Comercio electronico. Un caso practico de Gobierno de lasTIC

Enrique Manuel Gallego Garcıaa, Javier de Pedro Carracedob

aConsultor senior de Seguridad de la Informacion, Departamento de Seguridad Corporativa de Sistemas deInformacion de Telefonica S.A., Ronda de la Comunicacion s/n, Madrid, Espana

bDepartamento de Automatica, Edificio Politecnico, Universidad de Alcala, Campus universitario, N-II,km. 33,6, 28871, Alcala de Henares, Madrid, Espana

Resumen

Hoy en dıa resulta indiscutible el impacto de las Tecnologıas de la Informacion y lasComunicaciones (TIC) en la vida cotidiana. El fenomeno de la globalizacion, impul-sado en parte por las TIC, ha propiciado nuevos esquemas conceptuales de actividadempresarial que, si bien pronostican perspectivas economicas muy favorables, adole-cen de una complejidad organizativa sin precedentes. Afortunadamente, el Gobierno delas TIC ha permitido sortear el escollo, definiendo un marco de actuacion normalizadoen el seno del mundo empresarial. Ası, COBIT, ITIL, ISO 27002, e incluso el modelode madurez propuesto por CMMI, se han convertido recientemente en manuales de su-pervivencia en el ambito de las empresas tecnologicas. Por tanto, el proposito de estetrabajo comprende una revision general de las diferentes areas de trabajo adscritas alGobierno de las TIC, a la vez que se proporciona un caso practico (comercio electroni-co) en el que se constata como la aplicacion de estas reglas de conducta empresarialconsolidan la sostenibilidad del negocio.

Palabras clave:TIC, Gobierno de las TIC, COBIT, ITIL, ISO 27002, CMMI, comercio electronico.

1. Introduccion

El final del siglo XX se ha caracterizado por la revolucion digital, suscitada por losavances experimentados en materia de Tecnologıas de la Informacion y las Comuni-caciones. Su radio de accion no se limita a nuestro quehacer diario o actividades deocio. Ineditos e innovadores negocios revelan nuevos canales de comunicacion entre laindustria y los consumidores.

Las incipientes perspectivas de negocio, basadas en las TIC, no estan exentas denuevos riesgos que las organizaciones deben asumir y gestionar, de ahı que se establez-ca un marco de trabajo, destinado al control de los riesgos derivados de las TIC. Unaadecuada gestion de los procesos tecnologicos resulta esencial para la supervivencia y

Correos electronicos: enriquemanuel.gallegogarcia@telefonica.com (Enrique ManuelGallego Garcıa), javier.depedro@uah.es (Javier de Pedro Carracedo)

Artıculo para III Congreso de Computacion para el Desarrollo 6 de junio de 2010

el exito de una companıa. Los nuevos escenarios macroeconomicos insinuan una fuertedependencia de los procesos productivos de las organizaciones en las TIC, por lo queactualmente las TIC se han convertido en un activo estrategico, vital en la obtencionde resultados. De hecho, la inoperancia de las TIC puede llegar a paralizar la actividadnatural de una organizacion, lo que justifica la puesta en escena del Gobierno de lasTIC, fiel indicador del exito que se augura para una propuesta empresarial.

El origen del Gobierno de las TIC se remonta a 1992, ano en que se publica elinforme COSO (Committee of Sponsoring Organizations of the Treadway Comission)[1]. El informe COSO propone un sistema integrado de control interno, esto es, planteauna formula estandar con la que las organizaciones pueden evaluar y mejorar sus siste-mas de control. Este memorandum supuso un punto de inflexion en la comprension delcontrol interno, pues establecio un marco de referencia, antes inexistente, en el procesode institucionalizacion del control interno.

El control interno constituye un proceso, no un fin en sı mismo, en el que participantodos los integrantes de una organizacion, sin excepcion alguna. Su cometido no es otroque brindar apoyo a los diferentes eslabones de la cadena productiva, de forma que sesatisfagan los siguientes objetivos:

Eficacia y eficiencia en las operaciones.

Fidelidad de los informes financieros.

Cumplimiento de las leyes y normativas vigentes y aplicables.

Con posterioridad al informe COSO, se han difundido diversos informes o manua-les de buenas practicas en materia de Gobierno de las TIC, entre los que cabe destacar:

1992 Cadbury Report (Committee on the Financial Aspects of Corporate Governan-ce). Recopilacion de buenas practicas en la distribucion de informacion entregrupos interesados [2].

1996 COBIT (Control Objectives for Information and related Technology), auspicia-do por ISACA (Information Systems Audit and Control Association), primeraedicion [3].

1999 Turnbull Report (Guidance for Directors on the Combined Code). Especial enfa-sis en el papel que desempena el Gobierno Corporativo en los comites de au-ditorıa, supervision de riesgos y control interno. Ultima revision data de 2005[4].

1999 Principios de Gobierno Corporativo. OCDE (Organizacion para la Cooperaciony el Desarrollo Economicos). Ultima revision data de 2004 [5].

1999 Annual Report (Bank for International Settlements). Polıticas y guıas, destinadasa la industria financiera, sobre riesgos operativos y de sistemas, ası como buenaspracticas en sistemas y TIC [6].

2000 IT Governance Institute, COBIT (tercera edicion), Information Systems Auditand Control Foundation, 2000.

2

2004 Peter Weill y Jeanne Ross, IT Governance: How Top Performers Manage ITDecision Rights for Superior Results, Harvard Business Press, 2004 [7].

2006 IT Governance Institute, COBIT (cuarta edicion), Information Systems Audit andControl Foundation, 2006 [8].

En cualquier caso, los factores clave que precipitaron la implantacion del Gobiernode las TIC comprenden:

Regulaciones y normativas: legales (LOPD1, SOX2), estandares (ISO 27001,ISO 20000), certificaciones CMMI3, etc.

Optimizacion de recursos: reingenierıa de procesos TIC, consolidacion de re-cursos, estrategias de externalizacion.

Peticiones del negocio: alineamiento TIC con la estrategia, ciclo de vida deproductos y servicios, gestion de la demanda.

A raız de los planteamientos propuestos, el Gobierno de las TIC debe atender lassiguientes competencias:

Las TIC han de alinearse con la estrategia del negocio.

Las TIC han de facilitar que la organizacion emprenda operaciones que antes noeran posibles.

Los diversos servicios y funciones de las TIC han de suministrarse con el maxi-mo valor posible o, en su defecto, de la forma mas eficiente posible.

Todos los riesgos asociados a las TIC han de definirse y acotarse claramente, deforma que los recursos TIC se conviertan en activos seguros.

El presente documento comienza con una panoramica conceptual del Gobierno delas TIC, prestando especial atencion a las areas de trabajo y los modelos de control querigen su operabilidad, para, una vez descrita la metodologıa, presentar un caso practicode Gobierno de las TIC, de aplicacion en el comercio electronico. En este sentido, sepuntualizan los procesos TIC que sustentan el negocio de las ventas online.

2. Descripcion del Gobierno de las TIC

En la ultima decada la literatura tecnica ha concentrado sus esfuerzos en la defini-cion de Gobierno de las TIC, con objeto de identificar claramente el rol de las TIC enla actividad empresarial. Desgraciadamente, el empeno inicial se ha visto empanadocon dictamenes enrevesados que, lejos de aclarar la finalidad, se pierden en divaga-ciones tecnicas, inaccesibles para un publico inexperto. No obstante, Jeanne Ross, delMIT Sloan School of Management, en un alarde de sentido comun, plantea la siguientedefinicion [7]:

1Ley Organica de Proteccion de Datos2Ley Sarbanes OXley3Capability Maturity Model Integration

3

El Gobierno de las TIC constituye un marco operativo, capaz de reconocer lasresponsabilidades que facilitan la adopcion de decisiones correctas, de forma quese intensifiquen las conductas deseables en el uso de las TIC en las organizacionesempresariales

Del planteamiento arriba expuesto deriva una consecuencia interesante. El Go-bierno de las TIC se ha convertido en la unica vıa factible que respalda la contribu-cion de las areas de Sistemas de la Informacion al exito de las empresas, conforme auna gestion mas eficiente de los recursos, minimizandose los riesgos y alineandose lasdecisiones tecnologicas con los objetivos del negocio.

3. Areas de trabajo del Gobierno de las TIC

La Figura 1 ilustra graficamente las areas de trabajo que incorpora el Gobierno delas TIC.

Alinea

miento

estra

tégico

Entrega de valor

Gestión de

recursos

Ges

tión d

elri

esgoM

edició

n d

el

rendim

iento

Áreas de trabajo

Gobierno de las TIC

Figura 1: Areas de trabajo del Gobierno de las TIC

A tenor de la Figura 1, las areas de trabajo comprenden las siguientes lıneas maes-tras:

¬ Alineamiento estrategico

• Consolidar la conexion e integracion del negocio con los planes de las TIC.

• Definir, mantener y validar las propuestas de valor de las TIC.

• Alinear las operaciones de las TIC con las de la empresa.

• Alcanzar una mejor alineacion que la competencia.

­ Entrega de valor

• Rentabilidad del negocio. Analisis coste/beneficio (perspectiva economi-ca).

• Utilidad del servicio (perspectiva social).

4

® Gestion del riesgo

• Concienciacion por parte de la alta direccion.

• Percepcion del compromiso con los requisitos.

• Dotacion de transparencia en la gestion de los riesgos mas significativos.

• Integracion de las responsabilidades supeditadas a la gestion de los riesgosen la propia organizacion.

• Aceptacion del riesgo en la organizacion.

¯ Gestion de recursos

• Organizar optimamente los recursos TIC, de forma que aquellos serviciosque los requieran puedan disponer de ellos en lugar y tiempo concretos.

• Alinear y priorizar servicios y productos TIC existentes para favorecer lasoperaciones del negocio.

• Controlar y monitorizar los servicios TIC, tanto propios como de terceros.

° Medicion del rendimiento

• Estrategia de implantacion.

• Planificacion de los proyectos.

• Uso de los recursos.

• Rendimiento de los procesos.

• Entrega de servicios, conforme al Cuadro de Mando Integral (CMI). Estaherramienta de administracion empresarial advierte continuamente cuandouna companıa y sus empleados alcanzan los resultados previstos en la es-trategia.

Cabe subrayar que, en ausencia de una medicion efectiva del rendimiento, las areasde trabajo del Gobierno de las TIC probablemente fracasen. Por tanto, conviene apelaral modelo de madurez CMMI para continuar mejorando.

4. Modelos de Gobierno de las TIC

El Gobierno de las TIC comporta la adopcion de modelos de referencia, vease elmarco operativo COBIT (cuarta edicion) [8], junto a ITIL [9] y ISO 27002 [10], comoreceptores de buenas practicas. Las diferentes areas de trabajo del Gobierno de las TICse enmarcan en los diversos modelos, de acuerdo a la siguiente designacion:

Alineamiento estrategico⇒ COBIT.

Gestion de recursos⇒ ITIL.

Gestion del riesgo⇒ ISO 27002.

5

Entrega de valor:

• Percepcion economica⇒ Analisis coste/beneficio.

• Percepcion del cliente final⇒ Funcionalidad y garantıa del servicio.

Medicion del rendimiento, conforme a aquellas metricas que actuan de indica-dores del grado de penetracion del Gobierno de las TIC en la organizacion. Eneste sentido, el ındice de penetracion del Gobierno de las TIC adopta diferentesratios, segun los criterios propuestos en el modelo CMMI [11]. En particular, enel ambito del Gobierno de las TIC, IT Governance Institute (ITGI) sugiere unmodelo generico, compuesto de 6 niveles (ver Anexo A).

4.1. COBIT

Acronimo de Control Objectives for Information and related Technology. Las Tec-nologıas de la Informacion y las Comunicaciones (TIC) precisan de un marco de con-trol especıfico, debido a los siguientes factores:

Creciente dependencia de la informacion y los sistemas que la distribuyen.

Crecientes vulnerabilidades y amenazas.

Magnitud y coste de las actuales y futuras inversiones en Sistemas de la Infor-macion.

Respetar las regulaciones vigentes.

Potencial de las tecnologıas para cambiar las practicas de negocio, gestandosenuevas oportunidades, con mınimos costes.

Reconocimiento, por parte de muchas organizaciones, de los beneficios poten-ciales que la tecnologıa puede reportar.

COBIT asegura que las TIC no deparen sorpresas insalvables, en terminos de ries-gos, dotandolas del valor que se espera de ellas, esto es, coste, tiempo y funcionalidad.Del mismo modo, garantiza que las TIC introduzcan nuevas oportunidades e innova-ciones en los procesos, productos y servicios de la organizacion. Para lograrlo, dividelas TIC en 34 procesos, pertenecientes a 4 dominios, asignandoles objetivos de controlde alto nivel. En base a requerimientos economicos y necesidades de calidad y seguri-dad en las organizaciones, delimita 7 criterios de informacion, especialmente utiles enlos planteamientos fundacionales de aquellos negocios basados en las TIC.

4.2. ITIL

Acronimo de Information Technology Infraestructure Library. Comprende un con-junto de buenas practicas, destinadas a la gestion de servicios TIC, esto es, sugiereun procedimiento de gestion de las TIC, presentes en una organizacion, incidiendofundamentalmente en la especificacion de las infraestructuras, ası como actividades yprocesos TIC, dirigidas a la provision de servicios.

6

Adoptando la definicion difundida por la consultora Gartner, ITIL engloba un con-junto de procesos que, coordinados, respaldan la calidad de servicio ofertada, confor-me a los niveles de servicio previamente acordados con los clientes. Estos procesos,ademas, deben superponerse a los tradicionales dominios de gestion, como la gestionde sistemas, la gestion de redes, el desarrollo de sistemas, y muchos otros dominiosde procesos complementarios, como la gestion de cambios, la gestion de activos o lagestion de incidencias.

Los procesos representan secuencias de actividades interconectadas, con un inicio yun final concisos, es decir, los elementos de entrada deben transformarse en resultadosevidentes. Los procesos han de cumplir ciertos requisitos, entre los que se distinguen:

Definibles: formalizar, identificar requisitos, actividades, etc.

Repetibles: las secuencias de actividades son repetibles.

Predecibles: nivel de estabilidad que confirme la obtencion de los resultadosesperados, siempre que se respeten las secuencias de actividades.

En definitiva, la gestion de servicios TIC se traduce en la aproximacion sistematicaa la planificacion, desarrollo, entrega y soporte de los servicios TIC de la empresa.Con otras palabras, contrae el espacio que separa los departamentos de negocio y TIC,instaurandose una asociacion mutua desde y para el negocio.

4.3. ISO 27002

Esta normativa comprende un estandar para la Seguridad de la Informacion. Pro-porciona recomendaciones de las mejores practicas, en la gestion de la Seguridad dela Informacion, a todos los interesados y responsables en iniciar, implantar o mantenersistemas de gestion de la Seguridad de la Informacion. La version mas reciente delestandar incluye doce secciones tematicas (ver Tabla 1). Dentro de cada seccion, seespecifican los objetivos de los distintos controles a los que debe someterse la Seguri-dad de la Informacion. Cada uno de los controles se acompana, asimismo, de una guıapara su implantacion. El numero total de controles asciende, entre todas las secciones,a 133, aunque cada organizacion debe sopesar previamente cuantos seran realmenteaplicables, segun sus propias necesidades.

Tabla 1: Secciones tematicas de ISO 27002Analisis y gestion de riesgos Polıtica de SeguridadSeguridad de RRHH Seguridad fısicaGestion de activos Organizacion de la seguridadComunicaciones y operaciones Control de accesoCompras, desarrollo y mantenimiento de sistemas Gestion de incidentes de seguridadPlan de continuidad del negocio Conformidad legal

7

5. Comercio electronico. Un caso practico

El comercio electronico, tambien conocido como e-commerce (contraccion de losterminos anglosajones electronic y commerce), consiste en la compra y venta de pro-ductos o servicios a traves de medios electronicos, como Internet u otras redes in-formaticas. Originariamente, el termino identificaba cualquier transaccion efectuadapor medios electronicos, p. ej., el intercambio electronico de datos. Sin embargo, conel advenimiento de Internet y la World Wide Web, a mediados de los anos 90, torno suacepcion para referirse principalmente a la venta de bienes y servicios a traves de In-ternet, usando como forma de pago un medio electronico, como la popular tarjeta decredito.

El comercio electronico (el negocio: ventas online) consta de un portal web, unabase de datos, lıneas de acceso a Internet, etc. Todos estos componentes pertenecenal campo de las Tecnologıas de la Informacion y las Comunicaciones (TIC). Para queel comercio electronico este disponible, con la capacidad suficiente, continuidad en eltiempo, fiable para los clientes que lo utilicen, beneficios que reporta a la empresa, eldepartamento de ventas debe considerar las TIC como un socio atractivo, pues cons-tituye una plataforma eficaz y eficiente, idonea para incrementar las ventas, objetivoclave del negocio. Por tanto, deben acometerse las siguientes directrices:

Optimizar la gestion de las TIC (crear procesos TIC predecibles y graduables).En la definicion de estos procesos intervienen las buenas practicas de ITIL y ISO27002.

Establecer un vınculo entre las TIC y el departamento de ventas (negocio). Pormedio del alineamiento con el negocio, las metas TIC deben generar metas denegocio, para que ası el negocio simpatice con la organizacion de las TIC. En ladefinicion del alineamiento con el negocio media el marco de control de COBIT.

Justificar los costes, derivados de la implantacion del servicio, a la direccion dela empresa. Por lo tanto, debe elaborarse un analisis coste/beneficio, a la vez quese adapta el servicio de comercio electronico a las necesidades del cliente.

Estimar el nivel de madurez de los procesos TIC, para continuar mejorando. Eneste sentido, se aplica el modelo de madurez CMMI.

Los procesos TIC involucrados obedecen a la siguiente relacion:

Proceso de gestion de la configuracion.

Proceso de gestion del cambio.

Proceso de gestion del despliegue de versiones.

Proceso de gestion del nivel de servicio.

Proceso de gestion de incidencias.

Proceso de gestion de problemas.

8

Proceso de gestion de la continuidad del servicio.

Proceso de gestion de la Seguridad de la Informacion.

Atendiendo a las buenas practicas formuladas en ITIL.

1. Gestion del nivel de servicio. Garantizar que se proporciona un nivel de servicioadecuado a las necesidades del comercio electronico. Inspeccionar la satisfacciondel cliente. Por ejemplo, el servicio de comercio electronico debe presentar unaindisponibilidad del 0,2% anual, lo que implica que, en la practica, cualquierventana horaria de cambios y actualizaciones del portal web debe adaptarse ahorarios con pocos accesos. Solo ası se garantizarıa una disponibilidad en tornoal 99,8% anual.

2. Gestion de incidentes. Reducir el tiempo de parada de los sistemas, debido fun-damentalmente a caıdas. Detectar y solucionar, a la mayor brevedad posible, unaanomalıa en el sistema. Por ejemplo, la deteccion anticipada de memoria insufi-ciente en el sistema que sostiene la plataforma de comercio electronico.

3. Gestion de problemas. Registrar las causas de las averıas, evitandose inciden-tes repetitivos. Por ejemplo, inventariar la caıda del servicio web de comercioelectronico, provocada por una vulnerabilidad del servidor, iniciandose un plande accion que contrarreste la vulnerabilidad.

4. Gestion de la configuracion. Disponer de informacion actualizada sobre lossistemas y componentes que soportan el servicio de comercio electronico. Porejemplo, versiones, licencias, personal tecnico que administra los sistemas decomercio electronico, documentacion tecnica, etc.

5. Gestion de cambios. Asegurar que los frecuentes cambios, efectuados de formacontrolada, no impacten negativamente en el servicio. Por ejemplo, definir lasventanas horarias de menor actividad.

6. Gestion de versiones. Asegurar que las transiciones entre cambios afecten lomınimo posible a los usuarios. Por ejemplo, la migracion a una nueva aplicacionen el portal web de comercio electronico.

Entre los procesos TIC vinculados a las buenas practicas de ISO 27002, sobresalen:

1. Gestion de la Seguridad de la Informacion. Garantizar la disponibilidad, in-tegridad, confidencialidad y autenticidad de la informacion en aquellos sistemasque soportan el servicio de comercio electronico. Ademas, habra que velar porel cumplimiento de las leyes y regulaciones que afectan a la informacion al-macenada, en transito y en ejecucion, en los sistemas de informacion que con-forman el servicio de comercio electronico (LSSI4, LOPD, PCI DSS5, etc.). Elcumplimiento de la Ley de Comercio Electronico (LSSI) y la Ley Organica deProteccion de Datos Personales (LOPD) obliga a:

Inscribir el fichero de datos personales del servicio de comercio electronicoen la Agencia de Proteccion de datos.

4Ley de Servicios de la Sociedad de Informacion5Payment Card Industry Data Security Standard

9

Mostrar en el portal web de comercio electronico, conforme a LSSI, lasiguiente informacion:• Denominacion social, NIF, domicilio y direccion de correo electronico

del negocio.• Codigos de conducta a los que se adhieren.• Precios de los productos o servicios ofertados.• Nombre de dominio de la pagina web, inscrito en el Registro Mercan-

til.2. Gestion de la continuidad del servicio. Garantizar que todas las instalaciones

tecnicas, imprescindibles en el comercio electronico (incluyendo sistemas in-formaticos, redes, aplicaciones, bases de datos, etc.), funcionen nuevamente, encaso de fallos, en los plazos de tiempo estipulados en la estrategia del negocio.Un ejemplo de continuidad del negocio comprende la incorporacion de dos cen-tros de datos replicados, con identicos componentes TIC. El fallo de un centrode datos serıa transparente para el cliente, puesto que automaticamente tomarıael control del servicio el otro centro de datos.

Con objeto de clarificar el alineamiento con el negocio, avalado por COBIT, sepropone un ejemplo de proceso TIC, asociado a la gestion de cambios, junto a susmetas TIC, y lo que espera el negocio (departamento de ventas) de el:

Metas TIC • Responder a los requisitos del negocio, conforme a una estrategia.• Definir como los requisitos funcionales y de control se traducen a solucio-

nes automatizadas efectivas.• Deducir los defectos y el retrabajo en las soluciones y en la prestacion del

servicio.• Garantizar un impacto mınimo en el negocio, en caso de interrupciones o

cambios en el servicio TIC.• Mantener la integridad de la infraestructura de la informacion y el procesa-

miento de datos.

Metas del negocio • Agilizar la respuesta a los requisitos cambiantes (tiempo para comerciali-zar). Ofertar nuevos productos en temporada alta.

• Automatizar e integrar la cadena de valor empresarial.• Mejorar y mantener la funcionalidad del servicio de comercio electronico.• Respetar las leyes y reglamentos vigentes.• Evaluar el grado de disponibilidd del servicio de comercio electronico.• Recabar informacion confiable y util para la toma de decisiones estrategi-

cas.

La rentabilidad financiera del proyecto de implantacion de un servicio de comercioelectronico se ampara en el analisis coste/beneficio. Su objetivo no es otro que estimarlos costes en los que incurre el servicio de comercio electronico, estableciendose unacomparativa entre la prevision de costes y los beneficios previstos. A continuacion sedetalla un ejemplo aclaratorio.

10

Costes • Adquisicion del mantenimiento de hardware y software.

• Gastos de comunicaciones.

• Costes de desarrollo del sistema.

• Gastos de consultorıa.

• Costes de publicidad. Emisoras de radio locales, television local y prensaescrita.

Costes totales: 200.000 d.

Beneficios • Incremento de ventas, respecto al canal presencial, del 2% el primer ano(2010), un 4% el segundo ano (2011); en el tercer ano (2012) ascenderıa aun 6% (mas de 250.000 d). A tenor de las cifras, en tres anos no solo serecupera la inversion inicial (200.000 d), sino que se obtienen beneficios.En anos sucesivos deberıan obtenerse unos beneficios en torno al 10%,respecto al canal presencial.

Por supuesto, la viabilidad economica del proyecto empresarial se ve condicionadapor la percepcion del cliente. Para cuantificar el interes del cliente, se introducen dosparametros, la ((funcionalidad)) (utilidad) del servicio y la ((garantıa)) del efecto positivoque la funcionalidad proyecta. El valor real del servicio es una combinacion de ambosfactores, propiedad caracterıstica de la buenas practicas de ITIL.

Por ultimo, la medicion del rendimiento de los procesos TIC comporta la aplicacionde varias metricas, que determinan el nivel de madurez de los procesos. A continuacionse introducen las metricas consideradas:

¬ Area de alineamiento con el negocio (COBIT)

• Time to market: tiempo que transcurre desde que se manifiesta una pro-puesta de negocio hasta que esta se introduce, en este caso, en el comercioelectronico, como valor anadido al servicio inicial ofertado (desde que seregistra la peticion hasta su puesta en produccion). Puntuacion, de 0 a 5.Rendimiento real 2.

• Reduccion inesperada de ventas, por falta de disponibilidad del servicio decomercio electronico. Puntuacion, de 0 a 5. Rendimiento real 2.

­ Area de entrega de valor (analisis coste/beneficio y percepcion del cliente)

• Aumento del coste total del ano anterior respecto al actual. Puntuacion, de0 a 5. Rendimiento real 4.

• Porcentaje de clientes satisfechos por el servicio brindado, respecto al total.Puntuacion, de 0 a 5. Rendimiento real 4.

® Area de gestion de recursos (ITIL)

• Numero de incidencias resueltas en menos de 24 horas. Puntuacion, de 0 a5. Rendimiento real 3.

11

• Satisfaccion de los SLA (Service Level Agreement) por parte del cliente.Puntuacion, de 0 a 5. Rendimiento real 3.

¯ Area de gestion del riesgo (ISO 27002)

• Porcentaje de sanciones por incumplimiento legal del comercio electronico.Puntuacion, de 0 a 5. Rendimiento real 3.

• Satisfaccion en la resolucion de incidencias de seguridad. Puntuacion, de 0a 5. Rendimiento real 3.

A partir de los valores suministrados, resulta evidente ponderar el nivel de madurezdel caso practico de servicio de comercio electronico. De esta manera, se alcanza, enmedia, un ındice de 3 en las areas de Gobierno de las TIC. En este sentido, el nivel demadurez consolida un proceso definido, dado que se ha perfilado un marco organizativoy de procesos en el ambito de la gestion de las actividades TIC. La Figura 2 pone demanifiesto el nivel de madurez de las cuatro areas de Gobierno de las TIC.

0

1

3

4

5

Alineamiento estratégico

Gestión de recursos

Entrega de valorGestión del riesgo

2

Comercio electrónico

Figura 2: Modelo de madurez del Gobierno de las TIC

Consecuentemente, es preciso persistir en la mejora constante del nivel de madurezdel Gobierno de las TIC, para escalar un peldano mas y ası alcanzar el nivel 4, procesogestionado y medible. Si se maximiza el valor de las TIC y la gestion de los riesgosderivados, la direccion de la empresa intensificara la confianza depositada en las TIC,autentico revulsivo en las estrategias de negocio corporativas.

6. Conclusiones

El presente documento revela las verdaderas atribuciones que pueden encomendar-se a las TIC en el ambito empresarial. Sin embargo, los modelos de integracion de lasnuevas tecnologıas en las estrategias de negocio aun se encuentran, en general, en unafase inicial. Se preve un camino largo, pero no por ello menos interesante. En cualquiercaso, los resultados de este trabajo dejan entrever ciertas peculiaridades o conductas

12

empresariales, que se vienen manifestando, por influjo de las TIC, en los ultimos anos.De estos antecedentes pueden extraerse las siguientes consideraciones finales:

¶ El Gobierno de las TIC no es una ciencia exacta. Requiere disciplina y compro-miso. La implantacion de un Gobierno de las TIC aconseja:

• Efectuar un analisis del nivel de madurez de los procesos TIC reinantes enla empresa considerada.

• Crear un grupo de trabajo, dedicado exclusivamente al Gobierno de lasTIC.

• Definir una estrategia de Gobierno de las TIC, esto es, programar y ejecutarproyectos en las diferentes areas de Gobierno de las TIC.

• Definir un plan de formacion y certificacion en Gobierno de las TIC, comoCGEIT (Certified in the Governance of Enterprise IT), avalado por ISACA.

· El Gobierno de las TIC debe adaptarse a las estructuras, estrategias y cultura dela organizacion, es decir, no es lo mismo el comercio electronico que una grancorporacion financiera.

¸ El Gobierno de las TIC reivindica el compromiso de los ejecutivos de la or-ganizacion. Como cualquier otra metodologıa, se precisa del apoyo de la altadireccion para reforzar la implantacion del Gobierno de las TIC.

¹ El Gobierno de las TIC admite la revision de los marcos existentes (ITIL, CO-BIT, CMMI, etc.), esto es, incorporar los modelos de control ya implantados alas diferentes areas de Gobierno de las TIC.

º El Gobierno de las TIC reclama la inclusion de los procesos TIC mas importantesen el Cuadro de Mando Integral (CMI), de forma que las areas de trabajo delGobierno de las TIC participen del plan estrategico del Gobierno Corporativo.

Para finalizar, es menester resaltar la dificultad que entrana la implantacion del Go-bierno de las TIC cuando el CIO (Chief Information Officer), tambien denominadodirector de Tecnologıas de la Informacion, no forma parte de la direccion ejecutiva. Sino se proponen medidas tecnologicas (a todas luces, aptas para el negocio) desde la altadireccion, las TIC no se consideraran socias del negocio y, por tanto, resultara practi-camente imposible lograr un nivel de madurez lo suficientemente elevado.

13

Referencias

[1] Committee of Sponsoring Organizations of the Treadway Comission.[Website] http://www.coso.org/

[2] Cadbury Report (Committee on the Financial Aspects of Corporate Governance).1992.[Online available] http://www.ecgi.org/codes/documents/cadbury.pdf

[3] Information Systems Audit and Control Association.[Website] http://www.isaca.org/

[4] Turnbull Report (Guidance for Directors on the Combined Code). 2005.[Online available] http://www.frc.org.uk/documents/pagemanager/frc/...

[5] Principios de Gobierno Corporativo. OCDE (Organizacion para la Cooperacion yel Desarrollo Economicos). 2004.[Online available] http://www.oecd.org/dataoecd/47/25/37191543.pdf

[6] Annual Report (Bank for International Settlements). 1999.[Online available] http://www.bis.org/publ/ar99e.pdf

[7] Weill, P. and Ross, J., IT Governance: How Top Performers Manage IT DecisionRights for Superior Results, Harvard Business Press, 2004.

[8] IT Governance Institute, COBIT (cuarta edicion), Information Systems Audit andControl Foundation, 2006.[Online available] Clic aquı para la descarga de COBIT 4.1 en espanol

[9] Bon, J. V., Fundamentos de la gestion de servicios de TI basada en ITIL V3, VanHaren Publishing, 2007.

[10] Calder, A., Information Security Based on ISO 27001/ISO 27002. A ManagementGuide, Van Haren Publishing, 2009.

[11] Integracion de Modelos de Madurez de Capacidades (CMMI), desarrollado porel Instituto de Ingenierıa de Software (SEI), perteneciente a la Carnegie MellonUniversity (USA).[Website] http://www.sei.cmu.edu/cmmi/

14

A. Niveles de madurez del Gobierno de las TIC

CMMI (Capability Maturity Model Integration) constituye un modelo de referenciaque, a diferencia de otros modelos, se fundamenta en practicas acomodables a cualquierdominio de produccion, concediendo un enfoque global e integrado de la organizacion.Su proposito no es otro que alcanzar los objetivos del negocio. De esta forma, CMMIpermite a empresas complejas, compuestas de varias areas de negocio, instaurar de unamanera sencilla un sistema de salvaguarda de la calidad.

El Software Engineering Institute (SEI), adscrito a la Carnegie Mellon University,en USA, creador del modelo CMMI y de la mayorıa de sus predecesores, ha elaboradosus modelos bajo la premisa de que la calidad de un producto o servicio es altamentedependiente de los procesos que los producen y mantienen. Por ello, la mejora continuade los procesos debiera incrementar paulatinamente el nivel de capacidad y madurezde una organizacion, conforme a los niveles de la Tabla 2.

Tabla 2: Indices de penetracion del Gobierno de las TIC

0 [inexistente] Gobierno de las TIC inexistente. Ausencia total de pro-cesos TIC

1 [inicial/ad hoc]

Se reconoce la necesidad de atender cuestiones relacio-nadas con el Gobierno de las TIC, si bien no se advier-ten procesos estandarizados. Subordinacion a la inicia-tiva y experiencia del equipo de gestion

2 [repetible, pero intui-tivo]

Se observan practicas regulares de Gobierno de las TIC,como reuniones de revision, creacion de informes derendimiento, etc., con la participacion voluntaria de sta-keholders del negocio. No obstante, se carece de comu-nicacion formal entre procedimientos, depositandose laresponsabilidad en personas

3 [proceso definido]

Se especifica un marco organizativo dirigido a la ges-tion de actividades TIC. Se institucionalizan las practi-cas exitosas, si bien las tecnicas empleadas resultan auninsuficientes

4 [proceso gestionadoy medible]

Se implantan polıticas de mejora de los procesos TIC.La direccion recibe los resultados en forma de cuadro demando. Se trabaja conjuntamente en el proceso de ma-ximizacion del valor de las TIC y la gestion de riesgosasociados a las TIC

5 [proceso optimizado]

Se despliegan practicas de Gobierno de las TIC median-te aproximaciones sofisticadas, en base a tecnicas efec-tivas. Se manifiesta una verdadera transparencia en laestrategia de las TIC. Los procesos TIC evolucionan po-sitivamente, incluyendose benchmarking externo y au-ditorıas independientes que confieran confianza a la di-reccion

15