Gobierno de TI es alinear las Tecnologías de la información y la comunicación (TI) con la estrategia del negocio. Hereda las metas y la estrategia a todos los departamentos de la empresa, y proporciona el mejor uso de la tecnología y de sus estructuras organizativas para alcanzarlas.
Sus características son:

• Está orientado a procesos, tanto de TI como del negocio. Se debe definir el propietario, responsabilidad y la criticidad del mismo.
• Basado en prácticas comúnmente aceptadas para aprovechar la experiencia del mercado y ofrecer un conjunto de medidas de control multinacional, hecho especialmente importante para la auditoría.

Para el ámbito empresarial puede referirse como la aplicación de mejores prácticas para la administración de una empresa y marca los principios a alto nivel para ayudar a la toma de decisiones. En la arquitectura de la empresa es el conjunto de opciones técnicas para guiar la organización a la satisfacción de las necesidades de negocio. En la Infraestructura de la empresa son los servicios de TI cómo soporte y apoyo a las verdaderas necesidades de negocio.
Las empresas exitosas han integrado las estrategias del negocio, las de TI, la cultura y la ética para optimizar el valor de la información acorde a los objetivos del negocio. De esta manera consiguen capitalizarlos con tecnologías que verdaderamente les permiten obtener competitividad y mantenerse ante el ambiente global que actualmente experimentamos.

Los elementos clave del Gobierno de TI mencionan la re-conceptualización y re-construcción de la arquitectura operacional de la empresa, re-pensar y re-expresar los roles del personal y el alineamiento entre el negocio y TI, además ayudan a comprender que los roles, la experiencia y la cultura son factores determinantes para lograr el mejor impacto y conseguir el éxito de la nueva arquitectura de la empresa mejorando su rendimiento.
• Alineamiento Estratégico
• Estructuras organizativas
• Generación de Valor
• Procesos de Gobierno de TI
• Gestión del riesgo
• Gestión del rendimiento
• Gestión de recursos
• Valor agregado

Utiliza un lenguaje común debido a la tradicional ausencia de comunicación entre negocio y tecnología. Se deben comprender los procesos y la complejidad de los recursos TI.
Permite la adopción de requisitos regulatorios.
Necesidad del Marco Regulatorio

• Asegurar el alineamiento con los objetivos de la organización.
• Determinar y mitigar los riesgos empresariales.
• Asegurar el cumplimiento normativo de forma general.
• Calcular/proveer formalmente los recursos apropiados.
• Hacer el seguimiento de la aportación de las TI al negocio.

Métricas
Los marcos de control están dirigidos por medidas. El negocio necesita conocer el estado de sus recursos y procesos TI, cómo aportan valor y cómo evolucionan.
Sirvan como ejemplo:

• Key Performance Indicator: Cómo se llega al grado de cumplimiento.
• CMM: Es un modelo de evaluación de los procesos de una organización. Cada proceso evaluado por CMM define un conjunto de buenas prácticas que habrán de ser: definidas en un procedimiento, provistas de los medios y formación necesarios, ejecutadas de un modo sistemático, universal y uniforme, medidas y verificadas. En función del estado de aplicación de cada práctica, el proceso se clasifica en: Inicial / Repetible / Definido / Gestionado / Optimizado.
• IT Governance: ITIL, COBIT, CMMI.
• BSC (Cuadro de Mando Integral): El "Cuadro de Mando Integral" es una herramienta para la gestión del rendimiento organizativo. Ayuda a centrarse no sólo en los objetivos financieros, sino también en los procesos internos, en los Clientes, y en los aspectos relativos al crecimiento y aprendizaje. Debería encontrarse un equilibrio entre estas cuatro perspectivas.

• Clientes: ¿Qué desean nuestros Clientes?
• Los procesos internos: ¿Cómo proporcionamos a nuestros Clientes un valor agregado?
• Aprendizaje y crecimiento: ¿Cómo garantizamos que seguiremos generando valor agregado en el futuro?
• Los aspectos financieros: ¿Qué tal lo hicimos en términos financieros?

El Gobierno de TI es el único camino posible para asegurar que las áreas de Sistemas contribuyen al éxito de las empresas en las que se encuentran, realizando una gestión más eficiente de los recursos, minimizando los riesgos y alineando sus decisiones con los objetivos del negocio.

Los factores inductores del Gobierno de TI en la organización pueden ser:
Regulaciones y Normativa: Legales (SOX, LOPD), Estándares (ISO 27001, ISO 20000), Certificaciones CMMI, etc.
Optimización de Recursos: Reingeniería de procesos de TI, Consolidación de Recursos, Estrategias de externalización, etc.
Peticiones del Negocio: Alineamiento TI con la estrategia, Ciclo de vida de productos y servicios, gestión de la demanda, etc.

• Conocer dónde se desea ir, evitando siempre la improvisación.
• Establecer mecanismos de medición y control claros.
• Que el marco temporal sea adecuado, la mejora lleva tiempo, no se deben esperar resultados a corto plazo, en menos de seis meses.
• Alinearse con iniciativas que ya estén en curso.
• No perderse en los modelos, no hay modelo ideal, cada situación requiere de soluciones a medida.
• Dotar a la organización de herramientas adecuadas.

1. Alineamiento estratégico, se centra en:

• Asegurar la conexión e integración del negocio con los planes de TI.
• Definir, mantener y validar las propuestas de valor de TI.
• Alinear las operaciones de TI con las de la empresa.
• Obtener mejor alineación que la competencia.

2. Entrega de valor: se refiere a ejecutar las propuestas de valor durante el ciclo de entrega, asegurando que TI entrega los beneficios relacionados con la estrategia del negocio, concentrándose en optimizar costos y proporcionar el valor intrínseco a la TI.
3. Gestión del Riesgo requiere:

• Concientización por parte de la alta dirección.
• Comprender la necesidad del cumplimiento con los requisitos.
• Transparencia en el tratamiento de los riesgos más significativos.
• Integrar las responsabilidades de la gestión de riesgos en la organización.
• Clara comprensión de la apetencia de riesgo de la organización.

4. Gestión de Recursos, se centra en:

• Organizar de manera óptima los recursos de TI de forma que los servicios que los requieran los obtengan en el lugar y momento necesarios.
• Alinear y priorizar servicios y productos existentes de TI que se requieren para apoyar las operaciones del negocio.
• Controlar y monitorear los servicios de TI propios y de terceros.

5. Medición del Rendimiento, seguimiento y control:

• La estrategia de la implantación.
• La estrategia de los proyectos.
• El uso de los recursos.
• El rendimiento de los procesos.
• La entrega de los servicios utilizando BSC.

Sin una efectiva medición del rendimiento, los otros cuatro aspectos del Gobierno TI es muy probable que fallen.

ITGI (Information Technology Governance Institute): www.itgi.org
ISACA (Information Systems Audit and Control Association): www.isaca.org

 

El Gobierno de SI está compuesto por un conjunto de responsabilidades y practicas llevadas a cabo mediante la Dirección Ejecutiva con el objetivo de proporcionar la dirección estratégica, asegurando que los objetivos se logran, cerciorándose de que los riesgos se gestionan de manera adecuada y asegurando que los recursos de la empresa son usados responsablemente - IT Governance Institute.
En el entorno existen múltiples normas, estándares y mejores prácticas con propuestas relativas a la ejecución de la seguridad de las TI: definición de políticas, definición de procesos, definición de controles y acciones, etc.
El objetivo de la seguridad de la información es desarrollar, implementar y administrar un programa de seguridad que alcance los siguientes seis resultados básicos de un gobierno eficaz de seguridad:

• Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos organizacionales.
• Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los recursos de información a un nivel aceptable.
• Entrega de valor: Optimizar las inversiones en la seguridad en apoyo a los objetivos del negocio.
• Administración de recursos: Utilizar el conocimiento y la infraestructura de la Seguridad de la Información con eficiencia y eficacia.
• Medición del desempeño: Monitorear y reportar procesos de Seguridad de la Información para garantizar que se alcancen los objetivos.
• Integración: Integrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo a lo planteado de principio a fin.

El objetivo de Seguridad de la Información, según la ISO 27001, consiste en diseñar, implementar y mantener un Sistema de Gestión de Seguridad de la Información mediante un conjunto coherente de procesos para la gestión eficaz de acceso a la información, garantizando así la confidencialidad, la integridad y la disponibilidad de los activos de información, minimizando los riesgos de seguridad de la información en la TI.
El diseño de un Sistema de Gestión de Seguridad de la Información contempla las actividades de establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, junto con su debida documentación:

• Realizar un estudio del entorno de Seguridad de la Información, el cual comprende principalmente los estándares de Seguridad de la Información: ISO 27000, junto con los modelos de procesos como son ITIL, Cobit, etc., el reglamento vigente en cuanto a protección de la información, y los modelos de madurez y métricas que afecten al Gobierno de Seguridad de la Información.
• Analizar los beneficios y aspectos de mejora de las herramientas software comerciales de Gestión de Seguridad de la Información que cubran en gran parte las consideraciones internas, como los factores influyentes del entorno.
• Tras las áreas de mejora detectadas, realizar un Análisis y un Diseño de un Sistema de Gobierno de Seguridad de la Información con los requisitos obtenidos y seleccionados de las herramientas de mercado. El modelo propuesto ha de contemplar los requisitos de Gobierno de la Seguridad considerando la normativa ISO 27000, junto con los marcos legales, las buenas prácticas, los modelos, métodos y las métricas de la bibliografía existentes al respecto.
• Proponer un modelo de simulación sobre el Gobierno de la Seguridad TI.
• Llevar a cabo una planificación y una estimación de los puntos de función para obtener una aproximación del presupuesto del proyecto y recursos necesarios para la implementación.

Definir un catálogo de datos maestros con los que una herramienta de Gobierno de Seguridad de la Información debería comenzar.

Plan (Establecer el SGSI): En esta etapa se define el alcance del SGSI en términos de negocio, organización, localización, activos y tecnologías. Implica, establecer la política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la Seguridad de la Información, entregando resultados acordes a las políticas y objetivos de toda la organización.

• Debe ser aprobada por la dirección una política de seguridad que incluya el marco general y los objetivos de seguridad de la información de la organización, alineada con el contexto estratégico de gestión de riesgos y criterios de evaluación de los mismos. Considerando los requerimientos legales o contractuales relativos a seguridad.

Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos. Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.

• Se define un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información, y se implementa el plan junto con los controles.

Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión. - Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.

• La organización deberá ejecutar procedimientos de monitorización y revisión para detectar a tiempo los errores en el procesamiento de la información, identificar brechas e incidentes de seguridad, ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto, detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores, determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS. Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.

• La organización deberá implantar regularmente las mejoras identificadas en el SGSI, realizando las acciones preventivas y correctivas adecuadas en relación a la cláusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Un SGSI puede ser implementado como un sistema de información específico que se ocupa de un área de negocio en particular, o puede ser implementado como un sistema que abarque todas las participaciones de toda la organización.