"...asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos..."

Gobierno de TI Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de TI en coordinación con la alta dirección para movilizar sus recursos de la forma más eficiente en respuesta a requisitos regulatorios, operativos o del negocio. Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos. Garantiza que: TI está alineada con la estrategia del negocio. Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente. Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI están seguros.

Marco de referencia

Es un conjunto de métodos y prácticas que permiten establecer:

Criterios de información exigidos por los requisitos de negocio.
Procesos de negocio.
Recursos a utilizar.

Sus características son:

Está orientado a procesos, tanto de TI como del negocio. Se debe definir el propietario del proceso, la responsabilidad sobre el proceso y la criticidad del mismo.
Basado en prácticas comúnmente aceptadas para aprovechar la experiencia del mercado y ofrecer un conjunto de medidas de control multinacional, hecho especialmente importante para la auditoría.

IT Governance: ITIL, COBIT, CMMI 5

Utiliza un lenguaje común debido a la tradicional ausencia de comunicación entre negocio y tecnología. Se deben comprender los procesos y la complejidad de los recursos TI.
Permite la adopción de requisitos regulatorios.

Necesidad del Marco

Asegurar el alineamiento con los objetivos de la organización.
Determinar y mitigar los riesgos empresariales.
Asegurar el cumplimiento normativo de forma general.
Calcular/proveer formalmente los recursos apropiados.
Hacer el seguimiento de la aportación de las TI al negocio.

Métricas

Los marcos de control están dirigidos por medidas. El negocio necesita conocer el estado de sus recursos y procesos TI, cómo aportan valor y cómo evolucionan.

Sirvan como ejemplo:

Key Performance Indicator: Cómo se llega al grado de cumplimiento.
CMM: Es un modelo de evaluación de los procesos de una organización. Cada proceso evaluado por CMM define un conjunto de buenas prácticas que habrán de ser: definidas en un procedimiento, provistas de los medios y formación necesarios, ejecutadas de un modo sistemático, universal y uniforme, medidas y verificadas. En función del estadio de aplicación de cada práctica, el proceso se clasifica en: Inicial / Repetible / Definido / Gestionado / Optimizado.
IT Governance: ITIL, COBIT, CMMI.
BSC (Cuadro de Mando Integral): El "Cuadro de Mando Integral" es una herramienta para la gestión del rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos financieros, sino también en los procesos internos, en los Clientes, y en los aspectos relativos al crecimiento y aprendizaje. Debería encontrarse un equilibrio entre estas cuatro perspectivas.

Las cuatro perspectivas se centran en las siguientes cuestiones:

1. Clientes: ¿Qué desean nuestros Clientes?
2. Los procesos internos: ¿Cómo proporcionamos a nuestros Clientes un valor añadido?
3. Aprendizaje y crecimiento: ¿Cómo garantizamos que seguiremos generando valor añadido en el futuro?
4. Los aspectos financieros: ¿Qué tal lo hicimos en términos financieros?

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas en las que se encuadran, realizando una gestión más eficiente de los recursos, minimizando los riesgos y alineando sus decisiones con los objetivos del negocio.

IT Governance: ITIL, COBIT, CMMI

Los factores inductores del Gobierno TI en la organización pueden ser:

Regulaciones y Normativa: Legales (SOX,LOPD), Estándares (ISO 27001, ISO 20000), Certificaciones CMMI,...
Optimización de Recursos: Reingeniería procesos TI, Consolidación de Recursos, Estrategias de externalización,...
Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de productos y servicios, gestión de la demanda,...

Los factores críticos pueden ser los siguientes:

Conocer dónde se desea ir, evitando siempre la improvisación.
Establecer mecanismos de medición y control claros.
Que el marco temporal sea adecuado, la mejora lleva tiempo, no se deben esperar resultados a corto plazo, en menos de seis meses.
Alinearse con iniciativas que ya estén en curso.
No perderse en los modelos, no hay modelo ideal, cada situación requiere de soluciones a medida.
Dotar a la organización de herramientas adecuadas.

3. Gestión del Riesgo requiere:

Concienciación por parte de la alta dirección.
Comprender la necesidad del cumplimiento con los requisitos.
Transparencia en el tratamiento de los riesgos más significativos.
Integrar las responsabilidades de la gestión de riesgos en la organización.
Clara comprensión de la apetencia de riesgo de la organización.

4. Gestión de Recursos, se centra en:

Organizar de manera óptima los recursos de TI de forma que los servicios que los requieran los obtengan en el lugar y momento necesarios.
Alinear y priorizar servicios y productos existentes de TI que se requieren para apoyar las operaciones del negocio.
Controlar y monitorizar los servicios TI propios y de terceros.

5. Medición del Rendimiento, sigue y controla:

La estrategia de la implantación.
La estrategia de los proyectos.
El uso de los recursos.
El rendimiento de los procesos.
La entrega de los servicios utilizando BSC.

Sin una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es muy probable que fallen.

Principales Foros de Gobierno TI

ITGI (Information Technology Governance Institute): www.itgi.org
ISACA (Information Systems Audit and Control Association): www.isaca.org

Ver Seguridad corporativa