ndice

Cont.Pg.

1.Qu es TI o IT?22.Qu es gobierno TI?22.1 Origen del gobierno TI22.2 Objetivos del Gobierno de TI33.Normas involucradas en gobierno de TI44.Gobierno corporativo74.1 Origen del gobierno Corporativo74.2 Objetivos de Gobierno Corporativo95.Estrategia de sistemas de informacin96.La administracin de riesgos116.1 Desafos126.2 Soluciones126.3 Beneficios127.Sistema de informacin gerencial148.La Estructura Organizacional y responsabilidad SI159.Auditoria de la estructura e implementacin de gobierno de TI1610.Capability Maturity Model Integration1711.Modelos CMMI1712.Empresas que cumplen con el CMMI20Bibliografa22

1. Qu es TI o IT?La Tecnologa Informtica (IT), segn lo definido por la asociacin de la Tecnologa Informtica de Amrica (ITAA), es el estudio, diseo, desarrollo, innovacin, puesta en prctica, ayuda o gerencia de los sistemas informticos computarizados, particularmente usos del software y hardware. En general, se ocupa del uso de computadoras y del software electrnico, as como de convertir, almacenar, proteger, procesar, transmitir y de recuperar la informacin.2. Qu es gobierno TI?GOBIERNO TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la empresa, con la finalidad de alcanzar sus objetivos y aadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.Se entiende por Gobierno TI, el conjunto de acciones que realiza el rea de TI en coordinacin con la alta direccin para movilizar sus recursos de la forma ms eficiente en respuesta a requisitos regulatorios, operativos o del negocio.Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratgicos definidos.2.1 Origen del gobierno TILa disciplina de la informacin de gestin de la tecnologa surgi por primera vez en 1993 como un derivado de la gestin empresarial y trata principalmente con la conexin entre los objetivos estratgicos y de gestin de TI de una organizacin. Se destaca la importancia de los asuntos relacionados con la TI en las organizaciones contemporneas y establece que las decisiones estratgicas que debe ser propiedad del consejo de administracin, en lugar de por el director de informacin u otros administradores de TI.Los objetivos principales de gestin de la tecnologa de informacin son:Asegurar que las inversiones en TI generan valor para el negocio, y mitigar los riesgos que estn asociados. Esto se puede hacer mediante la implementacin de una estructura organizacional con funciones bien definidas para la responsabilidad de la informacin, procesos de negocio, aplicaciones, infraestructura de las TIC, etc

Rendicin de cuentas es la principal preocupacin de gobierno de TI.Despus del colapso informado ampliamente de Enron en 2000 y los supuestos problemas en Arthur Andersen y WorldCom, los deberes y las responsabilidades de los auditores y de los consejos de administracin de las empresas pblicas y privada fueron interrogados. Como respuesta a esto, y para tratar de evitar problemas similares vuelvan a ocurrir, la Ley Sarbanes -Oxley EE.UU. fue escrito para subrayar la importancia del control del negocio y la auditora. Aunque no directamente relacionado con el gobierno de TI, la ley Sarbanes -Oxley y Basilea II en Europa han influido en el desarrollo de la gobernanza tecnologa de la informacin desde la dcada de 2000.Tras colapsos corporativos en Australia en la misma poca, se establecieron grupos de trabajo para desarrollar estndares de gobierno corporativo. Una serie de normas australianas de Gobierno Corporativo se publicaron en 2003, estos fueron: Principios de Buen Gobierno (AS8000) Fraude y Control de la Corrupcin (AS8001) Cdigos de Conducta Organizacional (AS8002) Responsabilidad Social Corporativa (AS8003) Silbato programas de proteccin del ventilador (AS8004) AS8015 Gobierno Corporativo de las TIC se public en enero de 2005. Fue por la va rpida adoptado como ISO / IEC 38500 05 2008.

2.2 Objetivos del Gobierno de TIEntre los objetivos ms destacados que enmarcan el gobierno de TI podemos citar los siguientes Asegurar el alineamiento con los objetivos de la organizacin. Determinar y mitigar los riesgos empresariales. Asegurar el cumplimiento normativo de forma general. Calcular/proveer formalmente los recursos apropiados. Hacer el seguimiento de la aportacin de las TI al negocio TI est alineada con la estrategia del negocio. Los servicios y funciones de TI se proporcionan con el mximo valor posible o de la forma ms eficiente. Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI estn seguros.

3. Normas involucradas en gobierno de TILa norma ISO/IEC 38500:2008 se public en junio de 2008, basndose en la norma australiana AS8015:2005. Es la primera de una serie sobre el Gobierno de TI.Su objetivo es proporcionar un marco de principios para que la direccin de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologas de la informacin (TI's).Est alineada con los principios de gobierno corporativo recogidos en el "Informe Cadbury" y en los "Principios de Gobierno Corporativo de la OCDE".La norma incluye 19 definiciones de trminos, entre los que se pueden destacar los siguientes: Gobierno corporativo de TI(corporate governance of IT): El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologas de la informacin Gestin(management): El sistema de controles y procesos requeridos para lograr los objetivos estratgicos establecidos por la direccin de la organizacin. Est sujeta a la guia y monitorizacin establecidad mediante el gobierno corporativo. Interesado(stakeholder): Individuo, grupo u organizacin que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisin o una actividad. Uso de TI(use of IT): Planificacin, diseo, desarrollo, despliegue, operacin, gestin y aplicacin de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TI por unidades de negocio internas, unidades especializadas de TI, proveedores externos y "utility services" (como los que se proveen de software como servicio). Conducta humana(human behavior): La comprensin de las interacciones entre personas y otros elementos de un sistema con la intencin de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupo.

La norma define seis principios de un buen gobierno corporativo de TI: ResponsabilidadTodo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una accin lleva aparejada la autoridad para su realizacin. EstrategiaLa estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras de las TI. Los planes estratgicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. AdquisicinLas adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. RendimientoLa TI est dimensionada para dar soporte a la organizacin, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. ConformidadLa funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y prcticas al respecto estn claramente definidas, implementadas y exigidas. Conducta humanaLas polticas de TI, prcticas y decisiones demuestran respecto por la conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.ITIL (del ingls Information Technology Infrastructure Library La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada), es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.La Ley Orgnica 15/1999 de 13 de diciembre de Proteccin de Datos de Carcter Personal, (LOPD), es una Ley Orgnica espaola que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor, intimidad y privacidad personal y familiar.Su objetivo principal es regular el tratamiento de los datos y ficheros, de carcter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.La serie ISO/IEC 20000 Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estndar reconocido internacionalmente en gestin de servicios de TI (Tecnologas de la Informacin). La serie 20000 proviene de la adopcin de la serie BS 15000 desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).ISO/IEC 20000 est basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que est disponible en dos partes: una especificacin auditable y un cdigo de buenas prcticas.La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de mejores prcticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.La ISO/IEC 20000 es aplicable a cualquier organizacin, pequea o grande, en cualquier sector o parte del mundo donde confan en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Informacin Tecnolgica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma est impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratacin de negocios, Telecomunicaciones, Finanzas y el Sector Pblico.ISO/IEC 27001 Es un estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prcticas descritas en ISO/IEC 27002 anteriormente conocida como ISO/IEC 17799, con orgenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalizacin britnica, la British Standards Institution (BSI).Capability Maturity Model Integration (CMMI) es una mejora de los procesos de capacitacin y un programa de evaluacin y servicios administrados y comercializados por la Universidad Carnegie Mellon y requerido por muchos DOD y contratos del gobierno de Estados Unidos, especialmente el desarrollo de software. Carnegie Mellon University reclamaciones CMMI puede ser usada para guiar la mejora de procesos a travs de un proyecto, divisin o una organizacin entera. Bajo la metodologa CMMI, los procesos se clasifican de acuerdo a sus niveles de madurez, que se definen como: inicial, repetible, definido, cuantitativamente gestionado, Optimizacin. Actualmente los tipos soportados es CMMI versin 1.3. CMMI se ha registrado en la Oficina de Patentes y Marcas de EE.UU. por la Universidad Carnegie Mellon.COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores.COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.4. Gobierno corporativoEl concepto de gobierno corporativo se refiere al conjunto de principios y normas que regulan el diseo, integracin y funcionamiento de los rganos de gobierno de la empresa, como son los tres poderes dentro de una sociedad: los Accionistas, Directorio y Alta Administracin. En espaol se utiliza tambin gobernanza corporativa, gobernanza societaria y gobierno societario. (Salvochea, Ramiro. Mercados y Gobernancia. La revolucin del "Corporate Governance", 2012).Un buen Gobierno Corporativo provee los incentivos para proteger los intereses de la compaa y los accionistas, monitorizar la creacin de valor y uso eficiente de los recursos brindando una transparencia de informacin.Lo importante es destacar que el gobierno corporativo no es un instrumento individual sino ms bien un concepto que incluye el debate sobre las estructuras apropiadas de gestin y control de las empresas. Tambin incluye las reglas que regulan las relaciones de poder entre los propietarios, el consejo de administracin, la administracin y, por ltimo, pero no por ello menos importante, partes interesadas tales como los empleados, los proveedores, los clientes y el pblico en general". (N.R. Narayana Murthy, presidente del Comit sobre Gobierno Corporativo, Junta de Valores y Bolsas de India, 2003).4.1 Origen del gobierno Corporativo Asociado al trmino gobernanza surge el concepto de gobierno corporativo, que ya fue introducido por Adam Smith en su obra La riqueza de las naciones:Cuando la propiedad y la gestin de las empresas no coinciden plenamente, habr potenciales conflictos de inters entre los propietarios y los gestores/administradores.En la dcada de los aos 90 se desarroll este concepto abordando las diferencias de intereses entre la propiedad y la administracin de la empresa (problemas de agencia). Especficamente, el gobierno corporativo trata de definir y establecer mecanismos de control y salvaguarda por parte de los accionistas, sobre las acciones realizadas por los miembros del consejo de administracin.os problemas de agencia tienen un enfoque ms amplio en la dcada de los aos 90, al considerar a los llamados grupos de inters dentro del esquema de gobierno de las empresas, surge as el enfoque de stakeholder:La preocupacin por los problemas de gobierno corporativo en los pases se present por primera vez en el Informe Cadbury (1992, Reino Unido), que recoga un cdigo de buen gobierno al que las compaas que cotizaban en la bolsa de Londres deban adherirse.Este mismo ao se publica el Informe COSO (EE.UU.) como el marco de trabajo para el establecimiento de un sistema de control interno en las organizaciones.El Cdigo Combinado (1998) integra las diferentes recomendaciones que fueron apareciendo a lo largo de los aos 90 (accionistas institucionales, remuneracin del consejo, etctera) adoptando el principio de cumplir o explicar: La imposicin a las compaas de informar cmo aplican las recomendaciones del Cdigo Combinado.La necesidad de explicar por qu no se han aplicado las recomendaciones.El respaldo internacional para el gobierno corporativo llega con la publicacin (1999 y revisada en 2004) de los Principios de Gobernanza Corporativa por la OCDE, donde se definen los elementos principales y se adopta un modelo stakeholder. Estos principios han sido asumidos por los distintos pases en la definicin de sus recomendaciones y cdigos de buen gobierno.La Ley Sarbanes-Oxley (2002, EE.UU.) aparece como respuesta a los escndalos corporativos ocurridos en ese pas (Enron, Worldcom, etctera). El principio de cumplir o explicar desaparece, introducindose responsabilidades penales a los administradores y ejecutivos de las compaas.Los cdigos de buen gobierno han evolucionado, destacndose especialmente el Cdigo King III (Sudfrica, 2009).4.2 Objetivos de Gobierno CorporativoOptimizarla creacin de valor a los Inversionistas.* Asegurar la permanencia dela empresa y la optimizacin de sus operaciones mediante la autorizacin de sus estrategias generales y la supervisin para el cumplimiento de las mismas.* Controlar y supervisar el desempeo dela empresa y el de sus principales riesgos.* Proporcionarla informacin necesaria a los Inversionistas.* Asegurar transparencia en las actividades desarrolladas por la empresa.* Disponer y operar un eficiente sistema de control interno a travs dela autorizacin de polticas y normas administrativas de observancia general.* Fortalecerla confianza en la empresa por parte de los Inversionistas actuales y potenciales, delos organismos regulatorios y otros.

5. Estrategia de sistemas de informacinLa estrategia de sistemas de informacin debe entenderse como un complemento de la del negocio, contribuyendo a travs de la mejor aplicacin de la tecnologa al refuerzo de los fines y de las ventajas competitivas que se persigan. Como toda estrategia, debe identificar las situaciones futuras en las que uno quiere encontrarse (posiblemente marcando una distancia con la situacin actual), definiendo un marco en el que encuadrar los objetivos (coherencia) y proyectando, a travs de la Planificacin Estratgica, la direccin adecuada de los movimientos que habrn de ejecutarse para alcanzar dichas metas.No es infrecuente observar empresas con estrategias comerciales, de producto o de distribucin bien pergeadas que, sin embargo, dejan en segundo plano - o delegada en tcnicos - la estrategia de sistemas de informacin.La relevancia de contar con una adecuada estrategia de sistemas de informacin, es decir, la cuota de preocupaciones que su diseo ocupa en la alta direccin, no debera venir nicamente dada por la representatividad del coste de IT sobre el total de la organizacin: es preciso contemplar beneficio de disponer de una forma sistemtica de planificar estrategias de negocio con los sistemas de informacin adecuados para soportarlas. Conceptualmente una estrategia de sistemas de informacin se compone, de forma similar a cualquier estrategia de negocio, de una componente externa que mira al mercado y la forma en que va a incorporarse a este y otra interna que adapta su organizacin y medios para alcanzar sus objetivos.Desde un punto de vista externo, la estrategia de sistemas de informacin se puede descomponer en: 1. mbito de la Tecnologa. De forma anloga al mbito empresarial del negocio, en el que se toman decisiones relativas a los productos y servicios que se ofertan al mercado, el mbito de tecnologa versa sobre las tecnologas que son crticas para el desarrollo y consolidacin del negocio al que da soporte.2. Competencias de la Tecnologa. Se trata de aquellos atributos de las TI que contribuyen al desarrollo o consolidacin del negocio del mismo modo en que lo hacen las competencias que marcan una diferencia comparativa con la competencia en los productos y servicios que la empresa lanza al mercado. Se trata por ejemplo, de la estabilidad, interconectividad, flexibilidad, etc.Desde un punto de vista interno, tres principales componentes podran ser:1. Arquitectura de las TI, configuraciones hardware, software, de comunicaciones sobre las que se definen polticas, reglas y estndares. Anlogamente a la infraestructura del negocio se tratara de la estructura administrativa.2. Procesos de TI, en que se determina la cartera de aplicaciones que soportan las operaciones del negocio y corren sobre la arquitectura antes mencionada.3. Capacidades de TI, opciones pertenecientes a la contratacin, formacin y desarrollo de las personas que manejan y operan las TI.

Grficamente se podran representar estas equivalencias:

6. La administracin de riesgosLa Administracin del Riesgo Empresarial (Enterprise Risk Management-ERM) es el proceso por el cual la direccin de una empresa u organizacin administra el amplio espectro de los riesgos a los cuales est expuesto (tanto sean de mercado como operacionales) de acuerdo al nivel de riesgo al cual estn dispuestos a exponerse segn sus objetivos estratgicos. As, ya en el terreno del impacto de la TI sobre este tema, la evaluacin de riesgos y vulnerabilidades ayuda a identificar y evaluar los riesgos operativos, poniendo nfasis en los activos de IT fsicos y lgicos, pudiendo incluir una revisin de las instalaciones y la seguridad de los elementos lgicos y fsicos. Uno de los desafos claves es recolectar y analizar numerosos datos (de acuerdo al rango de riesgos definido), as Riesgos, Conformidad a Normas y Funciones de TI enfrentan la paradoja de tener que disponer de mayor volumen de datos de los sistemas corporativos para contar con ms informacin dinmica y compleja, pero al mismo tiempo seguir manteniendo los costos de implementacin y los riesgos bajo control. De esta manera, se obtiene una mayor comprensin de las exposiciones que suponen los mayores riesgos en la interrupcin de su empresa, de modo que se puedan implementar las tcnicas de mitigacin apropiadas.

6.1 Desafos A medida que dependen cada vez ms del continuo funcionamiento de los sistemas de informacin, las empresas actuales enfrentan una creciente exposicin a los riesgos informticos. En el mundo actual, hasta la mxima direccin est preocupada por los riesgos informticos, ya que la tecnologa informtica claramente sostiene cada proceso comercial de la empresa. Los riesgos informticos tpicos incluyen prdida de productividad o negocios debido al tiempo de inactividad, responsabilidad por brechas de seguridad que exponen la informacin de los clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas debido a la conservacin inadecuada de registros. No todos los riesgos provienen de sucesos inevitables, como una inundacin o un terremoto. Muchos de los riesgos informticos son provocados por contratiempos operacionales, procesos inadecuados, mayores requisitos normativos u otros factores ms controlables. 6.2 Soluciones Para evitar ello, es preciso combinar un conjunto de las mejores prcticas que se desprenden de numerosas organizaciones, grandes y complejas, para hacer frente a los riesgos informticos de sus entornos a los efectos de poner en marcha una administracin de riesgos informticos efectiva mediante priorizar y planificar opciones de mitigacin, calcular los impactos comerciales de los riesgos informticos, disear soluciones, alinear los riesgos informticos y los costos con la empresa para optimizar las inversiones y construir una capacidad unificada para administrar los riesgos informticos de manera continua. 6.3 Beneficios Permite identificar los activos empresariales que estn en mximo riesgo, valuar las vulnerabilidades y los impactos potenciales, y proponer resguardos y tcticas de mitigacin, lo que permitir: Priorizar y establecer niveles de riesgo para sus procesos y recursos empresariales crticos. Pasar de un enfoque de mitigar el riesgo a prevenir proactivamente las fallas. Tomar decisiones ms informadas sobre cmo proteger su empresa. Evaluar las tcticas y los costos de la administracin de riesgos relacionados con los diferentes niveles de proteccin. Prepararse adecuadamente para las auditoras de las agencias de control Problemas que se atacan Identificar eventos o amenazas que podran tener impacto en la continuidad de las operaciones empresariales, en la imagen o en la reputacin de la marca, y la probabilidad de que ocurran. Realizar un anlisis detallado de amenazas o establecer planes de avance para mitigar riesgos. Determinar cmo las nuevas iniciativas empresariales o la nueva tecnologa tendrn impacto en la empresa. Establecer planes de avance para mitigar riesgos. Identificar las exposiciones con respecto al cumplimiento reglamentario. Un importante Estudio identifica los mitos comunes que contribuyen a las fallas de TI Symantec dio a conocer en enero su Informe de Administracin de Riesgos de TI, Volumen II, el cual revela que la administracin de riesgos de TI est cobrando ms importancia, pero tambin menciona que siguen existiendo algunos mitos sobre el tema. Aun cuando los resultados muestran que los profesionales estn adoptando un enfoque ms equilibrado que incluye riesgos de disponibilidad, seguridad, cumplimiento y desempeo, los malos entendidos de la administracin de riesgos de TI pueden producir fallas potenciales y, como consecuencia, impactar la continuidad del negocio. El informe tambin indica que los problemas en los procesos generan ms de la mitad de los incidentes de TI, mientras que el departamento de TI generalmente da poca importancia a la frecuencia con que se presentan los incidentes de prdida de datos. El informe est basado en el anlisis de ms de 400 encuestas realizadas a profesionales de todo el mundo, en el que se identifican importantes aspectos, tendencias y anlisis al tiempo que disipa los cuatro mitos asociados a los riesgos de TI, entre los cuales estn: 1.- La administracin de riesgos de TI est enfocada slo en la seguridad Contrario a las percepciones tradicionales que generalmente asocian los riesgos de TI con los riesgos de seguridad, los resultados de la encuesta muestran el surgimiento de una visin ms amplia entre los profesionales de TI. Un 78% de los participantes calificaron los riesgos de disponibilidad como crticos o graves, mientras que los riesgos de seguridad, de desempeo y de cumplimientos obtuvieron una calificacin de 70, 68 y 63% respectivamente. 2.- La administracin de riesgos de TI es un proyecto El mito de que el control de riesgos de TI se puede realizar en un slo proyecto o incluso como una serie de ejercicios puntuales por periodos o aos de presupuestos, desconoce la naturaleza dinmica del entorno de riesgos internos y externos de TI. La administracin de riesgos debe verse como un proceso continuo para mantener la estabilidad ante el cambiante panorama que los negocios enfrentan actualmente. 3.- La tecnologa por s sola puede manejar los riesgos de TI Los incidentes de seguridad, cumplimiento, disponibilidad y desempeo de TI atacan a la organizacin moderna a una velocidad alarmante. El reporte muestra que las organizaciones ms efectivas tienen un enfoque ms integral. Sin embargo, muchas organizaciones parecen estar fallando en la implementacin de controles fundamentales de riesgos. 4.- La administracin de riesgos de TI se ha convertido en una disciplina formal El reporte deja claro que la administracin de riesgos de TI es una disciplina en evolucin, pues se basa en la experiencia acumulada de los individuos y las organizaciones que se van adaptando a los cambios en el ambiente de negocios y tecnologa. El informe revel una mayor comprensin entre los profesionales sobre cmo la administracin de riesgos de TI incorpora elementos de manejo de riesgos en la operacin, control de calidad y gobernabilidad de las mismas

7. Sistema de informacin gerencialEstos sistemas son el resultado de interaccin colaborativa entre personas, tecnologas y procedimientos -colectivamente llamados sistemas de informacin- orientados a solucionar problemas empresariales. Los SIG o MIS (tambin denominados as por sus siglas en ingls: Management Information System) se diferencian de los sistemas de informacin comunes en que para analizar la informacin utilizan otros sistemas que se usan en las actividades operacionales de la organizacin. Acadmicamente, el trmino es comnmente utilizado para referirse al conjunto de los mtodos de gestin de la informacin vinculada a la automatizacin o apoyo humano de la toma de decisiones (por ejemplo: Sistemas de apoyo a la decisin, Sistemas expertos y Sistemas de informacin para ejecutivos).En sus orgenes, las empresas utilizaban los ordenadores para la prctica empresarial de informatizar las nminas y hacer el seguimiento de las cuentas por pagar y por cobrar. Como las aplicaciones que histricamente se haban desarrollado siempre eran para gestionar la informacin sobre ventas, inventarios, y otros datos que ayuden en la gestin de la empresa, el trmino "SIG" (o "MIS") surgi para describir este tipo de aplicaciones. Hoy, el trmino se utiliza ampliamente en una serie de contextos e incluye (sin limitarse a ello): sistemas de apoyo de decisiones, los recursos y aplicaciones de gestin de personal, gestin de proyectos, y aplicaciones de recuperacin de bases de datos y la formacin empresarial

8. La Estructura Organizacional y responsabilidad SIRepresenta la percepcin que tienen los miembros de la organizacin acerca de la cantidad de reglas, procedimientos, trmites y otras limitaciones a que se ven enfrentados en el desarrollo de su trabajo. La medida en que la organizacin pone el nfasis en la burocracia, versus el nfasis puesto en un ambiente de trabajo libre, informal e inestructurado.Define como se dividen, agrupan y coordinan formalmente las tareas de trabajo. Existen 6 elementos claves a los que necesitan enfocarse los gerentes cuando disean la estructura de su organizacin estos son:Especializacin del trabajo, departamentalizacin, cadena de mando, tramo de control, centralizacin y descentralizacin y formacin.Es la disposicin de las personas que lo forman de contribuir en accin: es decir disposicin de sacrificar el control de su propio comportamiento para beneficiar la coordinacin para alcanzar el objetivo que los une. Esta razn es la que fundamenta la existencia de roles y funciones dentro de las organizaciones: Diferenciadas pero interrelacionadas.La complejidad de las organizaciones, tema que se vincula con las estructuras organizacionales; cabe mencionar que las organizaciones deben mantener un equilibrio de actividad con respecto al medio. Por lo general las iniciativas empresariales en sus inicios mantienen estructuras simples, sin mayores complejidades para los procesos productivos o humanos. Al crecer la demanda de lo ofrecido por la organizacin es natural que la organizacin crezca, en trminos de estructura, para poder satisfacer la demanda existente. Este caso no es solo para las "salidas del sistema", el crecimiento afecta tambin las "entradas del sistema".

9. Auditoria de la estructura e implementacin de gobierno de TIEl Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planificacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva. Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. El ncleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. La gerencia de la organizacin necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologas de Informacin son capaces de soportar los objetivos y estrategias de la organizacin. Cada implementacin de gobierno de TI se lleva a cabo en diferentes condiciones y circunstancias (entorno de Gobierno de TI) determinados por factores tales como: tica y cultura de la organizacin y de la industria. Leyes, regulaciones y guas vigentes, tanto internas como externas. Misin, visin y valores de la organizacin. La organizacin de la organizacin de sus roles y responsabilidades. Intenciones estratgicas y tcticas de la organizacinLa implementacin del gobierno de TI es un paso muy importante para todo aquel corporativo que desea maximizar sus beneficios y anticiparse al mercado.Con la implementacin del gobierno de TI no existen proyectos de tecnologa aislados, sino proyectos del negocio con soporte de TI.Una vez ms, el gobierno de TI no debe verse como un tema de tecnologa, sera ms adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.El gobierno de TI no es algo que podamos evadir, la evolucin tecnolgica y su adhesin en las prcticas organizacionales lo hacen inevitable; simplemente, es decisin nuestra adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los objetivos estratgicos y el mejor desempeo de nuestros procesos e inversiones.10. Capability Maturity Model IntegrationEl Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluacin de los procesos de una organizacin. Fue desarrollado inicialmente para los procesos relativos al desarrollo e implementacin de software por la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute).El SEI es un centro de investigacin y desarrollo patrocinado por el Departamento de Defensa de los Estados Unidos de Amrica y gestionado por la Universidad Carnegie-Mellon. "CMM" es una marca registrada del SEI.11. Modelos CMMILas mejores prcticas CMMI se publican en los documentos llamados modelos. En la actualidad hay tres reas de inters cubiertas por los modelos de CMMI: Desarrollo, Adquisicin y Servicios.La versin actual de CMMI es la versin 1.3 la cual corresponde a CMMI-SVC, liberada el 1 de noviembre de 2010. Hay tres constelaciones de la versin 1.2 disponible: CMMI para el Desarrollo (CMMI-DEV o CMMI for Development), Versin 1.2 fue liberado en agosto de 2006. En l se tratan procesos de desarrollo de productos y servicios. CMMI para la adquisicin (CMMI-ACQ o CMMI for Acquisition), Versin 1.2 fue liberado en noviembre de 2007. En l se tratan la gestin de la cadena de suministro, adquisicin y contratacin externa en los procesos del gobierno y la industria. CMMI para servicios (CMMI-SVC o CMMI for Services), est diseado para cubrir todas las actividades que requieren gestionar, establecer y entregar Servicios.Dentro de la constelacin CMMI-DEV, existen dos modelos: CMMI-DEV CMMI-DEV + IPPD (Integrated Product and Process Development)Independientemente de la constelacin\modelo que opta una organizacin, las prcticas CMMI deben adaptarse a cada organizacin en funcin de sus objetivos de negocio.Las organizaciones no pueden ser certificadas CMMI. Por el contrario, una organizacin es evaluada (por ejemplo, usando un mtodo de evaluacin como SCAMPI y recibe una calificacin de nivel 1-5 si sigue los niveles de Madurez (si bien se comienza con el nivel 2). En caso de que quiera la organizacin, puede coger reas de proceso y en vez de por niveles de madurez puede obtener los niveles de capacidad en cada una de las reas de Proceso, obteniendo el "Perfil de Capacidad" de la Organizacin.A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de Amrica (en particular del Departamento de Defensa, DoD), desarroll una primera definicin de un modelo de madurez de procesos en el desarrollo de software, que se public en septiembre de 1987. Este trabajo evolucion al modelo CMM o SW-CMM (CMM for Software), cuya ltima versin (v1.1) se public en febrero de 1993.Este modelo establece un conjunto de prcticas o procesos clave agrupados en reas Clave de Proceso (KPA - Key Process Area). Para cada rea de proceso define un conjunto de buenas prcticas que habrn de ser: Definidas en un procedimiento documentado Provistas (la organizacin) de los medios y formacin necesarios Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas) Medidas VerificadasA su vez estas reas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organizacin que tenga institucionalizadas todas las prcticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez.Los niveles son:1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se ven minados por falta de planificacin. El xito de los proyectos se basa la mayora de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible.2 - Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un razonable seguimiento de la calidad. La relacin con subcontratistas y clientes est gestionada sistemticamente.3 - Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de ingeniera ms detalladas y un nivel ms avanzado de mtricas en los procesos. Se implementan tcnicas de revisin por pares (peer reviews).4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad, que se usan de modo sistemtico para la toma de decisiones y la gestin de riesgos. El software resultante es de alta calidad.5 - Optimizado. La organizacin completa est volcada en la mejora continua de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de innovacin.As es como el modelo CMM establece una medida del progreso, conforme al avance en niveles de madurez. Cada nivel a su vez cuenta con un nmero de reas de proceso que deben lograrse. El alcanzar estas reas o estadios se detecta mediante la satisfaccin o insatisfaccin de varias metas claras y cuantificables. Con la excepcin del primer nivel, cada uno de los restantes Niveles de Madurez est compuesto por un cierto nmero de reas Claves de Proceso, conocidas a travs de la documentacin del CMM por su sigla inglesa: KPA.Cada KPA identifica un conjunto de actividades y prcticas interrelacionadas, las cuales cuando son realizadas en forma colectiva permiten alcanzar las metas fundamentales del proceso. Las KPAs pueden clasificarse en 3 tipos de proceso: Gestin, Organizacional e Ingeniera.Las prcticas que deben ser realizadas por cada rea Clave de Proceso estn organizadas en 5 Caractersticas Comunes, las cuales constituyen propiedades que indican si la implementacin y la institucionalizacin de un proceso clave es efectivo, repetible y duradero.Estas 5 caractersticas son: i)Compromiso de la realizacin, ii) La capacidad de realizacin, iii) Las actividades realizadas, iv) Las mediciones y el anlisis, v) La verificacin de la implementacin.Las organizaciones que utilizan CMM para mejorar sus procesos disponen de una gua til para orientar sus esfuerzos. Adems, el SEI proporciona formacin a evaluadores certificados (Lead Assesors) capacitados para evaluar y certificar el nivel CMM en el que se encuentra una organizacin. Esta certificacin es requerida por el Departamento de Defensa de los Estados Unidos, pero tambin es utilizada por multitud de organizaciones de todo el mundo para valorar a sus subcontratistas de software.Se considera tpico que una organizacin dedique unos 18 meses para progresar un nivel, aunque algunas consiguen mejorarlo. En cualquier caso requiere un amplio esfuerzo y un compromiso intenso de la direccin.Como consecuencia, muchas organizaciones que realizan funciones de factora de software o, en general, outsourcing de procesos de software, adoptan el modelo CMM y se certifican en alguno de sus niveles. Esto explica que uno de los pases en el que ms organizaciones certificadas exista sea India, donde han florecido las factoras de software que trabajan para clientes estadounidenses y europeos.12. Empresas que cumplen con el CMMI1. CAM Informtica Obtiene Nivel 2 del CMMI. Es la primera empresa dominicana en lograr esta certificacin.2. Advanced Tech Ltda: CMMI-23. Larran Vial: CMMI-21. Bolsa de Comercio de Santiago: CMMI-22. Sentra Software House Ltda: CMMI-23. AS Asociados S.A: CMMI-24. Intermedia S.A.: CMMI-25. Synapsis Chile: CMMI-26. Opensoft S.A.: CMMI-27. AS Asociados: CMMI-28. La Araucana: CMMI-29. Universidad Tecnologica de Chile Inacap: CMMI-210. Kibernum: CMMI-211. GST Limitada: CMMI-212. ALAYA: CMMI-213. INDRA Chile: CMMI-314. Tuxpan Software S.A.: CMMI-315. BAC Consultores Ltda.: CMMI-316. ALTEC S.A.: CMMI-317. Nexus S.A.: CMMI-318. SONDA: CMMI-319. Adexus S.A.: CMMI-320. Everis: CMMI-321. Everis Chile: CMMI-322. Nexus S.A.: CMMI-323. ALTEC S.A.: CMMI-524. IBM Application Management Services Spanish South America (IBM AMS SSA): CMMI-525. Cervecera Nacional Dominicana (Rep. Dominicana)26. Cervecera Bohemia (Rep. Dominicana)

Bibliografa

http://www.tcpsi.com/servicios/gobierno_ti.htmhttp://es.wikipedia.orgwww.monografias.comwww.unl.edu.ecwww.itmplatform.comwww.magazcitum.com.mx

1