INNOVA Research Journal, ISSN 2477-9024

Correo: innova@uide.edu.ec

Convergencia de COBIT e ISO 3850s0 en el Gobierno de Tecnologías

de la Información

Convergence of COBIT and ISO 38500 in the government of

technologies of information

Darío Javier Robayo Jácome

https://orcid.org/0000-0002-0661-6573

Pontificia Universidad Católica del Ecuador, Ecuador

Verónica De Las Mercedes Villarreal Morales

https://orcid.org/0000-0002-6401-3404

Universidad Estatal Amazónica, Ecuador

Autor por correspondencia: drobayo@pucesa.edu.ec; vvillarreal@uea.edu.ec

Fecha de recepción: 20 de agosto de 2019 – Fecha de aceptación: 24 de enero de 2020

Resumen

El objetivo del proyecto de investigación fue la implementación de un Modelo de Gestión y

Gobierno de Tecnologías de la Información en la Universidad Estatal Amazónica (UEA). El

desarrollo se inició con una revisión del estado del arte seguido de la aplicación del ciclo de

vida y la técnica de cascada de metas que contempla ISACA a través de su marco de referencia

COBIT 5; todo esto aplicado junto con los principios que se establecen en la norma

internacional ISO 38500 (2015), garantizó que la UEA aplique buenas prácticas de Gobierno

de Tecnologías de la Información (TI) dotando de valor adicional a los procesos y estableciendo

directrices para la mitigación de riesgos. Este modelo permitió a la UEA conjugar los objetivos

de TI con los objetivos estratégicos institucionales, agregando valor y satisfaciendo las

necesidades de cada dependencia a través de la administración de recursos (aplicaciones e

infraestructura de TI) y la medición del desempeño de procesos relacionados con las TI. Al

final, se evidenció que la adopción de este Gobierno fue altamente satisfactoria ya que los

resultados obtenidos en el corto plazo reflejan la optimización y mejor aprovechamiento de los

recursos de TI.

Palabras clave: gestión de TI; gobierno de TI; COBIT; ISO 38500

Abstract

The objective of this research project was the implementation of a Management and

Governance Model of Information Technologies in the Estatal Amazonica University (EAU).

The development began with a review of the state of the art followed by the application of the

life cycle and the technique of cascading goals that ISACA contemplates through its COBIT 5

framework; all this applied together with the principles established in the international standard

ISO 38500 (2015), guaranteed that the EAU applies good practices of Government of

Information Technology (IT) giving additional value to the processes and establishing

guidelines for mitigation of risks. This model allowed the EAU to combine IT objectives with

institutional strategic objectives, adding value and meeting the needs of each unit through the

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

1

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

administration of resources (IT applications and infrastructure) and the measurement of the

performance of IT-related processes. In the end it was evident that the adoption of this

Government was highly satisfactory since the results obtained in the short term reflect the

optimization and better use of IT resources.

Key words: TI management; TI governance; COBIT; ISO 38500

Introducción

La Universidad Estatal Amazónica (UEA) ha basado la administración de sus recursos

de TI solamente en el conocimiento del personal de la Unidad de Tecnologías de la

Información y Comunicaciones (UTIC), sin considerar modelos de procesos, políticas o

estrategias que fomenten el alcance de los objetivos institucionales. Esta unidad se guía en

lineamientos detallados en el plan estratégico de desarrollo institucional, el cual entre otras

tiene como misión “promover la innovación y el desarrollo tecnológico, mediante la

explotación de los resultados de la investigación y la transferencia de tecnología, administrar

y controlar los recursos tecnológicos especializados que son propiedad de la institución,

asesorar en la adquisición de equipos especializados, hardware y software” para la UEA

(

Universidad Estatal Amazónica, 2012).

La UTIC presenta limitaciones en la realización de sus procesos ya que no es

independiente y se encuentra dentro de otro departamento, las metas definidas se enfocan en

cubrir algunas necesidades tecnológicas actuales a corto plazo, ya que carecen de estrategias

para lograrse en el largo plazo. Si bien, esta unidad viene cumpliendo con el proceso de

gestión de tecnologías, dista en demasía de un verdadero gobierno de TI; está formada por un

equipo humano pequeño -organizado desde el punto de vista de sus responsabilidades en las

áreas de redes y telecomunicaciones, administración de servicios educativos y desarrollo de

software-, que gestiona las demandas de toda la institución. El crecimiento representativo de

la UEA hace notoria la carencia en estrategias tecnológicas, por lo que, la implementación de

un modelo de gestión y gobierno de TI que integre y apoye la institucionalización de buenas

prácticas de planificación, organización y monitoreo, provee una estructura necesaria que una

los procesos y recursos de TI con los objetivos estratégicos institucionales a través del

aseguramiento de la información administrada y las tecnologías empleadas.

Con base a la problemática expuesta y de acuerdo con Marulanda, López & Valencia

(

2017), la implementación de un modelo de gestión y gobierno de TI significa un cambio en

políticas, procesos, responsabilidad organizativa y estándares; orientados a la obtención de

una adecuada gobernabilidad que mitigue los riesgos y satisfaga las necesidades de los

distintos ejes de desarrollo. Lo expuesto, hace que este proyecto sea el inicio del cambio en la

forma de administración, apoyándose en el cumplimiento del ciclo de vida propuesto por la

Information Systems Audit and Control Association (ISACA) en su marco de referencia

COBIT 5 (ISACA, 2012) y alineado a los principios de la ISO 38500 (Hamidovic, 2011),

permitiendo alcanzar nuevas directrices en el manejo de procesos apoyados por la tecnología.

Estado del Arte

Dentro de la CRUE (Conferencia de Rectores de Universidades Españolas), los

autores Fernández & Llorens (2011), presentan el proyecto: Gobierno de TI para

universidades, en el cual utilizan COBIT 5 e ISO 38500 como base para el diseño y creación

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

2

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

de un marco de referencia de gobierno de TI para Universidades, mismo que, entre sus

resultados menciona la conjunción del gobierno de TI con las necesidades de las

Universidades españolas complementado con la autoevaluación de la madurez de los

procesos implicados. Los autores concluyen que la contribución de la integración de COBIT

5

e ISO 38500 permiten entre otras cosas evaluar opciones estratégicas para la dirección de

TI, lo cual, junto a la supervisión de resultados, propician un acercamiento de la

implementación de estándares ISO dentro de las instituciones de educación superior.

En ese mismo contexto, sierra (2012) describe un estudio de la implantación de

gobierno de TI en las universidades en su proyecto titulado: “¿Cómo implantar el Gobierno

de las Tecnologías de la Información en Instituciones de Educación Superior?”, en el cual se

describen los elementos y herramientas que las universidades han utilizado para la

implantación de gobierno de TI. Para este estudio, fueron evaluadas 79 universidades a nivel

mundial, lo que llevo a un análisis de los resultados obtenidos y se los enmarcó en un

conjunto de buenas prácticas para la implementación del gobierno en otras universidades.

Si bien, el aporte de estos trabajos es significativo, pueden distar aún de ser unas

verdaderas guías de implementación, por lo que la tesis doctoral de Fernández (2009), es un

aporte complementario, puesto que, propone mejorar el gobierno, la administración y la

planificación de las TI en las universidades españolas mediante la utilización de herramientas

de gobierno corporativo. El trabajo se lo realizó en dos fases: la primera cuyo objetivo fue

analizar la situación de las TI en el Sistema Universitario Español (SUE) para proponer

acciones de mejora tanto a nivel global (para todo el SUE) como a nivel local (para cada una

de las universidades); la segunda, cuya finalidad fue descubrir cuál puede ser la importancia

del gobierno de las TI para las universidades españolas, haciendo que el resultado se

convierta en un referente global y así proponer el cumplimiento de las acciones de

implantación de dicho modelo. El autor concluye que la explotación de los modelos

diseñados durante el proceso de investigación proporcionará suficiente información que

contribuirá a la realización de estudios sobre la alineación de las TI y los objetivos

institucionales y el análisis del valor que las TI proporcionan a las universidades.

Haciendo un acercamiento a la zona latinoamericana, Salazar & Vela (2012)

desarrollan el proyecto Gobierno de TI en Colombia: documentación y modelado de procesos

que soportan el Gobierno y la Gestión de las Tecnologías de Información, dentro de la

Universidad ICESI de Santiago de Cali, el cual, propone como paso inicial la documentación

y el modelado de procesos, para facilitar así la implementación del gobierno de TI bajo el

marco de referencia COBIT; de esta manera, se complementa lo expuesto anteriormente ya

que este sería un importante primer paso para la implantación del gobierno. De este trabajo

como premisa principal se ha de mencionar, que el éxito para tal implantación inicia con la

toma de conciencia de la dirección o altos ejecutivos de la organización sobre el valor que

aporta el gobierno de TI.

En el contexto nacional, Valverde, Mejía & Meza (2017), proponen mejorar

continuamente los procesos, la gestión estratégica y la aplicación de tecnologías de

información y comunicación en los procesos académicos dentro del entorno universitario

público del Ecuador, lo que posibilitará herramientas a los estudiantes para optimizar los

servicios prestados por el estado, agilizar y simplificar los procesos y procedimientos

administrativos, con una gobernanza de las TI apropiada y el aprovechamiento continuo del

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

3

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

desarrollo de tecnologías de información y comunicación. Es importante contar con una alta

dirección eficiente, con mecanismos de evaluación que permitan mejorar su desempeño y la

calidad de los servicios; que simplifique los procesos académicos con herramientas más

óptimas y eficientes y rinda cuentas de manera clara y oportuna a los beneficiarios que en el

caso universitario son los estudiantes. Además, con la utilización de COBIT 5 y la adaptación

de los procesos de gobierno de TI para evaluar el cumplimiento de procesos de gobernanza

en la Universidad Central del Ecuador, se generó una línea base de resultados a través del uso

del modelo de niveles de madurez propuesto por el GTI4U, lo cual, junto con observar el

comportamiento de una universidad pública del Ecuador respecto al cumplimiento de

gobernanza corporativa de las TI, hace que los resultados obtenidos generen una línea base

que apoye a futuro a la generación de un marco de gobierno específico para universidades

públicas del Ecuador.

Sobre la misma línea Morales (2015), concluye que el principal problema para la

implementación del gobierno de TI de forma específica en las Instituciones de Educación

Superior es que no existe una metodología clara y definida para el efecto. Esto quizás porque

como paso previo a la implementación del Gobierno TI en las Universidades se deben

establecer políticas que generen confianza entre beneficiarios y autoridades, lo que podría

dificultar el establecimiento de una metodología. Además, menciona que no existe un modelo

específico para la implementación del Gobierno TI en Universidades Sudamericanas; por lo

que, cuando los investigadores diseñen y validen un modelo de Gobierno TI particularizado,

deben desarrollar todas las herramientas que proporcionen una clara idea de la forma de

implementación, así como todo el soporte adecuado.

Metodología

Gobierno de TI

Para Hamidovic (2011), gobierno corporativo es un “proceso mediante el cual la junta

de directores a través de la gerencia, guía a la institución en el cumplimiento de su misión

corporativa y protección de sus activos”, por lo que tiene trascendencia dentro de las

empresas privadas y con un alza en la implementación dentro de las empresas públicas

(

Coba, Díaz & Altamirano, 2018). En consecuencia, al ser el modelo corporativo de las

universidades similar al implementado por las empresas, se componen habitualmente de una

estructura jerárquica similar la cual se aplica en la mayoría de las instituciones (Flórez &

Lopez, 2014); ya que estas también buscan ser dirigidas por profesionales con experiencia en

diversas áreas de gestión y dirección.

El concepto de gobierno es utilizado también en el área de tecnologías como Gobierno

de TI, cuyo propósito es “el alineamiento de los objetivos institucionales con los recursos y

estrategias de TI” (Changmarín, 2018). Según ISACA (2012), el Gobierno de TI es

considerado como “el encargado de asegurar que se consideren las necesidades, condiciones

y opciones de las partes interesadas para determinar que se alcancen las metas corporativas

equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de

decisiones y midiendo el rendimiento y el cumplimiento respecto a la dirección en función de

las metas acordadas”, lo que conlleva la aplicación de buenas prácticas que permitan la unión

de la arquitectura de información, los procesos y recursos de TI, con las estrategias y los

objetivos de la Institución de Educación Superior (IES) (Villarreal, 2018).

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

4

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Para que exista efectividad del gobierno de TI, los elementos que lo constituyen

deben están relacionados con las personas, es decir, debe existir entre otras cosas el apoyo de

los directivos, el aprovechamiento de las destrezas y las capacidades personales y la alta

participación e implicación de todos los grupos de interés (Solares, 2014); por ello es

recomendable que los directores de TI realicen una evaluación constante de las tendencias

tecnológicas en las universidades, de manera que puedan asumir un rol crítico y

complementario en la realización de propuestas que se planteen por parte de los usuarios

institucionales (Chinkes, 2015).

Marcos de referencia

Al momento existen una gran cantidad de modelos, marcos de referencia y estándares

que permiten la implementación de un gobierno de TI. Entre los más destacados y que han

fundamentado nuevos modelos están: COBIT en su última versión 5 que une COBIT4.1, Val

IT 2.0, Risk IT, BMIS (ISACA, 2012); e ISO 38500, norma diseñada exclusivamente para el

Gobierno de TI (Fachry, Maullana & Fathonah, 2018).

COBIT

Este marco de trabajo que es el principal modelo seguido a escala mundial (Yrigoyen,

2

016), provee un modelo integral que ayuda a las empresas a alcanzar sus objetivos para el

gobierno y la gestión de TI, ayudando a las empresas a crear un valor óptimo manteniendo el

equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso

de recursos (ISACA 2012). La versión 5 de COBIT que según ISACA (2012) une COBIT4.1,

Val IT 2.0, Risk IT y BMIS; está basada en cinco principios que se aplican con la técnica de

cascada de metas, estos son: satisfacer las necesidades de las partes interesadas, cubrir la

empresa extremo-a-extremo, aplicar un marco de referencia único integrado, hacer posible un

enfoque holístico, separar el gobierno de la gestión (Camino 2017). Medina, Areniz & Rico

(

2016), mencionan que el gobierno de TI no solo debe quedarse en la implementación, sino

que se debe evaluar su madurez a través del tiempo de aplicación, lo que en palabras de

Chinkes (2015) es fundamental para mostrar con objetividad los resultados y para establecer

acuerdos de niveles de servicio y/o de nivel operacional, tanto con los usuarios como con las

autoridades de la universidad.

ISO 38500

La norma ISO/IEC 38500:2008 “Corporate Governance of Information Technology”

nace en el año 2005 como el estándar AS8015-2005 mismo que, en el 2008 fue promovido a

norma internacional (Valencia, Marulanda & López, 2018). Esta norma de acuerdo con

Ballester (2010) trata sobre procesos y decisiones de los servicios de información,

considerando que éstos pueden estar administrados tanto por personal interno o externo. Esta

norma puede guiar a la obtención del máximo valor de los recursos de información, sentando

las bases de un marco de referencia para un gobierno eficiente de TI. (Citado en Villarreal,

2

018) Es así como, la norma ISO 385000 permite incentivar el uso eficiente y de las TI

alineado a los objetivos corporativos. Para ello y entre otros aspectos, “la norma se basa en

seis principios que expresan cuales son los comportamientos que deben adoptarse y que es lo

que se debe hacer, pero no indican cómo ni quién debe hacerlo. Estos principios son

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

5

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

responsabilidad, estrategia, adquisición, rendimiento, conformidad y factor humano”

(

Villarreal, 2018).

Desarrollo

Para el inicio de la implementación, lo primero es crear un entorno apropiado para

asegurar el éxito de la implementación o de la iniciativa de mejora, por lo que las siete fases

de COBIT (ISACA, 2012) y la aceptación de los principios de la ISO 38500, son utilizados

para este propósito (Enriquez, Valverde & Llorens, 2017) (Citado por Villarreal, 2018). Parte

de este inicio es el análisis y la concientización por parte de los directivos, de los aspectos

que se deben mejorar para fortalecer las metas trazadas mediante el apoyo y el uso adecuado

de las TI.

Fase 1. Aceptación de la necesidad de cambio

Una vez determinada la problemática de la UTIC, la dirección, entendiendo la

necesidad de cambio en la forma de administrar las TI en la UEA, sociabiliza las ventajas y

viabilidad de un gobierno para la gestión de TI a la máxima autoridad de la institución, luego

de lo cual se cuenta con la aprobación para iniciar el proceso de implementación del modelo.

(

Villarreal, 2018) Para ello se recomienda iniciar con acciones formativas desde la alta

dirección, para promulgar las ventajas de un estándar de gobernanza de las TI en la

institución, logrando con esto definir en conjunto las acciones necesarias para que la

iniciativa trascienda en cada dependencia, facilitando así la implementación. (Velásquez,

Puentes & Pérez, 2015).

Fase 2. Evaluación estado actual

En esta etapa se pudo determinar principalmente que no existe el involucramiento de

las autoridades como agentes partícipes de las decisiones y administración de tecnologías;

además, estas son gestionadas con base en el conocimiento del personal involucrado, sin

seguir lineamientos de normas o estándares y sin la utilización de proyectos que permitan

monitorear y supervisar avances y resultados. (Villarreal, 2018).

Complementando lo expuesto, se pudo identificar además que la UEA no cuenta con

una estructura organizacional de TI que defina roles y responsabilidades de cada persona

involucrada con las decisiones y gestión, y que cubra la demanda de toda la comunidad

universitaria, no se cuenta con políticas que definan la propiedad y los parámetros de

seguridad de la información, no se han definido procesos para el desarrollo de software, no

existe una adecuada planificación para gestión de riesgos, carencia de procesos de evaluación

y mejora continua, entre otros. Sin embargo, y de acuerdo con Villarreal (2018) la

problemática más evidente es el no alineamiento estratégico entre los objetivos

institucionales y los de TI, por lo que a partir de los objetivos institucionales de la UEA, se

aplica la técnica de cascada que establece las metas corporativas de COBIT 5 (ISACA 2012),

realizando el mapeo con la escala P de Relación principal, usada cuando las metas genéricas

de COBIT 5 corresponden a las metas institucionales y en la que COBIT permite traducir las

prioridades estratégicas a ‘ponderaciones’ para un mejor uso de la técnica, dándole a esta

escala un valor de 5. Además, se usó la escala S de Relación secundaria, útil cuando las metas

genéricas de COBIT 5 no corresponden, pero están enlazadas a las metas institucionales; se le

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

6

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

asignó el valor de 2. La Tabla 1 muestra el mapeo entre las metas de la UEA y las metas

corporativas de COBIT 5.

Tabla 1

Proceso de mapeo metas UEA y metas corporativas COBIT

META CORPORATIVA

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

APRENDIZA

META UNIVERSIDAD ESTATAL

AMAZONICA

FINANCIERA

CLIENTE

INTERNA

JE Y

CRECIMIEN

Potenciar la investigación científica

Obj.

P

S

P

S

P

S

P

básica y aplicada con mayor

01

enfoque en la biodiversidad y los

recursos de la región,

sistematizando y difundiendo, los

conocimientos ancestrales, las

tecnologías, arte y cultura de los

diferentes pueblos y nacionalidades

amazónicas, bajo estándares de

rigurosidad, disciplina académica y

responsabilidad, enfocada a la

generación de nuevo conocimiento,

y desarrollo tecnológico con

compromiso social para la

generación de patentes

Ejecutar procesos educativos de

pregrado y posgrado, que permitan

formar profesionales competentes e

innovadores, capaces de generar

nuevos conocimientos a través de

la investigación científica y

Obj.

P

S

P

S

02

resolver los problemas locales,

regionales y nacionales.

Contribuir al desarrollo local,

regional y nacional, propiciando

una mejor interacción Universidad‐

Sociedad mediante planes y

Obj.

P

S

P

S

03

programas que contengan nuevas

alternativas, o modelos de vida y de

producción para solucionar los

problemas ambientales, sociales y

tecnológicos que permitan el

desarrollo equilibrado del hombre y

la conservación de la naturaleza de

la región amazónica.

Mejorar la eficiencia en la gestión

administrativa para generar un

soporte organizado y operativo

eficiente enfocado hacia el logro

de la excelencia.

Obj.

P

S

P

S

04

2

0

7

20

7

17 20

7

11

2

11 14 14

7

Fuente: Villarreal (2018)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

7

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Como resultado de lo anterior, la Tabla 2 muestra las metas corporativas genéricas de

COBIT 5 que proporcionan el soporte para el cumplimiento de las metas de la UEA.

Tabla 2

Resultado mapeo metas UEA y metas corporativas COBIT

Nº meta

Meta institucional UEA

1

2

3

4

Valor para los Interesados de las Inversiones de Negocio

Cumplimiento de leyes y regulaciones externas

Cultura de servicio orientada al cliente

Continuidad y disponibilidad del servicio de negocio

Fuente: Villarreal (2018)

Continuando con la aplicación de la metodología, se establece la relación entre las

metas de la UEA y las metas relacionadas con TI que menciona COBIT; para ello se toma en

cuenta la misma escala de ponderación utilizada anteriormente. El resultado de ese proceso se

muestra en la Tabla 3, en la que se resaltan las metas de TI que son necesarias para alcanzar

las metas de la IES:



Alineamiento de TI y la estrategia de negocio

Entrega de servicios de TI de acuerdo a los requisitos del negocio

Seguridad de la información, infraestructura de procesamiento y aplicaciones

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

8

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Tabla 3

Cascada de metas, mapeo metas corporativas COBIT y metas relacionadas con TI

META CORPORATIVA

1

2

3

4

5

6

7

8

9

10 11 12 13 14 15

16 17

APRENDIZAJE

Y

CRECIMIENTO

META RELACIONADA CON LAS TI

FINANCIERA

CLIENTE

P

INTERNA

Alineamiento de TI y la

P

S

P

S

P

S

P

S

P

S

1

2

estrategia de negocio

12

5

Cumplimiento y soporte de la

TI al cumplimiento del

negocio de las leyes y

P

S

P

S

regulaciones externas

Compromiso de la dirección

ejecutiva para tomar

decisiones relacionadas con

TI

Riesgos de negocio

relacionados con las TI

P

S

P

S

3

4

5

7

P

gestionados

Realización de beneficios del

portafolio de Inversiones y

Servicios relacionados con

las TI

P

S

P

S

5

6

7

2

Transparencia de los costes,

beneficios y riesgos de las TI

Entrega de servicios de TI de

acuerdo a los requisitos del

negocio

S

P

S

P

S

P

S

P

S

P

S

7

14

Uso adecuado de

aplicaciones, información y

soluciones tecnologicas

S

P

S

P

S

8

9

6

4

P

Agilidad de las TI

Seguridad de la información,

infraestructura de

procesamiento y

P

1

0 aplicaciones

10

5

Optimización de activos,

recursos y capacidades de

P

S

P

S

P

S

1

1 las TI

Capacitación y soporte de

procesos de negocio

integrando aplicaciones y

tecnología en procesos de

P

S

P

1

2 negocio

4

7

Entrega de Programas que

proporcionen beneficios

a tiempo, dentro del

presupuesto y satisfaciendo

los

P

S

P

requisitos y normas de

1

3 calidad

Disponibilidad de

información útil y relevante

para la toma

S

P

S

1

4 de decisiones

9

2

4

Cumplimiento de las

políticas internas por parte

1

5 de las TI

S

P

Personal del negocio y de las

1

6 TI competente y motivado

S

P

S

P

S

iniciativas para la

innovación

P

S

P

1

7 de negocio

4

Fuente: Villarreal (2018)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

9

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Tabla 4

Mapeo metas relacionadas con TI y procesos COBIT

METAS RELACIONAS CON TI

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

APRENDIZAJE

Y

PROCESOS DE COBIT 5

FINANCIERA

CLIENTE

INTERNA

CRECIMIENT

Asegurar el Establecimiento y

EDM01 Mantenimiento del Marco de

P

S

P

S

P

S

Gobierno

12

10

EDM02 Beneficios

P

S

P

S

P

S

Asegurar la Optimización del

Riesgo

Asegurar la Optimización de

los Recursos

Asegurar la Transparencia

hacia las partes interesadas

EDM03

P

S

P

9

4

7

EDM04

S

P

S

P

S

EDM05

S

P

S

Gestionar el Marco de

Gestión de TI

AP001

P

S

P

S

P

S

P

S

P

S

P

S

P

S

P

S

P

S

9

10

AP002 Gestionar la Estrategia

Gestionar la Arquitectura

S

AP003

S

Empresarial

9

2

7

AP004 Gestionar la Innovación

S

P

S

P

S

P

S

P

S

AP005 Gestionar el Portafolio

Gestionar el Presupuesto y

P

S

P

S

AP006

S

P

S

los Costes

Gestionar los Recursos

Humanos

4

AP007

P

S

P

S

P

S

P

S

P

9

10

AP008 Gestionar las Relaciones

Gestionar los Acuerdos de

S

AP009

S

P

S

Servicio

9

AP010

P

S

P

S

Gestionar los Proveedores

7

AP011 Gestionar la Calidad

AP012 Gestionar el Riesgo

S

P

S

P

S

P

S

P

S

P

AP013 Gestionar la Seguridad

Gestionar los Programas y

BAI01

P

S

P

S

P

S

P

S

Proyectos

Gestionar la Definición de

Requisitos

7

BAI02

S

P

S

P

S

P

12

Gestionar la Identificación y

BAI03 la Construcción de

Soluciones

S

P

S

7

5

Gestionar la Disponibilidad

y la Capacidad

Gestionar la Introducción de

Cambios Organizativos

BAI04

S

P

BAI05

S

P

S

P

S

P

S

P

S

P

4

10

BAI06 Gestionar los Cambios

Gestionar la Aceptación del

P

S

P

S

BAI07

Cambio y de la Transición

2

6

4

2

7

BAI08 Gestionar el Conocimiento

BAI09 Gestionar los Activos

S

P

S

P

S

P

S

P

S

P

S

BAI10 Gestionar la Configuración

S

DSS01 Gestionar las Operaciones

Gestionar las Peticiones y

S

P

S

DSS02

P

S

los Incidentes del Servicio

7

5

9

DSS03 Gestionar los Problemas

S

P

S

P

S

P

S

P

S

DSS04 Gestionar la Continuidad

Gestionar los Servicios de

S

DSS05

P

S

P

S

P

S

Seguridad

Gestionar los Controles de

los Procesos del Negocio

9

7

DSS06

P

S

MEA01 Supervisar, Evaluar y Valorar

Rendimiento y Conformidad

S

P

S

P

S

P

S

P

S

P

S

9

4

MEA02 Supervisar, Evaluar y Valorar

el Sistema de Control Interno

Supervisar, Evaluar y Valorar

MEA03 la Conformidad con los

Requerimientos Externos

S

Fuente: Villarreal (2018)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

10

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Con las metas identificadas se continúa con la técnica para determinar los procesos de

COBIT que serán utilizados como catalizadores para apoyar la implementación del gobierno,

los cuales vienen a ser de manera general aspectos que pueden ayudar a conseguir las metas

de la empresa (ver Tabla 4). Como resultado se obtienen los procesos de gobierno para

alcanzar los objetivos institucionales (ver Tabla 5), y los procesos de gestión de TI aplicables

(

ver Tabla 6).

Tabla 5

Procesos de Gobierno de TI

Evaluar, Orientar Y Supervisar

EDM01

EDM02

EDM03

Asegurar el establecimiento y mantenimiento de Marco de Gobierno

Asegurar la entrega de beneficios

Asegurar la Optimización del Riesgo

Fuente: Adaptado de Villarreal (2018)

Tabla 6

Procesos de Gestión de TI

Alinear, Planificar Y Organizar

AP001

AP002

AP003

AP007

AP008

AP009

Gestionar el Marco de Gestión de TI

Gestionar la estrategia

Gestionar la arquitectura empresarial

Gestionar los recursos humanos

Gestionar las relaciones

Gestionar los acuerdos de servicios

Construcción, Adquisición E Implementación

BAI02

BAI06

Gestionar la definición de requisitos

Gestionar los Cambios

Entregar, Dar Servicio Y Soporte

DSS04

DSS05

Gestionar la Continuidad

Gestionar los Servicios de Seguridad

Supervisión, Evaluación Y Verificación

MEA01

Supervisar, Evaluar y Valorar Rendimiento y Conformidad

Fuente: Adaptado de Villarreal (2018)

Seguidamente se identificaron las entradas y salidas de información que guíen la

implementación del modelo, lo que permitirá aplicar cambios considerables en las áreas de la

UTIC asegurando así la aplicación de buenas prácticas. Esto permite definir procesos que,

junto con los objetivos de la UEA, conducen a la valoración actual de la forma cómo se lleva

el gobierno de TI, usando parámetros considerados en COBIT 5 e inspirados en la norma ISO

1

554; los resultados permiten determinar y mejorar la capacidad en la organización, con el

uso de los niveles de madurez (ver Tabla 7) establecidos en ISACA (2012), y las metas y

procesos determinados. (Villarreal, 2018) Los resultados de esta etapa se resumen en la

Figura 1.

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

11

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Tabla 7

Nivel de capacidad

Descripción

Nivel De Capacidad

0

1

2

proceso incompleto

proceso ejecutado

proceso gestionado

El proceso no existe o no alcanza su propósito.

El proceso implementado alcanza su propósito.

El proceso está implementado de forma gestionada

(planificado, supervisado y ajustado) y los resultados

de su ejecución están establecidos, controlados y

mantenidos apropiadamente.

3

4

5

proceso establecido

proceso predecible

proceso optimizado

El proceso está implementado usando un marco

definido para alcanzar sus resultados.

El proceso se ejecuta dentro de límites definidos para

alcanzar sus resultados.

El proceso se convierte en buena práctica, sobre la base

de los resultados de mejora continua. Se automatizan

los flujos de trabajo, existen mecanismos para mejorar

la calidad y la efectividad, haciendo a la IES rápida

para adaptarse.

Fuente: Adaptado de Villareal (2018)

SITUACION INICIAL

EDM01 Asegurar el

establecimiento y…

MEA01 Supervisar,

Evaluar y Valorar…

DSS05 Gestionar los

2,5

,0

1,5

EDM02 Asegurar la

entrega de beneficios

2

EDM03 Asegurar la

Optimización del…

Servicios de Seguridad

1,0

0,5

0,0

DSS04 Gestionar la

continuidad

APO01 Gestionar el

Marco de Gestión…

BAI06 Gestionar los

Cambios

APO02 Gestionar la

Estrategia

BAI02 Gestionar la

APO03 Gestionar la

definición de…

Arquitectura…

AP009 Gestionar los

acuerdos de servicios

AP007 Gestionar los

recursos humanos

AP008 Gestionar las

relaciones

Figura 1: Se presenta la situación inicial de la UEA, determinada en la Fase 2.

Fuente: Villareal (2018)

En resumen, la UEA demuestra una madurez valorada en 1.1; ubicada en el nivel 1:

Proceso ejecutado. Es decir, el proceso utilizado alcanza su propósito, pero se evidencia la

existencia de problemas causados principalmente por procesos no estandarizados.

Fase 3. Situación esperada

Una de las principales metas de esta etapa es separar el gobierno de la gestión

mediante la división de responsabilidades en la administración de TI (Figura 2). Para ello, se

en la UEA se implementa un Comité de Estrategia de TI (dependiente del Rectorado) que

maneja el Gobierno y se cambió la Unidad de Tecnologías por el Departamento de TI

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

12

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

(

dependiente del Vicerrectorado Administrativo), con unidades que permitirán la efectividad

de la gestión (Figura 3). Con base a lo expuesto, y para el cumplimiento de las

responsabilidades asignadas, se determinaron unidades de apoyo para el cumplimiento de las

estrategias definidas, mismas que están al interior del Departamento de TI:



Unidad de proyectos de TI

Unidad de desarrollo de Software

Unidad de seguridad y riesgo de TI

Unidad de Infraestructura de TI y servicio a usuarios. (Villarreal, 2018)

Figura 2: Se muestra la pirámide de responsabilidades de TI que guía en la estructura que debe tener el

departamento de TI.

Fuente: Fernández & Llorens (2011)

Figura 3: Se aprecia el organigrama jerárquico-funcional de la DTIC luego de la identificación de

responsabilidades.

Fuente: Villarreal (2018)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

13

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Fase 4. Definición de proyectos

Una vez identificados los procesos de gobierno y gestión de TI, éstos conducen a la

identificación de las prácticas recomendadas, situación que conduce a varios procesos de

mejoras y buenas prácticas identificadas (Tabla 8); los procesos identificados se encuentran

adecuadamente alineados y complementados con los principios de la norma ISO 38500

(

Tabla 9).

Tabla 8

Relación Proceso – Práctica Gobierno de TI

PRACTICA

Nº PROCESO

1

EDM01.- Asegurar el

establecimiento y

EDM01.01 Evaluar el sistema de gobierno.

EDM01.02 Orientar el sistema de gobierno.

mantenimiento de Marco de EDM01.03 Supervisar el sistema de gobierno.

Gobierno

2

EDM02.01

Evaluar la optimización del valor.

EDM02.- Asegurar la

EDM02.02

entrega de beneficios

Orientar la optimización del valor.

EDM02.03

Supervisar la optimización del valor.

EDM03.01

Evaluar la gestión de riesgos.

EDM03.02

Orientar la gestión de riesgos.

EDM03.03

3

4

EDM03.- Asegurar la

Optimización del Riesgo

Supervisar la gestión de riesgos.

APO01.01

Definir la estructura organizativa.

APO01.02

Establecer roles y responsabilidades.

APO01.03

Mantener los elementos catalizadores del sistema de gestión.

APO01.04

Comunicar los objetivos y la dirección de gestión.

APO01.05

Optimizar la ubicación de la función de TI.

APO01.06

APO01.- Gestionar el

Marco de Gestión de TI

Definir la propiedad de la información (datos) y del sistema.

APO01.07

Gestionar la mejora continua de los procesos.

APO01.08

Mantener el cumplimiento con las políticas y procedimientos.

5

APO02.01

Comprender la dirección de la empresa.

APO02.02

Evaluar el entorno, capacidades y rendimiento actuales.

APO02.03

Definir el objetivo de las capacidades de TI.

APO02.04

Realizar un análisis de diferencias.

APO02.05

APO02.- Gestionar la

estrategia

Definir el plan estratégico y la hoja de ruta.

APO02.06

Comunicar la estrategia y la dirección de TI.

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

14

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Nº PROCESO

PRACTICA

6

APO03.01

Desarrollar la visión de la arquitectura de empresa.

APO03.02

Definir la arquitectura de referencia.

APO03.03

APO03.- Gestionar la

arquitectura empresarial

Seleccionar las oportunidades y las soluciones.

APO03.04

Definir la implantación de la arquitectura.

APO03.05

Proveer los servicios de arquitectura empresarial.

7

APO07.01

Mantener la dotación de personal suficiente y adecuada.

APO07.02

Identificar personal clave de TI.

APO07.03

Mantener las habilidades y competencias del personal.

APO07.04

Evaluar el desempeño laboral de los empleados.

APO07.- Gestionar los

recursos humanos

APO07.05

Planificar y realizar un seguimiento del uso de recursos

humanos de TI y del negocio.

APO07.06

Gestionar el personal contratado.

8

APO08.01

Entender las expectativas del negocio.

APO08.02

Identificar oportunidades, riesgos y limitaciones de TI para

mejorar el negocio.

APO08.- Gestionar las

APO08.03

relaciones

Gestionar las relaciones con el negocio.

APO08.04

Coordinar y comunicar.

APO08.05

Proveer datos de entrada para la mejora continua de los

servicios.

9

APO09.01

Identificar servicios TI.

APO09.02

Catalogar servicios basados en TI.

APO09.03

Definir y preparar acuerdos de servicio.

APO09.- Gestionar los

acuerdos de servicios

APO09.04

Supervisar e informar de los niveles de servicio.

APO09.05

Revisar acuerdos de servicio y contratos.

1

0

BAI02.01

Definir y mantener los

requerimientos técnicos y

funcionales de negocio.

BAI02.02

Realizar un estudio de

viabilidad y proponer soluciones

alternativas.

BAI02.- Gestionar la

definición de requisitos

BAI02.03

Gestionar los riesgos de los

requerimientos.

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

15

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Nº PROCESO

PRACTICA

BAI02.04

Obtener la aprobación de los

requerimientos y soluciones.

BAI06.01

Evaluar, priorizar y autorizar peticiones de cambio.

BAI06.02

Gestionar cambios de emergencia.

BAI06.03

Hacer seguimiento e informar de cambios de estado.

BAI06.04

Cerrar y documentar los cambios.

1

2

BAI06.- Gestionar los

Cambios

DSS04.01

Definir la política de continuidad del negocio, objetivos y

alcance.

DSS04.02

Mantener una estrategia de continuidad.

DSS04.03

Desarrollar e implementar una respuesta a la continuidad del

negocio.

DSS04.04

DSS04.- Gestionar la

Continuidad

Ejercitar, probar y revisar el plan de continuidad.

DSS04.05

Revisar, mantener y mejorar el plan de continuidad.

DSS04.06

Proporcionar formación en el plan de continuidad.

DSS04.07

Gestionar acuerdos de respaldo.

DSS04.08

Ejecutar revisiones post-reanudación.

1

3

DSS05.01

Proteger contra software malicioso (malware).

DSS05.02

Gestionar la seguridad de la red y las conexiones.

DSS05.03

Gestionar la seguridad de los puestos de usuario final.

DSS05.04

DSS05.- Gestionar los

Gestionar la identidad del usuario y el acceso lógico.

DSS05.05

Servicios de Seguridad

Gestionar el acceso físico a los activos de TI.

DSS05.06

Gestionar documentos sensibles y dispositivos de salida.

DSS05.07

Supervisar la infraestructura para detectar eventos

relacionados con la seguridad.

MEA01.01

1

4

Establecer un enfoque de la supervisión.

MEA01.02

Establecer los objetivos de cumplimiento y rendimiento.

MEA01.03

MEA01.- Supervisar,

Evaluar y Valorar

Recopilar y procesar los datos de cumplimiento y

Rendimiento y Conformidad rendimiento.

MEA01.04

Analizar e informar sobre el rendimiento.

MEA01.05

Asegurar la implantación de medidas correctivas.

Fuente: Villarreal (2018)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

16

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Tabla 9

Alineamiento de COBIT e ISO 38500

CATALIZADORES COBIT 5

PRINCIPIOS

ISO 38500

PROCESO

EDM01.- Asegurar el establecimiento y

mantenimiento de Marco de Gobierno

APO01.- Gestionar el Marco de Gestión

de TI

Responsabilidad

Estructuras organizativas

MEA01.- Supervisar, Evaluar y Valorar

Rendimiento y Conformidad

EDM02.- Asegurar la entrega de

beneficios

EDM03.- Asegurar la Optimización del

Riesgo

APO02.- Gestionar la estrategia

APO08.- Gestionar las relaciones

BAI02.- Gestionar la definición de

requisitos

Estrategia

Proceso

BAI06.- Gestionar los Cambios

DSS04.- Gestionar la Continuidad

Proceso; información; servicios,

infraestructura y aplicaciones.

Adquisición

Desempeño

APO02.- Gestionar la estrategia

APO03.- Gestionar la arquitectura

empresarial

APO09.- Gestionar los acuerdos de

servicios

Procesos; estructuras organizativas.

DSS05.- Gestionar los Servicios de

Seguridad

APO02.- Gestionar la estrategia

Información; estructuras organizativas;

procesos; servicios, infraestructura y

aplicaciones.

Cumplimiento

MEA01.- Supervisar, Evaluar y Valorar

Rendimiento y Conformidad

APO07.- Gestionar los recursos

humanos

BAI02.- Gestionar la definición de

requisitos

Comportamiento

Humano

Personas, habilidades y competencias;

cultura, ética y comportamiento.

Fuente: Villarreal (2018)

Fase 5. Definición de métricas

La evaluación de los procesos realizados por el gobierno de TI es altamente necesaria,

por ello y siguiendo la metodología se definieron métricas (Tabla 10) que permiten identificar

puntos débiles especialmente en prestación de servicios. Dichas métricas están de acuerdo

con los procesos definidos y son seleccionadas de los procesos catalizadores de ISACA

(

2012). (Villarreal, 2018).

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

17

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Tabla 10

Métricas de Gobierno de TI

PROCESO

META DEL PROCESO

METRICA

Modelo estratégico de toma de

decisiones para que las TI sean

efectivas y estén alineadas con el

entorno externo e interno de la

empresa y los requerimientos de las

partes interesadas.

Nivel de satisfacción mediante

encuestas de las personas interesadas

Asegurar el

establecimiento

EDM01 y mantenimiento

de Marco de

Número de roles, responsabilidades

Garantizar que el sistema de gobierno y autoridades que están definidas,

para TI está incorporado al gobierno asignadas y aceptadas a gestores

corporativo.

Gobierno

para una gestión del negocio y de las

TI apropiados.

Obtener garantías de que el sistema

Frecuencia del reporte del gobierno

de gobierno para TI está operando de de TI al Consejo universitario y/o a

manera efectiva.

Rectorado

Nivel de satisfacción de las partes

interesadas con la habilidad de la

empresa para obtener valor de las

iniciativas TI

La empresa está asegurando un valor

óptimo de su portafolio de iniciativas

TI, servicios y activos aprobados.

Asegurar la

Porcentaje de iniciativas TI en el

portafolio general en las que el valor

está siendo gestionado a través del

ciclo de vida completo

EDM02

entrega de

beneficios

Se deriva un valor óptimo de la

inversión TI mediante prácticas de

gestión del valor en la empresa.

Las inversiones individuales en TI

contribuyen a un valor óptimo.

Porcentaje del valor TI esperado

realizado

Los umbrales de riesgo son definidos

y comunicados y los riesgos clave

relacionados con la TI son conocidos.

Número de potenciales riesgos TI

identificados y gestionados

La empresa gestiona el riesgo crítico

empresarial relacionado con las TI

eficaz y eficientemente.

Porcentaje de proyectos de la

empresa que consideran el riesgo TI

Asegurar la

Optimización

del Riesgo

EDM03

Los riesgos empresariales

relacionados con las TI no exceden el

apetito de riesgo y el impacto del

*Porcentaje de riesgos TI que

exceden el riesgo empresarial

riesgo TI en el valor de la empresa es tolerado

identificado y gestionado.

Porcentaje de políticas, estándares y

otros elementos catalizadores activos

documentados y actualizados

Se ha definido y se mantiene un

conjunto eficaz de políticas.

Gestionar el

Marco de

Gestión de TI

APO01

APO02

Todos tienen conocimiento de las

políticas y de cómo deberían

implementarse.

Número de empleados que asistieron

a sesiones de formación o de

sensibilización

Todos los aspectos de la estrategia de Porcentaje de los objetivos del

TI están alineados con la estrategia

del negocio.

negocio considerados en la estrategia

de TI

Gestionar la

Estrategia

La estrategia de TI es coste-efectiva, Porcentaje de iniciativas en la

apropiada, realista, factible, enfocada estrategia de TI autofinanciadas (los

al negocio y equilibrada.

beneficios superan los costes)

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

18

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

PROCESO

META DEL PROCESO

METRICA

Se pueden derivar objetivos a corto

plazo claros, concretos, y trazables de

iniciativas a largo plazo específicas,

y se pueden traducir, por tanto, en

planes operativos.

Porcentaje de proyectos en la cartera

de proyectos de TI que pueden ser

directamente trazables con la

estrategia de TI

Porcentaje de proyectos/iniciativas

de TI respaldados directamente por

los propietarios del negocio

TI es un generador de valor para el

negocio.

Existe conciencia de la estrategia de

TI y una clara asignación de

responsabilidades para su entrega.

Porcentaje de iniciativas estratégicas

con asignación de responsabilidades

Beneficios aportados por el proyecto

que pueden ser trazados a la

implicación de la arquitectura (por

ejemplo, reducción de costes debido

a la reutilización)

La arquitectura y los estándares son

eficaces apoyando a la empresa.

La cartera de servicios de la

arquitectura de empresa soporta el

cambio empresarial ágil.

Porcentaje de proyectos que usan los

servicios de la arquitectura de

empresa

Gestionar la

Arquitectura

Empresarial

Existen dominios apropiados y

actualizados y/o arquitecturas

federadas que proveen información

fiable de la arquitectura.

Fecha de la última actualización en

el dominio y/o arquitecturas

federadas.

APO03

Se utiliza un marco de arquitectura

de empresa y una metodología

común, así como un repositorio de

arquitectura integrado, con el fin de

permitir la reutilización de

Porcentaje de proyectos que utilizan

el marco de trabajo y la metodología

para reutilizar componentes ya

definidos.

eficiencias dentro de la empresa.

La estructura organizacional y las

Número de definiciones de servicio

y catálogos de servicio

Gestionar los relaciones de TI son flexibles y dan

AP007

AP008

recursos

humanos

respuesta ágil.

Los recursos humanos son

gestionados eficaz y eficientemente.

Evaluación de desempeño

Las estrategias, planes y requisitos de

negocio están bien entendidos,

documentados y aprobados.

Porcentaje de servicios TI alineados

con los requisitos del negocio.

Resultados de las encuestas de

satisfacción de los usuarios

y del personal de TI.

Gestionar las Existencia de buenas relaciones entre

relaciones

la empresa y las TI.

Las partes interesadas del negocio

Encuesta del nivel de concienciación

son conscientes de las oportunidades tecnológica de las partes

posibilitadas por la TI.

interesadas de negocio.

La empresa puede usar de modo

efectivo los servicios TI tal como se

han definido en el catálogo.

Número de procesos de negocio con

acuerdos de servicio definidos

Gestionar los

acuerdos de

servicios

Los acuerdos de servicio reflejan las Porcentaje de servicio TI activos

capacidades y necesidades de la TI

Los servicios TI rinden como está

estipulado en los acuerdos de

servicio.

AP009

cubiertos por acuerdos de servicio

Porcentaje de servicios

monitorizados para cumplir los

acuerdos

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

19

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

PROCESO

META DEL PROCESO

METRICA

Los requerimientos funcionales y

técnicos del negocio reflejan las

necesidades y expectativas de la

organización.

Nivel de satisfacción de las partes

interesadas con los requerimientos

La solución propuesta satisface los

requerimientos funcionales, técnicos

y de cumplimiento del negocio.

Porcentaje de requerimientos

satisfechos por la solución propuesta

Gestionar la

definición de

requisitos

BAI02

El riesgo asociado con los

requerimientos ha sido tomado en

cuenta en la solución propuesta.

Porcentaje de riesgos no mitigado

exitosamente

Los requerimientos y soluciones

propuestas cumplen con los objetivos

del caso de negocio (valor esperado y

costes probables).

Porcentaje de los objetivos del caso

de negocio alcanzados por la

solución propuesta

Los cambios autorizados son

realizados de acuerdo a sus

cronogramas respectivos y con

errores mínimos.

Reducción en el tiempo y esfuerzo

necesarios para aplicar los cambios

Las evaluaciones de impacto revelan Porcentaje de cambios con éxito

el efecto de los cambios sobre todos debidos a evaluaciones de impacto

Gestionar los

Cambios

los componentes afectados.

adecuadas

BAI06

Todos los cambios de emergencia

son revisados y autorizados una vez

hecho el cambio.

Número de cambios de emergencia

no autorizados una vez hecho el

cambio identificados

Las principales partes interesadas

están informadas sobre todos los

aspectos del cambio.

Porcentaje de satisfacción de las

partes interesadas con las

comunicaciones de los cambios

La información crítica para el

negocio está disponible para el

negocio en línea con los niveles de

servicio mínimos requeridos

Porcentaje de medios de respaldo

transferidos y almacenados de forma

segura

Las pruebas de continuidad del

servicio han verificado la efectividad Frecuencia de las pruebas

del plan.

Gestionar la

continuidad

DSS04

Un plan de continuidad actualizado

refleja los requisitos de negocio

actuales.

Porcentaje de mejoras acordadas que

han sido reflejadas en el plan

Las partes interesadas internas y

externas han sido formadas en el plan

de continuidad.

Porcentaje de interesados internos y

externos que han recibido formación

Número de vulnerabilidades

descubiertas

Número de rupturas (breaches) de

cortafuegos

La seguridad de las redes y las

comunicaciones cumple con las

necesidades del negocio.

La información procesada,

almacenada y transmitida en los

dispositivos

Porcentaje de individuos que reciben

formación de concienciación

relativa al uso de dispositivos de

usuario final

Gestionar los

Servicios de

Seguridad

DSS05

de usuario final está protegida.

Todos los usuarios están

Número de cuentas (con respecto al

número de usuarios/empleados

autorizados)

identificados de manera única y

tienen derechos de acceso de acuerdo

con sus roles en el negocio.

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

20

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

PROCESO

META DEL PROCESO

METRICA

Se han implantado medidas físicas

para proteger la información de

accesos no autorizados, daños e

Porcentaje de pruebas periódicas de

los dispositivos de seguridad del

interferencias mientras es procesada, entorno

almacenada o transmitida.

La información electrónica tiene las

Políticas de seguridad para evitar

incidentes relacionados con accesos

no autorizados a la información.

medidas de seguridad apropiadas

mientras está almacenada,

transmitida o destruida.

Objetivos y métricas aprobadas por

las partes interesadas.

Porcentaje de informes de

rendimiento entregados en plazo

Procesos medidos acorde a las

métricas y objetivos acordados.

Porcentaje de procesos con objetivos

y métricas definidas.

Supervisar,

Evaluar y

Valorar

La monitorización, evaluación y

generación de información es

efectiva y

Porcentaje de procesos críticos

supervisados

MEA01

Rendimiento y operativa.

Conformidad

Objetivos y métricas integradas

Porcentaje de objetivos y métricas

dentro de los sistemas de supervisión alineadas al sistema de supervisión

de la empresa.

de la empresa

Los informes acerca del rendimiento

y conformidad de los procesos son

útiles y a tiempo.

Porcentaje de informes de

rendimiento entregados en plazo

Fuente: Villarreal (2018)

Fase 6. Supervisión de beneficios

La supervisión de beneficios está a cargo del director de TI y para ello se implementó

una aplicación de gestión de cartera de proyectos, desde el cual se realiza el monitoreo de los

proyectos que se desarrollan dentro de las diferentes áreas del DTIC. Como complemento, se

desarrolló además otra aplicación para la evaluación y monitoreo de procesos y recursos,

mismo que permite realizar analítica de datos para facilitar a las autoridades de la UEA y

responsables de TI la toma de decisiones. (Villarreal, 2018).

Fase 7. Monitorear y evaluar procesos de TI

Luego evaluar los procesos identificados y aplicados en la UEA, se procedió con la

identificación de los procesos que no lograron alcanzar su objetivo (Tabla 11), mismos que

serán considerados para reestructurarlos en el próximo ciclo de vida como procesos de

mejora continua. (Villarreal, 2018).

Tabla 11

Procesos para mejora

PROCESO

METAS

Los umbrales de riesgo son definidos y comunicados

y los riesgos clave relacionados con la TI son

conocidos.

Asegurar la

Optimización del Riesgo

EDM03

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

21

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

PROCESO

METAS

La empresa gestiona el riesgo crítico empresarial

relacionado con las TI eficaz y eficientemente.

Los riesgos empresariales relacionados con las TI no

exceden el apetito de riesgo y el impacto del riesgo

TI en el valor de la empresa es identificado y

gestionado.

Se ha definido y se mantiene un conjunto eficaz de

políticas.

Gestionar el Marco de

Gestión de TI

APO01

Todos tienen conocimiento de las políticas y de cómo

deberían implementarse.

Los cambios autorizados son realizados de acuerdo a

sus cronogramas respectivos y con errores mínimos.

Las evaluaciones de impacto revelan el efecto de los

cambios sobre todos los componentes afectados.

BAI06

Gestionar los Cambios

Todos los cambios de emergencia son revisados y

autorizados una vez hecho el cambio.

Las principales partes interesadas están informadas

sobre todos los aspectos del cambio.

La información crítica para el negocio está disponible

para el negocio en línea con los niveles de servicio

mínimos requeridos

Las pruebas de continuidad del servicio han verificado

la efectividad del plan.

DSS04 Gestionar la continuidad

Un plan de continuidad actualizado refleja los

requisitos de negocio actuales.

Las partes interesadas internas y externas han sido

formadas en el plan de continuidad.

Fuente: Villarreal (2018)

Resultados y Discusión

La UEA inició un nuevo camino hacia el Gobierno y Gestión de TI a través del

alineamiento de objetivos institucionales con las estrategias de TI y la definición de

responsables de la planificación estratégica, toma de decisiones y de la explotación de las TI.

Se establecieron políticas que permiten una adecuada administración de recursos, gestionar

riesgos y brindar seguridad a la información sensible de la institución, las mencionadas

políticas establecen las directrices, y parámetros a seguir en la administración de recursos TI.

Se cuenta también con procesos de autoevaluación de madurez del Gobierno y Gestión de TI,

dentro de la Unidad de Tecnologías, lo que permite además optimizar los recursos

tecnológicos de la institución a través de la evaluación, entrega oportuna de informes y

priorización de requerimientos.

Para realizar la valoración del gobierno y gestión de TI, se evaluó el cumplimiento de

las métricas establecidas en los procesos catalizadores, además de la constatación y

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

22

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

observación de resultados aplicados y monitoreados a través de Sistema Integrado de

Tecnologías de la Información (SITIC). Dichas evidencias permiten conocer y sustentar los

niveles de madurez en los cuales se encuentra la administración de TI de la UEA. Los

resultados cuantitativos detallados reflejan que del nivel de madurez “inicial” con valor 1.1,

se incrementa a un nivel de madurez 3 “proceso definido”, con un promedio obtenido de 3.3

(

Figura 4), el cual evidencia que se han estandarizado, documentado y comunicado los

procedimientos mediante formación. Los procedimientos no son sofisticados en sí mismos,

pero sí la formalización de las prácticas existentes; con este cambio se plantea que las

próximas metas y objetivos sean orientados a incrementar el nivel de madurez del gobierno y

gestión de TI.

Por otra parte la identificación de lineamientos claros de gestión y gobierno de TI se

garantizó con base a la aplicación de la técnica de cascada, de la cual se obtuvieron tres

objetivos de TI y catorce procesos catalizadores plasmados en el nuevo Plan Operativo Anual

del Área de Tecnologías; mismos que brindan soporte tecnológico para el alcance de los

objetivos institucionales, todo esto junto a la adaptabilidad entre COBIT 5 e ISO 38500 para

construir el procedimiento de implementación del modelo de gestión y gobierno de TI en la

UEA.

EDM01 Asegurar el

establecimiento y…

MEA01 Supervisar,

Evaluar y Valorar…

5,0

EDM02 Asegurar la

entrega de beneficios

4

,5

,0

4

DSS05 Gestionar los

Servicios de Seguridad

3,5

3,0

EDM03 Asegurar la

Optimización del Riesgo

2

,5

,0

2

DSS04 Gestionar la

continuidad

1,5

APO01 Gestionar el

Marco de Gestión de TI

1,0

0,5

0,0

BAI06 Gestionar los

Cambios

APO02 Gestionar la

Estrategia

BAI02 Gestionar la

definición de requisitos

APO03 Gestionar la

Arquitectura…

FINAL

AP009 Gestionar los

acuerdos de servicios

AP007 Gestionar los

recursos humanos

INICIAL

AP008 Gestionar las

relaciones

Figura 4: Se visualizan gráficamente los estados inicial y final; se puede determinar la mejora que tuvieron los

procesos de gobierno y gestión luego de la implementación del modelo.

La información recabada sobre el marco de referencia de gobierno de TI para

Universidades aplicado por la CRUE, permitió enfocar el uso de COBIT 5 e ISO 35800 para

la aplicación en las universidades, de manera exclusiva para el dominio de la UEA, ya que

coinciden con los principios de buenas prácticas y actividades enfocadas en alinear los

objetivos institucionales con las estrategias de TI. Esto permitió evaluar opciones

estratégicas, proporcionar dirección a las TI y supervisar resultados, propiciando la

aproximación a la implementación de estándares ISO dentro de la universidad, situación que

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

23

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

coincide con los resultados del trabajo presentado por Fernández & Llorens (2011) para la

universidad española.

La implementación del modelo de gestión y gobierno de TI permite a la UEA sostener

sus procesos con el uso de tecnologías, alineando sus ejes de desarrollo con las metas de TI;

añadiendo así políticas, normas y estándares a cumplir, que permitan el óptimo manejo de

recursos, que resulten en la entrega de valor y satisfacción de necesidades evidenciadas a

través de la medición de desempeño, fomentando un trabajo colaborativo, en busca de una

mejora continua y competitividad de la institución. Para ello, se cuenta con el eficiente apoyo

de la alta dirección mismo que junto con mecanismos de evaluación permitirán mejorar el

desempeño y la calidad de los servicios académicos para satisfacción no sólo de los

colaboradores de la institución sino también de los estudiantes, situación que coincide con lo

recomendado por Valverde, Mejía & Meza (2017).

Conclusiones

La aplicación del modelo de gobierno de TI permitió el alineamiento estratégico de

las metas de TI con los objetivos de la institución, lo que condujo a la optimización de

recursos y disminución de riesgos, permitiendo la asignación de responsabilidades y la toma

de decisiones, a nivel gerencial y en las principales áreas de TI. Con la creación de áreas

específicas de Gestión de la UEA, se pudieron identificar las metas y procesos en las

dependencias restantes, lo que permite obtener mayores beneficios, y proporcionar el mejor

uso de la tecnología al interior de las estructuras organizativas. El modelo de gobierno de TI

aplicado, por ser adaptable a cualquier organización, permitió generar valor en los procesos

institucionales gracias al uso eficiente de las tecnologías. Es así como se contribuyó a la

alineación de la TI con los objetivos institucionales demostrando el alto valor que ésta

proporciona a las universidades. Este trabajo contribuye al estado del arte y a la aplicación de

los marcos de trabajo aquí utilizados para la determinación de necesidades y la

implementación de gobiernos de TI, ya que los resultados obtenidos han demostrado los

beneficios que las instituciones de educación superior pueden obtener.

Bibliografía

Ballester M. (2010) Gobierno de las TIC ISO/IEC 38500. ISACA Journal, pp. 1-4.

Camino J. (2017) “Diseño de una solución para la gestión de los procesos de incidencia y Help

Desk alineados a Itil y Cobit”. Caso de uso empresa Sifuturo SA. Pontificia Universidad

Católica del Ecuador. Quito, Ecuador.

Changmarín C. (2018) “Gobierno Corporativo: Efecto del Comité de Auditoría y la

Información en la competitividad para la PYME”. Revista Contabilidad y Auditoría.

No. 48. p. 51-94. ISSN 1515-2340. eISSN 1852-446X.

Chinkes E. (2015) Las Tecnologías de la Información y la Comunicación Potenciando la

Universidad del Siglo XXI. RedCLARA.

Coba E., Díaz J. Altamirano M. (2018) “Impacto del gobierno corporativo en las asociaciones

de la economía social y solidaria en Tungurahua-Ecuador”. Revista Actualidad

Contable Faces. Vol. 21, no 37, p. 24-58. ISSN: 1316-8533. eISSN: 2244-8772

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

24

INNOVA Research Journal 2020, Vol 5, No. 2, pp. 1-25

Enriquez R., Valverde F., Llorens F. (2017) Gobierno de las TI en las Universidades: análisis

sistemático de la literatura científica y no convencional. Universidad Internacional el

Ecuador. Quito, Ecuador.

Fachry S., Maullana R., Fathonah N. (2018) “Analysis of Investment IT Planning on Logistic

Company Using COBIT 5”. Journal of Physics: Conference Series.

DOI:10.1088/1742-6596/1007/1/012051

Fernández A. (2009) Análisis, planificación y gobierno de las tecnologías de la información en

las universidades. Universidad de Almería. España.

Fernández A., Llorens F. (2011) Gobierno de las TI para universidades. CRUE. pp. 121-128.

España. ISBN: 9788493550981

Flórez J. Lopez M. (2014) “El gobierno corporativo de las Universidades: Estudio de las 100

primeras Universidades del ranking de Shanghái”. Revista de Educación, pp. 170-187.

ISSN: 0034-8082 DOI: 10.4438/1988-592X-RE-2014-364-259

Hamidovic H. (2011) Fundamentos del Gobierno de TI basados en ISO/IEC 38500. ISACA

Capítulo Bogotá Boletín. Pp.4-9.

ISACA. (2012) Cobit 5. Procesos Catalizadores. Rolling Meadows. Illinois. Estados Unidos.

ISBN: 9781604202489.

Marulanda C. López M. Valencia F. (2017) “Gobierno y Gestión de TI en las Entidades

Públicas”. Revista Ad-Minister. Nº. 31 pp. 75 – 92. ISSN 1692-0279. eISSN 2256-4322.

DOI: 10.17230/ad-minister.31.5

Medina Y., Areniz Y., Rico D. (2016) Modelo estratégico para la gestión tecnológica en la

organización: plan táctico de la calidad (ITIL & ISO 20000). Instituto Tecnológico

Metropolitano. Medellín, Colombia. ISBN: 978-958-5414-00-6.

Morales V. (2015) “Modelos de Gobierno TI para Instituciones de Educación Superior”.

Revista Politécnica. Vol. 36. No 3. ISSN 1390-0129.

Salazar C., Vela E. (2012) Gobierno de TI en Colombia. Universidad ICESI. Cali, Colombia.

Sierra L. (2012) ¿Cómo implantar el Gobierno de las Tecnologías de la Información en

Instituciones de Educación Superior? Universidad ICESI. Cali, Colombia.

Solares P. (2014) Gobierno y riesgos de TI. ECORFAN, pp. 39-54. ISBN 978-097-4857-10-7

Universidad Estatal Amazónica. (2012) Estatuto orgánico de gestión organizacional por

procesos de la Universidad Estatal Amazónica. Pastaza, Ecuador.

Valencia F., Marulanda C., López M. (2018) “Gobierno de las Tecnologías de la Información.

Uso y Prácticas en las Entidades Públicas del Triángulo del Café”. Revista Información

Tecnológica. Vol. 29. No. 3. P. 249-256. ISSN 0718-0764.

Valverde F., Mejía G., Meza D. (2017) “Análisis de la gobernanza de las Tecnologías de la

Información y Comunicación al servicio del buen vivir en las universidades públicas

del Ecuador”. Revista Publicando, No 11. pp. 208-227. ISSN 1390-9304.

Velásquez Pérez, T., Puentes Velásquez, A., Pérez Pérez, Y. (2015) Un enfoque de buenas

prácticas de gobierno corporativo de TI. Revista Tecnura, 19, 159-169. doi:

1

0.14483/udistrital.jour.tecnura.2015.SE1.a14

Villarreal Morales, V., (2018). Modelo de gestión y gobierno de tecnologías de la información

en la Universidad Estatal Amazónica. Ecuador: Ambato

Yrigoyen, M. (2016). “Modelo de referencia de gobierno de las tecnologías de la información

para

instituciones

universitarias”.

Interfases.

pp.

87-115.

DOI:

http://dx.doi.org/10.26439/interfases2016.n009.1242

Esta obra se comparte bajo la licencia Creative Common Atribución-No Comercial 4.0 International (CC BY-NC 4.0)

Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/

25