Gobernanza IT: definición, marcos y mejores prácticas

Sophie Danby abril 17, 2023
- 10 min read

La gobernanza IT es el elemento que mantiene unido al resto de la Gestión de Servicios de IT (ITSM). Garantiza la protección de tu organización, de tus datos y de tu personal. También ayuda a que el departamento de Informática se encuentre en sincronía con los objetivos empresariales, al tiempo que reduce los riesgos.

En este artículo, veremos por qué es importante para tu negocio, ámbitos de aplicación, diferentes marcos disponibles, y los roles implicados para asegurar la gobernanza IT en toda la compañía.

Comencemos.

¿Qué es la gobernanza IT?

La gobernanza IT es un marco que funciona como una estructura formal que garantiza que las inversiones informáticas respalden los objetivos empresariales

Además, resulta una buena iniciativa para que las organizaciones promuevan la transparencia y la responsabilidad en las operaciones. La gobernanza IT cobró importancia a raíz de algunos casos célebres de fraude empresarial acontecidos en los años 90 y principios de los 2000. Debido a estos sucesos varios países establecieron normas y reglamentos para la dirección corporativa, como la Ley Sarbanes-Oxley y la Ley Graham-Leach-Bailey.

Los cinco ámbitos de aplicación de la gobernanza IT

La gobernanza IT suele dividirse en cinco ámbitos de aplicación:

  • Entrega de valor: determina si IT aporta o no valor al resto del negocio.
  • Alineación estratégica: cuestiona si los objetivos de IT y de la organización están en sincronía.
  • Gestión del rendimiento: evalúa cómo se está manejando la performance de IT.
  • Gestión de recursos: permite conocer si los recursos de IT se están manejando de forma eficaz y adecuada.
  • Gestión de riesgos: examina si se pueden identificar los riesgos, informar sobre ellos y actuar en consecuencia. 

¿Por qué es importante la gobernanza IT? 

Una gobernanza IT eficaz aporta los siguientes beneficios:

  • Garantiza el cumplimiento de los requisitos legales, normativos y de conformidad de la empresa.
  • Reduce el riesgo.
  • Respalda los objetivos empresariales y asegura que los de IT están alineados con los del negocio.
  • Favorece el crecimiento y la innovación al proporcionarle a la organización una base sólida de operaciones.
  • Brinda a las empresas una ventaja competitiva, especialmente si existe una norma ISO u otra iniciativa de mejores prácticas verificada de forma independiente.
  • Garantiza que las políticas, procesos y procedimientos adecuados se apliquen de forma coherente en toda la organización.

Marcos de la gobernanza IT

Aquí los seis marcos de la gobernanza IT más utilizados, cada uno con sus propios principios y requisitos. Veámos en más en detalle:

1. ISO 38500

Es la norma internacional para la gobernanza corporativa de las tecnologías de la información. ISO 38500 orienta a quienes asesoran, comunican o asisten a los directores sobre el uso eficaz y aceptable de la tecnología de la información por parte de la organización.

Este marco de gobernanza define seis principios:

1. Establecer responsabilidades.
2. Planificar para apoyar mejor a la organización.
3. Realizar adquisiciones por razones válidas.
4. Garantizar los niveles de rendimiento necesarios.
5. Garantizar el cumplimiento de las normas.
6. Garantizar el respeto de los factores humanos.

En definitiva, ISO/IEC 38500 es aplicable a la gobernanza de las decisiones y procesos de gestión relacionados con los servicios de información y comunicación de una organización.

2. ISO/IEC 27000

Para la gestión de la seguridad de la información se utiliza ISO/IEC 27000, que proporciona una visión general de la práctica, así como definiciones comúnmente utilizadas en las normas SGSI.

La ISO/IEC 27000 garantiza que las organizaciones cuenten con políticas adecuadas para que exista privacidad, confidencialidad y seguridad apropiadas en torno a los servicios IT y la ciberseguridad.

 

 

3. COBIT

COBIT es un marco detallado de prácticas, modelos y herramientas de análisis mundialmente aceptados y diseñados para la gestión y la gobernanza IT. Su objetivo es ayudar a las organizaciones a cumplir los requisitos normativos y de gestión de riesgos, así como a vincular la estrategia IT con los objetivos de la empresa en general.

COBIT tiene cinco principios fundamentales:

  1. Satisfacer las necesidades de las partes interesadas.
  2. Abarcar la empresa de principio a fin.
  3. Aplicar un único marco integrado.
  4. Permitir un enfoque holístico.
  5. Separar la gobernanza de la gestión.

4. ITIL

ITIL es el marco de mejores prácticas que permite a los departamentos IT apoyar al negocio de forma eficaz, eficiente y segura. 

Tiene siete principios rectores:

  1. Centrarse en el valor.
  2. Colaborar y promover la visibilidad.
  3. Optimizar y automatizar.
  4. Comenzar donde estés.
  5. Progresar de forma iterativa con retroalimentación.
  6. Ser sencillo y práctico.
  7. Pensar y trabajar de forma holística.

ITIL es uno de los marcos de gobernanza más utilizados en todo el mundo. Su principal ventaja es que proporciona orientación práctica sobre la gestión y mejora de los servicios IT, así como de las funciones y responsabilidades necesarias para apoyarlos y ejecutarlos.

5. CMMI

El modelo de Integración de Modelos de Madurez de Capacidades o Capability Maturity Model Integration (CMMI) ayuda a las organizaciones a mejorar sus procesos y a desarrollar comportamientos que reduzcan los riesgos en el desarrollo de servicios, productos y software.

Aunque inicialmente el CMMI se orientó a las actividades de desarrollo de software, las últimas versiones también contemplan hardware y servicios integrales. 

En definitiva, el modelo permite a las organizaciones medir, construir y optimizar las capacidades para mejorar el rendimiento general.

El modelo CMMI consta de cinco niveles:

  1. Inicial
  2. Gestionado
  3. Definido
  4. Gestionado cuantitativamente
  5. Optimizado

6. Análisis Factorial del Riesgo de la Información

Abreviado como FAIR (Factor Analysis of Information Risk), el Análisis Factorial del Riesgo de la Información es un modelo de gobernanza que ayuda a las organizaciones a cuantificar el riesgo. 

Para ello, se centra en la ciberseguridad y el riesgo operativo para apoyar una toma de decisiones mejor informada. 

Su objetivo es proporcionar a las organizaciones las normas y mejores prácticas para medir, gestionar y comunicar sobre el riesgo de la información desde la perspectiva empresarial.

Estructura de la gobernanza IT: roles y responsabilidades

Para ser eficaz, la gobernanza IT debe estar respaldada por roles y responsabilidades. La publicación ITIL 4 Dirigir, Planificar y Mejorar recomienda la siguiente estructura para contribuir a la eficacia de la gobernanza IT:

Estructura de la gobernanza

Rol en la gobernanza de la organización

Consejo de administración

Responsable de la gobernanza de la organización. Sus responsabilidades clave incluyen:

  • Fijar objetivos estratégicos.
  • Dirigir la aplicación de la estrategia.
  • Supervisar la gestión.
  • Informar a los accionistas.

Accionistas

Responsables de nombrar a los administradores y auditores para garantizar una gobernanza eficaz.

Comité de auditoría

Responsable de apoyar al consejo de administración proporcionando una evaluación independiente del rendimiento y la conformidad de la gestión.

 

Aunque lo anterior te dará un punto de partida, es importante tener en cuenta que hay aspectos de la gobernanza que son responsabilidad de todos en la organización. Un ejemplo es el uso adecuado y seguro de los equipos informáticos, con la necesaria formación, apoyo e intercambio de conocimientos.

Buenas prácticas de la gobernanza IT

Una de las preguntas más frecuentes en torno a la gobernanza IT es la siguiente: "¿Cómo puedo saber si mi organización lo hace bien?". Y esta respuesta dispara otros cuestionamientos, como estos:

  • ¿La gobernanza cuenta con los niveles de soporte adecuados en tu organización? ¿Se le da prioridad en todos los niveles? ¿Todos saben en la empresa cuáles son sus responsabilidades en relación con la gobernanza?
  • ¿El órgano de gobernanza hace su trabajo con eficacia? ¿Quién lo controla?
  • ¿La función de IT toma decisiones independientemente del resto de la empresa, o existe una colaboración o al menos supervisión entre ambas?
  • ¿Qué controles existen para monitorear el gasto en IT con el fin de garantizar la transparencia y la equidad?

Son muchas preguntas, ¿verdad? Por suerte, podemos recurrir a nuestros viejos amigos COBIT e ISO/IEC 38500. El marco COBIT tiene los siguientes principios, aconsejando que la gobernanza IT debe:

  • Satisfacer las necesidades de las partes interesadas y generar valor a partir del uso de la información y la tecnología.
  • Construirse a partir de varios componentes que pueden ser de diferentes tipos y que funcionan juntos de forma holística.
  • Ser dinámico, siempre teniendo en cuenta el efecto de los cambios en cualquiera de sus factores de diseño.
  • Distinguir claramente entre actividades y estructuras de gestión y gobernanza.
  • Adaptarse a las necesidades de la empresa, utilizando un conjunto de factores de diseño como parámetros para personalizar y priorizar sus componentes.
  • Abarcar la empresa completa, centrándose en toda la tecnología y el procesamiento de la información que utiliza para alcanzar sus objetivos, incluido el procesamiento tercerizado.

Además de la guía COBIT, la norma ISO/IEC 38500 define seis principios necesarios para una gobernanza IT eficaz:

  • Responsabilidad: todos comprenden cuáles son y están facultados para cumplirlas.
  • Estrategia: garantizar que estén alineadas las estrategias de negocio e IT.
  • Adquisición: todo el gasto en IT es transparente y se considera equilibrado entre beneficios, costos y riesgos.
  • Rendimiento: las IT satisfacen las necesidades de la empresa y cumplen los niveles de servicio acordados.
  • Conformidad: el uso de los sistemas de IT cumple todos los requisitos legales y normativos, además de que las políticas de soporte se gestionan y aplican correctamente.
  • Comportamiento humano: las políticas, prácticas y decisiones de IT demuestran respeto por el comportamiento de las personas.

Software de la gobernanza IT

La tecnología posee un papel fundamental en el logro de una gobernanza IT eficaz. En concreto, InvGate Service Management e Insight te pueden ayudar de la siguientes maneras:

  • Gestión de incidentes y solicitudes: seguimiento de todos los contactos de IT de la empresa en una ubicación central.
  • Gestión de activos: te ayuda a gestionar, controlar y proteger tu patrimonio.
  • Paneles de reportes: te permiten tomar decisiones eficaces.
  • Posibilidad de compartir los paneles con los clientes: para una mayor transparencia.

Conclusión 

La gobernanza IT es fundamental en cualquier organización orientada a los servicios para garantizar que ésta funciona con transparencia y cumple las directivas normativas, legales, y de conformidad. Aunque parezca abrumador, los seis marcos de gobernanza IT resultan grandes aliados para superar los desafíos, así que guíate por ellos a lo largo del proceso.

Y para ayudarte con todo, es importante contar con el software de gobernanza IT adecuado. Si quieres descubrir en qué contribuirá InvGate Service Management e Insight, ¡agenda una llamada con nuestro equipo o solicita la prueba gratuita de 30 días para explorarlo a tu ritmo!

Preguntas frecuentes

¿Cómo elegir el marco adecuado de la gobernanza IT?

Observa el área de exposición más significativa de tu organización de IT. ¿Los procesos están maduros? Si es así, ITIL, COBIT y CMMI pueden ayudarte a elevar el nivel de tus prácticas de IT. ¿Es la gestión de riesgos? Entonces considera las normas FAIR o ISO 38500. ¿Se trata de seguridad informática? Elige la norma ISO 27001.

¿Cómo implementar la gobernanza IT?

De nuevo, empieza por las áreas de mayor riesgo o exposición. Primero céntrate en tener eso bajo control y, a partir de ahí, comienza a trabajar en lo demás.

¿Qué incluye un plan de gobernanza IT?

Un plan que analiza cómo se utilizarán, gestionarán y supervisarán los recursos tecnológicos para garantizar que el equipo IT ofrezca los resultados adecuados, al tiempo que se reducen los riesgos.

¿Qué es el proceso de gobernanza IT?

La gobernanza IT consiste en dirigir, supervisar y planificar los recursos de IT para cumplir todos los objetivos normativos, legales y de conformidad.

¿Cómo se audita la gobernanza IT?

Debe existir un proceso de auditoría independiente para garantizar que los procesos de gobernanza funcionen como es debido. La mejor práctica es compartir los resultados con el consejo de administración y el comité de auditoría para asegurar la honestidad y la transparencia del proceso.