingeniería, Universidad Francisco de Paula Santander Ocaña. Ocaña, Colombia. ampuentesv@ufpso.edu.co
³ Ingeniera de sistemas, especialista en auditoría de sistemas; magíster en dirección estratégica (c). Grupo de investigación de tecnología y desarrollo en ingeniería, Universidad Francisco de Paula Santander Ocaña. Ocaña, Colombia. ymperezp@ufpso.edu.co

Fecha de recepción: 2 de octubre de 2014 Fecha de aceptación: 18 de agosto de 2015

Cómo citar: Velásquez Pérez, T., Puentes Velásquez, A. M., & Pérez Pérez, Y. M. (2015). Un enfoque de buenas prácticas de gobierno corporativo de TI. Revista Tecnura, 19, 159-169. doi: 10.14483/udistrital.jour.tecnura.2015.SE1.a14

Resumen

Teniendo en cuenta las buenas prácticas, este trabajo planteaun marco conceptual degobierno de Tecnología de la Información, en donde se estructura la organización en cuatro niveles: Nivel de los procesos de la empresa, sistemas de información integrado, sistemas de apoyo y nivel de tecnología de la información y comunicación, se incorporan los dominios de control de COBIT 4.1 y se evalúan de los niveles de madurez CMMI. Se diseña e implementa una guía para establecer los lineamientos de gobernanza de tecnología de la información, con la aplicación de esta guía se inicia el proceso de validación con los proyectos del laboratorio de auditoria desde el año 2012 en diferentes sectores productivos de la región de Ocaña y zonas aledañas. A través de la aplicación y evaluación del modelo se desarrollan propuestas para las empresas donde se incorporan estándares como COBIT 5.0, e ISO/IEC 38500. Para este trabajo se utilizó una metodología descriptiva, la cual permite identificar el modelo presentado.

Palabras clave: CMMI, COBIT 5.0, Gobierno de TI, ISO/IEC 38500.

Abstract

In accord with the good practices, this paper presents a conceptual framework for IT Governance, where four levels of the organization: TICs, support applications, architecture / IT and business model are structured, incorporating domains of COBIT 4.1 and CMMI for evaluating maturity levels. Implementation guidance is designed to establish criteria for applying IT Governance framework and its validation starts from the year 2012 in different productive sectors of the province of Ocaña and its hinterland. Through the implementation and evaluation of the proposed model for companies where standards like COBIT 5.0 and ISO / IEC 38500 are incorporated. For this work, a descriptive methodology is used to identify the presented models.

Keywords: CMMI, COBIT 5.0, IT Governance, ISO/ IEC 38500.

Introducción

En lo que respecta a tecnologías de la información las organizaciones deben tomar cinco tipos de decisiones correspondientes a 111 principios de TI: a) arquitectura de las TI, b) infraestructura de TI, c) aplicaciones de negocio, d) priorización y e) inversiones en TI (Weill, 2003). Según la RAE, gobernanza es definido como el arte o la manera de gobernar (Real Academia Española, 2001). La gobernanza corporativo busca a través de la monitorización del desempeño y la definición de estructuras asegurar el cumplimiento de los propósitos misionales (Garbarino, 2010); no se ve muy claro a nivel internacional un modelo unificado de gobernanza empresarial, diferentes esquemas establecen una junta supervisora que se responsabiliza de proteger los derechos de todas las partes interesadas; el equipo directivo, como agente de la junta, articula estrategias y conductas deseables a fin de cumplir los mandatos de la junta. Debe existir un marco de trabajo común en el cual la corporación debe estar unida y alineada con el gobierno de TI; el equipo directivo, como agente de la junta, articula estrategias y conductas deseables a fin de cumplir los mandatos de la junta. Cada empresa tiene su propia cultura o conducta organizacional, éstas hacen referencia no a estrategias, sino a la generación de valores institucionales.

Son seis activos (Garbarino, 2010), mediante los cuales las empresas pueden alcanzar sus objetivos y al mismo tiempo logran valor empresarial, los equipos directivos crean las directrices que permiten controlar y usar estos activos. Se incluyen como elementos clave de cada activo: a) activos humanos como personas, habilidades, trayectoria profesional, entrenamiento, presentación de informes, aptitud, tutoría, etc.;, b) activos financieros como dinero, inversiones, obligaciones financieras, flujo de dinero, entradas, etc., c) edificios, fábricas, equipamiento, mantenimiento, seguridad, utilización, etc.;, que corresponden a activos físicos; d) los activos de propiedad intelectual- PI- incluyen productos, servicios y procesos de saber cómo formalmente patentados, registrados o incluidos en el personal o la tecnología de la empresa; e) en los activos de información de TI se encuentra la información digitalizada, información y conocimiento sobre los clientes, desempeño de procesos, finanzas, sistemas informáticos, etc; f) los activos incluyen el relacionamiento dentro de la empresa, con la marca, y la reputación entre los clientes, proveedores, unidades empresariales, reguladores, competidores, canal de socios, etc.

La definición de gobernanza se remonta a los años 90, el término fue utilizado para hacer referencia a la gestión de forma igualitaria, trasparente, honesta, responsable y eficiente intentando un nuevo estilo de gobernanza de la administración pública, (Jhonson I, 1997). La Real Academia Española define de dos maneras el termino gobernanza; por una parte, como la manera de gobernar para que éste genere desarrollo duradero en términos económicos, sociales o institucionales, generando un equilibrio sano entre el gobierno, la sociedad y la economía; y por otra parte, como la acción de gobernarse (Real Academia Española, 2001). El gobierno corporativo para la CAF (Corporación Andina de Fomento), es un conjunto de prácticas, que gobiernan las relaciones entre los administradores y todos los recursos en la empresa, incluidos principalmente accionistas y acreedores. Para el IFC (International Finance Corporation), la gobernanza empresarial identifica las estructuras y los procesos para una adecuada dirección y control en las organizaciones, contribuyendo a la generación de valor y a su desarrollo sostenible, al mejorar su performance y su acceso a las fuentes de capital, mientras que el IT Governance Institute lo define como las responsabilidades y prácticas que ejerce el consejo y la dirección ejecutiva de la empresa, con el propósito de proporcionar direccionamiento estratégico, asegurando el cumplimiento de los propósitos institucionales, la gestión de riesgos y de recursos (ISACA, 2012).

Según (Garbarino, 2010), la gobernanza corporativa está formada por las reglas, explícitas que llevan a una gestión transparente del negocio, favoreciendo las relaciones entre los distintos actores intervinientes, mejorando las oportunidades de crecimiento y captación de capital para el logro de las metas estratégicas corporativas. El comité directivo de la empresa y el comité ejecutivo de TI (ISACA, 2012) son los responsables de la gobernanza de la tecnología de la información, la gobernanza debe incluir el liderazgo, debe verificar que las estructuras organizacionales y los procesos de la organización de TI sostengan y extiendan el direccionamiento estratégico de la empresa.

Diversas organizaciones empiezan a utilizar el concepto entre ellas el Banco Mundial, quien define la gobernanza como la forma de poder, que se ejerce en la gestión de los recursos sociales y económicos del país. Se hace una clara distinción entre las dimensiones políticas y económicas de la gobernabilidad (Jhonson I, 1997). El Doctor José Manuel Ballester Fernández miembro de ISACA define el gobierno corporativo de TIC las funciones de la junta directiva y la administración ejecutiva que definen una serie de responsabilidades y de prácticas para proveer direccionamiento estratégico.

Para que exista gobernanza de TI, debe existir gobernanza corporativa, la cual define unas estructuras y supervisar el rendimiento a fin de asegurar que los objetivos se cumplen (ECONOMICO OECD, 2004), La gobernanza de las TIC incluye la especificación del conjunto de derechos facilitando la toma de decisiones y favorece una buena práctica que apoye el uso de las TIC. La gobernanza de la seguridad de la información y tecnologías afines, establece una estructura que proporciona garantía para que las buenas prácticas asociadas a la seguridad de la información sean aplicadas correctamente, conformes con la ley y las regulaciones aplicables (ISACA, 2012).

Para Gartner Group la gobernabilidad de TI corresponde a las responsabilidades de decisión que se indican para generar un comportamiento empresarial del manejo de la tecnología (Weill, 2003), para (Dunod, 2006) las tecnologías dentro de la empresa son un recurso estratégico. Gobernanza de TI implica que la organización utilice al máximo sus recursos, maximizando sus beneficios a través de unos lineamientos claros y definidos lo que origina un mejor posicionamiento. Existen diferencias entre los términos gobernabilidad de TI y administración de tecnología; la gobernabilidad de TI hace referencia a "los derechos de decisión y a quién se asigna la responsabilidad de las decisiones", mientras que la administración de TI se refiere a "la implementación de las decisiones específicas sobre TI" (Weill, 2003).

Metodología

En el Grupo de investigación de tecnología y desarrollo en ingeniería (GITYD), Desde la línea de investigación de gobierno de TI, se han desarrollado proyectos encaminados al establecimiento de políticas internacionales en las organizaciones desde la aplicación y evaluación de un marco conceptual de gobierno de TI y su guía de implementación, desarrollado con el aporte de los trabajos de la especialización en auditoria de sistemas.

Diseño de un modelo de gobierno de TI

Tomando los dominios de COBIT, los niveles de madurez de CMMI, se crea un marco conceptual de gobierno de TI, identificando cuatro niveles dentro de las organizaciones el nivel 1 de las TIC, el nivel 2 de sistemas de apoyo, el nivel 3 de sistemas integrados y el nivel 4 modelo de negocio; en los niveles se integran los dominios de COBIT teniendo presente en cada uno de ellos la seguridad de la información. Se aplica el modelo para el establecimiento de los criterios de gobierno de TI en las empresas Colombianas (Velasquez, 2010) .

Tomando los objetivos de control de COBIT y la evaluación de los niveles de madurez, se plantea el Marco conceptual de Gobernabilidad de TI (Velasquez, 2010). Los componentes comprenden procesos de modelado de negocios, arquitectura de SI, aplicativos de apoyo y tecnologías de información y comunicación (Ver figura 1),

En el Nivel 4 o mayor nivel se encuentra la estructura de la organización, donde se definen los lineamientos estratégicos de la empresa determinando las directrices a seguir. Acá es importante el modelamiento del negocio, definir su cadena de valor, modelar sus procesos principales y sus subprocesos definiendo en ellos su normativa, que objetivos ayuda a cumplir, que elementos requiere y se genera del proceso; quien ejecuta, quien apoya y quien supervisa. Se define modelo de objetivos, modelo de actores, estableciendo su estructura orgánica general y la estructura de TI. Para este nivel se incorporan elementos asociados como la correcta administración y gestión de proyectos con los criterios de PMI teniendo presente los recursos, tiempo y costes, servicios, terceros, así como el control interno y también el cumplimiento regulatorio.

En el Nivel 3 o siguiente nivel, se incluye lo correspondiente a la Arquitectura tecnológica, en este nivel es importante conocer cuál es la tecnología asociada en la organización que apoya la cadena de valor, se tienen en cuenta los sistemas informáticos integrados. Se debe revisar cada proceso, tanto principal como de apoyo y describir cuales son los sistemas de información que integran el movimiento de la empresa incorporando lo transaccional, la toma de decisiones o los sistemas estratégicos de la organización. Es importante conocer dentro de la empresa cual es la arquitectura tecnológica presente como se integran y convergen los sistemas de información y que procesos apoya dentro del direccionamiento estratégico de la empresa. Para este nivel se incluyen los objetivos de control planear y organizar, adquirir e instrumentar, entregar y dar soporte y monitorear y evaluar.

En el Nivel 2 o correspondiente a los aplicativos de apoyo se incorporan los elementos que sirven de estructura a los sistemas de información integrado permitiendo su funcionamiento entre ellos tenemos los SGBD los sistemas de gestión de bases de datos, y otras herramientas como los lenguajes de marcado de hipertexto XML o los SGWF entre otros. Incluye los objetivos de control adquirir e instrumentar para facilitar la operación y el uso, administrar cambios e instalar y acreditar soluciones y cambios. En entregar y dar soporte se incluye la revisión de la integridad de la configuración, la administración de la información, permitiendo garantizar la continuidad del servicio y de los sistemas entre otros.

El primer nivel o Nivel 1 de Tecnología de información y comunicación (TIC) incluye todos los elementos tecnológicos presentes en la institución, incluida su estructura, funcionalidad y la distribución gráfica. Todos estos componentes son importantes porque en ellos que genera toda la comunicación que mantiene y soporta la arquitectura tecnológica. Incluye los objetivos de control adquirir e instrumentar (infraestructura tecnológica y recursos de TI); entregar y dar soporte donde se debe garantizar la continuidad del servicio y la seguridad de los sistemas y la Administración del ambiente físico. Se definen como variables para el marco conceptual (Velásquez T, 2010) los objetivos planteados en COBIT como son: (PO) Planificar y organizar, (ME) monitorear y evaluar, (DS) entregar y dar soporte, y (AI) adquirir e instrumentar; en la tabla se relacionan los objetivo de control identificando en cada nivel. (Ver tabla 1)

En las empresas se tiene la necesidad de entender el estado de la TI existente y de decidir el nivel de administración que se debe proporcionar, para saber dónde se encuentra actualmente y si se requieren mejoras, haciendo monitorización continua al proceso. El marco propone una evaluación por cada componente (TIC, aplicativos de apoyo, arquitectura SI/TI y modelado de negocio), en cada uno de ellos se debe medir los objetivos de control presentes; asignándole un grado de madurez en cada nivel.

El nivel o grado de madurez muestra una estructura que permite comparar el nivel de desarrollo, para establecer la capacidad de administración de proyectos en una empresa o negocio; este consiste en el proceso que explica el camino que debe emprender la empresa para alcanzar la excelencia. El modelo de madurez permite reconocer en dónde está en determinado momento la empresa y como puede alinear los procesos tecnológicas con el direccionamiento estratégico de la organización. Son modelos de seguridad informática (ACIS, VIII) NIST-CSEAT, CITI-ISEM, COBIT Maturity Model, ISM3, SSE-CMM, CERT-CSO. El ISM3 Information Security Management Maturity Model, el modelo NIST-CSEAT: National Institute of Standards and Technology-Computer Secutiry Expert Assist Team que incluye cinco niveles de madurez progresiva como política, procedimiento, implantación, prueba e integración.

El modelo NIST-CSEAT evalúa políticas, procedimientos, implementación, evaluación e Integración. Incluye aspectos como manejo y cultura, planes, entrenamiento y educación, presupuesto y recursos, manejo de ciclo de vida, responsabilidad en incidentes y emergencias, controles de seguridad operacional, seguridad física y controles de seguridad de TI. En los niveles de madurez de COBIT, va desde el nivel inexistente hasta el nivel optimizado; en el nivel inicial puede la empresa haber reconocido las necesidades de estructurar los procesos, pero no existen estándares, ni proceso formal, se manejan enfoques ad-hoc que generalmente se realizan de forma individual, presentándose gestión desordenada. En el nivel repetible el proceso se encuentra suficientemente desarrollado y varias personas ejecutan casi los mismos procedimientos, aunque carece de un entrenamiento formal y comunicación en los procedimientos siendo esto responsabilidad individual; el mayor problema radica en la dependencia del individuo (trabajador) existiendo una considerable probabilidad de error considerable. En el nivel definido, ya encontramos procesos estandarizados, documentados, bien difundidos a través de entrenamiento formal, el problema radica en el criterio para su adopción. En el siguiente nivel de madurez el gestionado, se pueden tomar decisiones ya que se monitorea y mide la aplicación de los procedimientos, se presenta mejora continua, los procesos se realizan de forma automática. En el nivel de madurez optimizado, o nivel de mejores prácticas, el proceso se basa en la mejora continua, las tecnologías se usan de forma integral, se incluyen herramientas que mejoran la calidad y efectividad, permitiendo aumentar la capacidad de adaptación de la organización y por ende la alineación de las tecnologías con las estructuras organizacionales.

IMPLEMENTACIÓN

Aunque diversos tipos de asociaciones en el país vienen promocionando las buenas prácticas en las organizaciones, específicamente el término de gobernabilidad de TI no es muy conocido, especialmente en la zona de influencia de la universidad. El trabajo desarrollado como estándar de gobernabilidad de TI pretende llegar a ser un modelo que permita ser una guía para adoptar buenas prácticas en la región; para aplicar esta propuesta de sectorizar las empresas de la región estableciéndose los sectores Educación, Instituciones Financieras, Salud, Comunicaciones, Transporte, Penitenciario y Ambiental como los más representativos de la región.

Para la guía de aplicación (Velasquez & Puentes, 2011) se definen una serie de etapas, donde se inicia con la identificación del esquema conceptual de gobernanza de TI, el modelamiento de la organización, el uso de instrumentos de acuerdo con los escenarios y en forma evolutiva se aplican instrumentos, se hace un diagnóstico para evaluar de los niveles de madurez, las recomendaciones para avanzar y se inicia un nuevo ciclo con la aplicación de instrumentos, haciendo una clasificación por tipo de empresas; esto permitió validar y refinar el modelo refinándolo por cada tipo.

En el reconocimiento del marco conceptual de gobernabilidad, se debe socializar adecuadamente dentro del personal que conforma el equipo de trabajo el objetivo del trabajo por desarrollar, así como la conceptualización del marco conceptual, la definición de los niveles y de las variables definidas. En el Reconocimiento de la organización se incluye su organigrama, sus objetivos misionales, la misión y visión, para el modelamiento de los procesos se recomienda el método del modelado del negocio BMM, donde se modelan los procesos principales, los subprocesos y los procesos de apoyo. Es importante una revisión de la estructura tecnológica y los perfiles del área tecnológica más acordes para la organización, pero que respondan a las buenas prácticas. Incluyendo ejecutivo del negocio, director de información, jefe de operaciones, arquitecto en jefe, jefe de desarrollo, jefe de administración de tecnología; para la administración y gestión de proyectos es importante la instalación de una oficina para la administración deproyectos (PMO).

En el diseño de instrumentos es importante definir cuáles son las variables por evaluar así como los escenarios en donde se va a realizar el respectivo estudio. Para evaluar la madurez en los respectivos niveles se tiene en cuenta la tabla de valores y significados de cada uno de ellos dentro del modelo de madurez, referenciado en COBIT 4.0 con los valores entre 0 y 5 que contempla desde no existe hasta optimizado. Se diseñan las tablas en donde se encuentran los indicadores de cada uno de los niveles del marco conceptual de gobernabilidad TI, desde el nivel 1 TIC hasta el nivel 4 o del modelo del negocio. Se hacen las entrevistas al personal encargado, posteriormente se valida la información mediante la comprobación de la misma.

Con una población objetivo, se seleccionó la muestra, entrevistando al personal que maneja cada uno de los niveles pertenecientes al modelo de gobernabilidad TI, y la valorización que hace el evaluador, se compara con la observación de documentación existente y procesos mecánicos que se lleven a cabo dentro de la empresa, teniendo como referencia la tabla de valores y significados de cada uno de ellos dentro del modelo de madurez, referenciado en COBIT 4.0.

Los resultados obtenidos corresponden a lo observable, si existen diferencias entre lo entrevistado y lo observado se hace una retroalimentación con el personal para explicar algunos conceptos en los que no hay claridad. Se toma cada nivel y se promedia, para establecer la madurez promedio en cada nivel del marco conceptual de Gobernabilidad de TI; dicho resultado sirve de insumo para establecer los lineamientos para avanzar enel nivel de madurez de forma escalada.

Resultados

Desde el año 2012 se han venido implementando este marco de gobierno a través de los proyectos realizados en el laboratorio de auditoría con cuatro cohortes de la especialización en auditoria de sistemas, que han tenido aplicación en los departamentos de Norte de Santander y sur del Cesar. Se sectorizaron los tipos de empresa de la región (ver la figura 2). En el sector educación se han realizado trabajos en empresas del sector educativo presentándose trabajos como la evaluación del nivel de madurez, políticas de seguridad de la información, diseño de modelos de gestión de riesgos, diseño de planes estratégicos, guías de control interno y manuales de gestión de continuidad del negocio.

En Instituciones Financieras se hizo un trabajo en la empresa CREDISERVIR con el diseño de una guía de implementación para conformar el área de auditoria de sistemas. En el sector salud se creó una propuesta de un plan de gestión de residuos eléctricos y electrónicos en el Hospital Emiro Quintero Cañizares Ocaña.

El diseño de plan estratégico para la tecnología de la información, se ha realizado en el sector comunicaciones con empresas como TMTEK S.A.S, en empresas del sector educativo como la universidad e instituciones educativas, en el sector transporte en la empresa cooperativa de transporte COOTRANS-HACARITAMA Ltda, y en el sector salud en Vital Medical Care S.A.S.

Los trabajos de diseño de políticas de seguridad de la información, se han propuesto en diferentes sectores como son en las empresas INGEPEC Ltda; en el establecimiento penitenciario y carcelario de Aguachica, en la empresa Corporación Autónoma de la Frontera Nororiental Territorial Ocaña y en el E.S.E. Hospital local de Rio de Oro, Cesar.

Desarrollos actuales

La investigación sobre el gobierno corporativo está tomando varias direcciones, avanzando en forma vertiginosa como se aprecia en (Morten, 2005) y en (Verdun & Rubio, 2012) con las propuestas de procesos integrados de gobernanza y gestión de TI. En la (CRUE) conferencia de rectores de las universidades españolas, se promueve el diseño e implementación de un esquema de gobernanza de TI. En el artículo (Fernández, 2011) se presenta el trabajo efectuado por los investigadores, en donde analizaron las experiencias existentes en implantación de gobierno de las TI en universidades, establecieron la situación de partida del gobierno de las TI a nivel internacional y en el SUE, y diseñaron y validaron un modelo de referencia de gobierno de las TI para Universidades (MGTIU).

El marco de Gobernanza corporativo busca lograr los propósitos de la empresa, clasificándose en cuatro categorías; a nivel alto se tiene la estrategia alineados con la misión de la empresa; y vinculados al uso eficaz y eficiente de los recursos las operaciones; los objetivos de fiabilidad de la información suministrada y con el cumplimiento de leyes y normatividad aplicable. El marco de gobierno corporativo incorpora ocho elementos, derivados de la dirección de la organización y su integración con el proceso de gestión (Fernández, 2011).

Como modelos, estándares o buenas prácticas se encuentran hoy en día COBIT 5, ISO/IEC 38500, e ITIL. COBIT 5 es general y se puede adaptar en todo tipo de empresas, desde el sector comercial, productivo, con o sin ánimo de lucro, empresas públicas o privadas. Está basado en cinco elementos claves para el gobierno y la gestión de las tecnologías empresariales. El principio uno tiene que ver con la satisfacción de las necesidades de las partes interesadas; el principio dos cubre a la organización extremo a extremo; el principio tres ubica un marco de referencia integrado único; el principio cuatro revisa el enfoque holístico; y el principio cinco separa la gobernanza de la gestión (ISACA, 2012). La versión 5 de COBIT, permite que las tecnologías sean gobernadas y gestionadas por toda la organización de forma holística, cubre a la empresa completa de inicio a fin, incluye áreas funcionales que involucran responsabilidad de tecnología de la información, se considera los intereses relacionados con tecnología de los componentes interesados tanto internos como externos.

El objetivo de la norma ISO/IEC 38500 (ISO/IEC, 2008) es proporcionar un estándar para que los directores evalúen, dirijan y monitoreen elmanejo de la tecnología de la información (TI) en sus organizaciones. El marcopara el buengobierno corporativo de las TI establece 6 principios, aplicables a la mayoría de las organizaciones. Los principios son responsabilidad, en donde los individuos y grupos de la empresa deben comprender y aceptar las responsabilidades relacionadas con la oferta y la demanda de TI; en la estrategia se consideran planes estratégicos y tácticos de tecnología de la información, para satisfacer las necesidades tanto actuales como futuras que se generan de la estrategia de negocio.

La biblioteca de Infraestructura de TI-ITIL o framework de las mejores prácticas para el desarrollo, la gestión de servicios y operaciones relacionadas con TI. La versión 3 de ITIL apoya el alineamiento e integración de la tecnología de la información con la organización, se establece en esta versión un marco de procesos, de roles y las funciones necesarias para una correcta ejecución de TI, está basado en el concepto de ciclo de vida de servicios. ITIL está organizado en 5 fases que van desde la estrategia hasta la mejora continua. Service strategy (SS) representa y conceptualiza el conjunto de servicios, incluye la generación de la estrategia, la gestión financiera, la gestión de Portafolio de servicios y la gestión de la demanda. Service design (SD) diseña los servicios, teniendo presente los objetivos de utilidad y garantía, incluye las gestiones de catálogo de servicios, nivel de servicio, de la capacidad, de la disponibilidad y la continuidad del servicio de tecnología de la información.

Service Transition (ST) incluye la puesta en marcha en el ambiente de producción del servicio, incluye planificación y apoyo de transición, gestión del cambio, servicio activo y configuración, entrega y despliegue, validación del servicio y pruebas, evaluación y la gestión del conocimiento. Mejora continua del servicio (CSI) evalúa los servicios, incorpora procesos de mejora, medición de servicio y servicio de informes, identifica nuevas formas de mejorar la utilidad y la garantía.

Modelo para la implementación de gobierno corporativo de TI

Se plantea un modelo para la implementación de gobierno corporativo de TI, se incorpora una guía que tiene como objetivo apoyar a la institución en el uso eficiente, eficaz, y aceptable de las TI, equilibrando riesgos inherentes a los procesos y promoviendo las oportunidades originadas del uso de las tecnologías de la información se muestran los resultados desarrollados y los trabajos futuros planteados. se propone la incorporación de COBIT 5.0, planteando un modelo de guía para la implementación de gobierno corporativo de TI, en donde se recomienda que se utilice la estrategia Top - Down, en la que se inicia con acciones formativas de la alta gerencia, donde se promulgue las ventajas de un estándar de gobernanza de las TI en la empresa, proponiendo las acciones necesarias para que la iniciativa trascienda en cascada por cada dependencia de la empresa, facilitando la implementación del gobierno de TI. Para la creación del modelo para la implementación de gobierno corporativo de TI, se toma cada meta del negocio, identificando por cada una las metas de TI y sus respectivos objetivos de control.

Conclusiones

Se tiene un modelo para el establecimiento decriterios de gobernabilidad de TIque tiene cuatro niveles en la organización TIC's, aplicativos de apoyo, arquitectura tecnológica y Modelo de la empresa, se incorporan COBIT 4.1 con sus los objetivos de control, teniendo presente en cada uno de ellos la seguridad y con los conceptos de CMMI se evalúan los niveles de madurez por cada dominio y por cada nivel establecido en la empresa.

Se empieza a validar el modelo aplicándolo en las zonas de Norte de Santander y Cesar, para lo cual se establecen los sectores más representativos y se crea una guía para implementar el modelo planteado que inicia desde el conocimiento del modelo, el reconocimiento incluido el modelado de procesos de la organización, el diseño y aplicación de instrumentos, su evaluación y se indica como escalar en los niveles de madurez propuestos. Con el aporte de los trabajos desarrollados en la especialización en auditoria de sistemas se evalúan diferentes tipos de empresas y se diseñan propuestas encaminadas al establecimiento de buenas prácticas en su gran mayoría seguridad de la información, planes estratégicos de TI, lineamentos para la conformación de áreas de auditoría para las empresas, manejo de residuos eléctricos y electrónicos, entre otros.

Se generan propuestas como modelos de gestión de riesgos y la incorporación de estándares como COBIT 5.0, e ISO/IEC 38500 para el diseño de modelo de guía para la implementación de gobierno corporativo de TI, para la incorporación de los principios de responsabilidad, estrategia, adquisición, desempeño, conformidad y comportamiento humano, dentro de los cuales se encuentran las metas corporativas de la organización, las metas de TI y los objetivos de control de COBIT 5.0, enmarcados bajo las tres tareas principales evaluar, dirigir y monitorear propuestas en ISO/IEC 38500 del modelo de gobierno corporativo de TI.

FINANCIACION

El proyecto que permitió generar el actual artículo es financiado por la Universidad Francisco de Paula Santander Ocaña. Surge como resultado del proyecto de investigación "Establecimientos de TI para la Provincia de Ocaña y su Zona de Influencia", el cual está en curso.

Referencias

Agent Consulting Service. (2008). ITIL Information Technology Infraestructure Library.         [ Links ]

Alexander, A. (2007). Diseño de un sistema de gestión de seguridad de información Óptica ISO 27001:2005. Alfaomega.         [ Links ]

Dunod, F. (2006). Management stratégique d'un systéme d'information. IT Gouvernance. FRANCIA.         [ Links ]

ECONOMICO OECD. (2004). Organización para la Cooperación y el Desarrollo Principios de Gobierno Corporativo de la OCDE. OECD Publications.         [ Links ]

Fernández, A. (2011). Gobierno de TI en las Universidades Españolas. Universidad de Almeria.         [ Links ]

Garbarino, E. (2010). Gobierno de TI, Organización, Administración, Gestión y Control de las TI un encuadre de PyMEs. Universidad ORT.         [ Links ]

ISACA. (2006). COBIT 4.0. Tratto da http://www.itgi.org/Template_ITGI.cfm?Section=ITGI&Template=/ContentManagement/ContentDisplay.cfm        [ Links ]

ISACA. (2012). COBIT 5 Un marco de negocio para el gobierno y la gestión de la TI de la empresa.         [ Links ]

ISO/IEC. (2008). 38500 Corporate governance of information technology.         [ Links ]

ISO/IEC. (2008). Corporate governance of information technology. Canadian International Development.         [ Links ]

Morten, H. (2005). Accountability and Creating Accountability: a Framework for Exploring Behavioural Perspectives of Corporate Governance British Journal of Management.         [ Links ]

Real Academia Española. (2001). Diccionario de la lengua española. Madrid, España.         [ Links ]

Velasquez, T. (2010). Establecimiento de criterios de gobernabilidad de TI. Merida, Venezuela.         [ Links ]

Velasquez, T. (2010). Establecimiento de criterios de gobernabilidad de TI. Merida, Venezuela.         [ Links ]

Velasquez, T., & Puentes, A. M. (2011). La gobernabilidad, una estrategia para optimizar la administración de tecnología e información. Colombia.         [ Links ]

Verdun, J., & Rubio, A. (2012). Modelo de Procesos Integrado de Gobernanza y Gestion de TI. Madrid, España: Universidad Politécnica de Madrid.         [ Links ]

Weill, P. (2003). Effective IT Governance by Design Gartner Group. Tratto da http://papers.ssrn.com/sol3/papers.cfm?abstract_id=664612.         [ Links ]