Cuarta

Conferencia de Directores de Tecnologa de Informacin, TICAL2014 Gestin de las

TICs para la Investigacin y la Colaboracin, Cancn, del 26 al 28 de mayo de 2014

DE ISO 20000 e ISO 27001 LA EVOLUCIN HACIA UN

MODELO DE GOBERNANZA EMPRESARIAL DE TI ?
Diana Rocio Plata Arango1,a
a

Universidad Pedaggica y Tecnolgica de Colombia, Coordinadora Grupo Organizacin y

Sistemas. Km1. Av. Central del Norte. Tunja Boyac, Colombia.
diana.plata@uptc.edu.co

Resumen. La Universidad Pedaggica y Tecnolgica de Colombia UPTC, comenz en el ao

2011 un proyecto para la implementacin de las normas ISO 20000-1 e ISO 27001, con el fn
de lograr la certificacin, este proyecto busca mostrar la importancia que ha tomado hoy en
da para las reas de Tecnologa de las diferentes Organizaciones, el hecho de contar con
Gestin de las Tecnologas de la Informacin y obviamente las Universidades no estn fuera de
este alcance. La Universidad Pedaggica y Tecnolgica de Colombia ha establecido su modelo
de gestin para el rea de TI a travs de la implementacin de las normas mencionadas
anteriormente, el objetivo desde la organizacin es lograr la satisfaccin de los clientes,
gestionar la inversin en el rea de TI, alineada con el plan estratgico de la Universidad y
garantizar buenas prcticas en la seguridad de la informacin. Actualmente se han establecido
los procesos requeridos por las normas, y la documentacin necesaria para cumplir el objetivo;
y dado que hoy en da se habla de la Gobernanza o gobierno de TI, vale la pena mirar dentro de
todos los marcos y estrategias, en donde se ubican estas dos normas y cmo se puede
evolucionar hacia un modelo de Gobernanza empresarial de TI a partir de de la experiencia de
la implementacin de las normas ISO 20000- 1 e ISO 27001 en la UPTC.
Palabras Clave: Gestin de Servicios de TI, Buenas prcticas, ISO 9000, ISO 20000, ISO
27000, Mejora Continua, Seguridad de la Informacin, Indicadores TI, Gobernanza TI,
Gobierno de TI.

1 Introduccin
Los procesos de Gestin de TI son cada da ms importantes en las diferentes
organizaciones, es as como las Universidades, han venido avanzando tambin en
modelos de Gestin para las reas de tecnologa, es as como la Universidad
Pedaggica y tecnolgica de Colombia en el 2011, dio inicio al proyecto Adopcin de
Buenas prcticas de TI bajo los estndares ISO 20000 e ISO 27001 y los avances de
este proyecto se han venido presentando en las diferentes versiones de TICAL. En el
TICAL 2011 se present el inicio de este proyecto, ya que con el artculo nombrado
como VISION DE LOS BENEFICIOS DE IMPLEMENTAR SERVICIOS DE TI,

Ingeniera de Sistemas, Especialista en Gerencia de Proyectos Informticos, Magistra en Ciencias

Computacionales, Auditor ISO 9001, EXIN .Fundamentos IT Service Management de acuerdo ISO 20000,
Auditora ISO 27001 de SGS y Auditora ISO 20000.

CON ESTANDARES COMO ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD

PBLICA COLOMBIANA. Se dej ver cuales beneficios podan obtener las
Universidades al asumir el camino de implementacin de las normas mencionadas y
se propuso un modelo por fases para llevar a cabo ese proyecto, teniendo como
ventaja el trabajo ya por procesos ganado con la certificacin en ISO 9001 y NTCGP
1000. En 2013 se present el artculo ESTRATEGIAS PARA LA
IMPLEMENTACIN DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD
PBLICA COLOMBIANA. En esa ocasin se present parte del avance en el
proceso de implementacin de las normas y de acuerdo a la experiencia cuales pueden
ser estrategias para llevar a cabo la implementacin en una Universidad.
Para la versin 2014 de TICAL se presenta un avance del proceso para contar
como funcion el modelo propuesto el proceso de la implementacin, adems
establecer dentro de los diferentes modelos de Gobernanza, donde se reflejan estas
normas, y poder determinar como a partir del proceso de implementacin, se puede
llegar a un modelo de Gobernanza empresarial de TI. Ya que el hecho de asumir la
implementacin con fines de certificacin, para dos estndares de gestin para las
reas de TI es un reto y ms para una Universidad, sin embargo el objetivo final es
lograr la satisfaccin de los usuarios, y mejorar la visin que se tiene de las reas de
TI ya que las polticas, procesos y procedimientos adoptados no son por capricho si
no que siguen un estndar internacional que ha sido probado con lo cual el usuario
final es el beneficiado, hay que revisar como se puede evolucionar el trabajo
realizado.
Este Documento presenta en la primera parte algunos conceptos sobre Gobernanza
y luego se descubre cmo las normas ISO 20000 e ISO 27001, se reflejan en los
modelos de gobernanza y las ventajas que representan en ese mdelo, despus se
presenta un avance del modelo a implementar propuesto y como se contribuye a
lograr conformar algunos de los pilares considerados para la Gobernanza de TI. Al
final en el aparte de conclusiones se presenta el resumen de lo presentado y cuales son
las opciones para llegar a consolidar luego el modelo de gobernanza.

2. ISO 20000 e ISO 27001 SU ROL EN EL MODELO DE

GOBERNANZA.
Actualmente se habla mucho de Gobernabilidad o Gobierno de TI, y hay muchos
modelos y conceptos al respecto, por eso surgi la inquietud de establecer en donde
estn identificadas estas normas de ISO 20000 e ISO 27001 dentro de estos modelos
de Gobierno de TI.
2.1. CONCEPTOS.
Inicialmente veamos los conceptos que rodean este tema.

Gobierno de TI : Es la responsabilidad de la direccin y de los ejecutivos. Es una

parte integral de la Gobernabilidad corporativa que consiste en el liderazgo, las
estructuras organizacionales y los procesos que aseguran que TI soporta y extiende las
estrategias y los objetivos de la empresa.2 .
Gobierno de TI se refiere a la alineacin entre TI y las estrategias del negocio, las
decisiones estratgicas de inversin en TI, y la creacin de valor corporativo por el
uso de TI en el negocio esta definicin esta de acuerdo con lo establecido por Dameri
and Privitera (2009)
Gobernabilidad de TI de las empresas ( GEIT ): de acuerdo con el IT Governance
Institute estos son los conceptos de: Gobernanza y Gestin de la Informacin
Empresarial y Tecnologas Relacionadas. Los trminos " gobierno" , " gobernanza
empresarial " y " GEIT " pueden tener diferentes significados para diferentes personas
y empresas en funcin de (entre otros) el contexto de la organizacin , por ejemplo ,
la madurez , la industria y el entorno normativo , o el contexto individual, por ejemplo
, papel del trabajo, la educacin y la experiencia.
"Gobierno " se deriva del verbo griego kuberno significa " dirigir" . Un sistema de
gobierno permite a mltiples partes interesadas en una empresa, que dicen tener un
mercado organizado, en la evaluacin de las condiciones y las opciones , establecer la
direccin y la supervisin del rendimiento frente a los objetivos de la empresa.
Establecer y mantener el enfoque de gobernanza apropiada es la responsabilidad del
consejo de administracin u rgano equivalente. COBIT 5 , un marco de negocio para
GEIT de ISACA , define la gobernabilidad como : Gobierno asegura que las
necesidades de las partes interesadas , las condiciones y las opciones se evalan para
determinar equilibrada y consensuada de objetivos de la empresa que deben lograrse;
establecimiento de la direccin a travs de establecimiento de prioridades y la toma
de decisiones y el seguimiento del desempeo y cumplimiento con la direccin y
objetivos acordados.
GEIT no es una disciplina aislada, sino una parte integral de la gobernanza
empresarial. Mientras que la necesidad de una gobernanza a nivel empresarial es
impulsada principalmente por la entrega de valor para los accionistas y la demanda de
transparencia y una gestin eficaz de los riesgos de la empresa , las importantes
oportunidades , costos y riesgos asociados con la TI requieren un dedicacin, pero
integrada , se centran en GEIT . GEIT permite a la empresa a sacar el mximo
provecho de las TI, maximizar los beneficios , capitalizando las oportunidades y
ganando ventajas competitivas.
reas de Incidencia de la Gobernabilidad : se presentan cinco reas donde se
evidencia la manera en que la Gobernabilidad de TI se relaciona de manera
importante dentro de las organizaciones:

Alineacin Estratgica: Se focaliza en asegurar el vnculo entre el negocio y TI

en cuanto a estrategia y operaciones. Definir y Mantener la propuesta de valor de
TI, Alinear las operaciones de TI con las operaciones de la Organizacin.

The IT Governance Institute. www.itgi.org.

Entrega de Valor : Ejecucin de la propuesta de valor a travs del ciclo de

entrega de servicios de TI, asegurando que se entregan los beneficios prometidos
en funcin de la estrategia. Optimizar los costos y proveer el valor intrnseco de
TI.
Administracin de Riesgos : Se requiere que haya una conciencia de los riesgos
por parte de la Direccin. Un entendimiento claro y trasparente de los riesgos
significativos de la organizacin, y el establecimiento de las responsabilidades de
gestin de riesgo.
Administracin de Recursos : Se requiere que haya una inversin adecuada y una
gestin de recursos crticos de TI.
Mediciones de Desempeo: Seguimiento y monitoreo del cumplimiento de la
estrategia, de los proyectos, el uso de los recursos, el desempeo de los procesos
y la entrega de los servicios.

En la Figura 1, se visualiza la relacin de estas reas de incidencia con el negocio,

donde se evidencia que al final el ganador es el usuario final porque se le agrega valor
a los servicios que el recibe y por supuesto el negocio o la organizacin ya que se
aprovechan al mximo los recurso de TI.

Interaccin con el Negocio

Fig. 1. Interaccin de TI con el Negocio. Fuente Juan Guillermo Leruga CEO Grupo
TEKNE. Argentina.
Tacuar 163 2 B

(C1071AAC) - C.A.B.A. / Argentina. Tel: (+54-11) 4331-6454 / 4334-6165

www.it-quality.com.ar

2.2. GOBERNANZA Y MARCOS DE REFERENCIA.

En el ao 2011 se adelanto por parte de Instituto para la Gobernanza de IT. Conocido
como IT institute Governance, el survey acerca de la gobernanza empresarial de TI,

3. Perceptions of Enterprise IT
and its Governance
donde una de las preguntas buscaba evidenciar como se observaba la contribucin de
TI al Negocio. En la Figura 2 la
tendencia
de las respuestas
a los items pregunatdsos.
Figure
3Contribution
of IT to the Business
IT investments create
value for the business.

38

IT service levels meet

the business needs.

21.6

IT supports the
business strategy.

55.8

15.6

32.6

IT enables rapid
business change.

53.4

26.1

0%

Agree

3.4

16.5

40%

Strongly agree

18.8

53.8

20%

2.4

10.6

45.7

28.5

IT supports business
regulation and compliance.

7.3

52.3

60%

Neither/nor

80%

3.6

100%

Strongly disagree/
Disagree/Dont know

Fig. 2. Contribucin de TI al Negocio. Fuente http://www.Itgi.org

Cross-analysis

Se puede
observar
quepercentages
mas del 80%
en laand
mayoria
de los that
acasos
estuvo
totalmente
Figure
4 lists the
of business
IT respondents
selected
Strongly
agree or Agree for each
of IT contribution
thede
business.
de acuerdodimension
o de acuerdo
con cada touna
las reas que se preguntaba, esto refleja que
hay una consideracin muy alta de la manera en que TI contribuye a cunplir los
Figure 4Perceptions
Businesscon
and la
IT Stakeholders
on the
Contribution
IT to the Business
objetivos en las organizaciones
en of
relacin
inversin que
genera
valor,of reune
Percent
las necesidades del negocio con niveles de servicio de TI, soporte a la estrategiaof de
Business
Percent of
Negocio, facilita los cambios Contribution
y soportaofelITcumplimiento
y regulaciones del negocio.
to the Business
Respondents
IT Respondents
IT investments create value for the business.

87.8

Dentro ITdel
estudio del ITGI, se pregunto tambin por la madurez 70.0
de las
service levels meet the business needs.
organizaciones
en
cuanto
a
TI;
las
Figuras
3
y
4
muestran
parte
de
las
razones
IT supports the business strategy.
71.7 que
indican la ITmadurez
de
una
organizacin
para
la
implementacin
de
un
modelo
enables rapid business change.
80.8 de
Gobernanza.
IT supports business regulation and compliance.
77.1

92.4
83.5
89.5
77.1
82.4

In most
dimensions,
respondents
are generally
more positive thande
their
business counterparts.
The most
La Figura
3 deja
ver quethelaITrazn
principal
es la implementacin
frameworks
o
striking difference can be observed for IT supports the business strategy, where almost 90 percent of IT
estndaresrespondents
para el manejo
de las buenas prcticas. Asi se ve una aproximacin a tener
agree or strongly agree with the statement whereas considerably fewer (72 percent) of the business
madurez para
los modelos
de gobernanza.
respondents
hold a similar
view.
It is also interesting to note (not reflected in figure 4) that when it comes to IT service levels meeting business
needs, a more positive view is reflected amongst those enterprises that outsource some IT services as opposed
to those that do no outsourcing.

14

L O B A L

T A T U S

E P O R T

O N

T H E

O V E R N A N C E

O F

EN

T E R P R I S E

IT (GEIT)2011

4. The
GEIT
4. TheMaturity
Maturityand
and State
State ofofGEIT
Figure
16GEIT
Figure
16GEITEnablers
Enablers
Framework/standards related to governance of IT

Framework/standards related to governance of IT

284

Other IT best practice framework/standards

Other IT best practice framework/standards

295

Tool kits to support the implementation or

Tool kits to support
the implementation
improvement
of the governance
of IT or

284
295

193

193

improvement of the governance of IT

Benchmarking capabilities

147

Benchmarking capabilities

147

White papers or other governance of IT research

41

White papers or other governance of IT research

41

Certifications related to governance of IT

55

Certifications related to governance of IT

55

Face-to-face networking

Face-to-face networking

102

61

Electronic networking

Electronic networking0

40

Base: 450 (IT only)

102

61
80

120

80

120

40

160

200

160

200

Sum of scores

240

280

240

280

320

320

Fig. 3.Base:
Madurez
deof gobernanza
Empresarial.
450 (IT only)para la implementacin de Modelos
Sum
scores
FuenteFigure
http://www.Itgi.org
17Capability of Organisations That Provide or Implement GEIT Guidance or Solutions
ITGI
Market analysts

Figure 17Capability
of-2.4
Organisations That Provide or40.2
Implement GEIT Guidance or Solutions13.1
-0.7
-1.8

ITGI

Market analysts

ISACA

-2.4

-1.8

-0.7

Big 4 firms

Software vendors

24.4

-0.2 -1.6

-1.6

Software vendors

-4.9

39.6

-3.6

-18%

11.1

16.0

45.3
6.0

-7.3

39.6

-5.8

11.1

28.4

-12.2

-2.4

-18%

Local professional or
governmental organisations

16.0

9.3

24.9

-11.1

Strategy consultancies

8.2

-6.2

-1.8

-3.6

6.2

40.9

-12.2

-2.4

12.9

45.3

-1.6

Smaller or niche IT consultancy firms

12.9

9.3

24.4

-7.3

-1.8

Strategy consultancies

8.2

29.8

-8.0

Large IT and consultancy firms

-4.9

40.4

-6.2

-3.8

Smaller or niche IT consultancy firms

13.1
6.2

40.9

-0.7 -2.7

Large IT and consultancy firms

Base: 450 (IT only)

-2.4

-2.7

ISACA

Local professional or Universities

governmental organisations

40.2

29.8

-8.0

-3.8

Universities

40.4

-2.4

-0.7

-0.2 -1.6

Big 4 firms

24.9

21.6

-5.8

28.4

0% 2%

-11.1

7.1

5.3

Very poor
capability
0% 2%

Poor
capability

Poor
Very poor
4.3 Level of GEIT Measures
in Place
capability
capability

Base: 450 (IT only)

7.1

22%

21.6

6.0

42%

62%

5.3

Good
capability
22%

Good
capability

Very good
capability

42%

62%

Very good
capability

of respondents
enterprises have some
degree
of GEIT
in place modelos
(figure 18).de
Only a very
Fig. 4.Two-thirds
Capacidad
de las Organizaciones
para
proveer
o measures
implementar
small number
(five percent)
consider
GEIT unimportant.
Gobernanza
Empresarial.
Fuente:
http://www.Itgi.org
4.3
Level
of GEIT
Measures
in Place
Cross-analysis

Two-thirds of respondents enterprises have some degree of GEIT measures in place (figure 18). Only a very

24

from businessque
and IT
are very
similar,
as noted
figure 18.
La Responses
figura 4 representa
tanrespondents
preparadas
pueden
estar
las in
organizaciones
para la
small number (five percent) consider GEIT unimportant.
implementacin
modelos de Gobernanza empresarial, por supuesto los resultados
G L O B A L S T A T de
U S R E P O R T O N T H E G O V E R N A N C E O F E N T E R P R I S E I T ( G E I T ) 2 0 1 1
del estudio Cross-analysis
reflejan la realidad de los diferentes tipos de organizaciones y quienes
manifiestan Responses
tener mejor
capacidad
son las dearereas
directamente
relacionadas
con TI ,
from business
and IT respondents
very similar,
as noted in figure
18.

24

GLOBAL STATUS REPORT

ON

THE

GOVERNANCE

OF

ENTERPRISE IT (GEIT)2011

resulta interesante ver all a las Universidades que presentan un poco mas del 30%
con capacidad para la implementacin de modelos de gobernanza.
De acuerdo con los conceptos presentados con anterioridad, y la importancia de
alinear TI con el negocio y evidenciar la manera en que se considera que TI
contribuye al negocio, es muy recomendable contar con marcos de referencia para
garantizar la Gobernanza de TI, es as como ahora podemos observar en la Figura 5,
una propuesta del modelo de Gobernanza Empresarial de TI, que toma como
referencia COBIT y muestra otros marcos o estndares para completarla.

Marcos de Referencia
Estndares y
Metodologas

Regulaciones
SOX - BASILEA

COSO
COBIT

ISO
38500

Recuperacin en Desastres

ISO 9000
SIX SIGMA

Medio ambiente

BSC

Gobierno de TI

ROI
VPN

Sistema de Calidad

Gestin de Indicadores

PMI
PRINCE 2

Administracin Financiera

ISO
27000

Adm. de Proyectos

Seguridad de TI

CMMI
IT MARK

Desarrollo de Software

Gestin de Servicios

I
T
I
L

ISO
24700

Green IT
ISO 14000

Tacuar 163 2 B (C1071AAC) - C.A.B.A. / Argentina. Tel: (+54-11) 4331-6454 / 4334-6165 www.it-quality.com.ar
Fig. 5. Modelo
de Gobernabilidad. Fuente: Juan Guillermo Leruga CEO Grupo
TekNe Argentina.

Al observar este modelo de Gobernanza se observan 10 pilares que los sostienen, y

dentro de estos los que actualmente se trabajan en la Universidad, conforme a
estndares, son Gestin de Servicios, Seguridad de TI, Sistema de Calidad y Medio
Ambiente. Los otros pilares se trabajan pero no siguiendo an los estndares o marcos
de referencia propuestos, a continuacin una explicacin general de algunos de los
elementos.
COBIT (Control Objectives for Information and Related Technology). Es un marco
de referencia para el gobierno y la gestin de TI (34 objetivos de control). La versin
5 agrega una visin integral sobre Gobierno, negocio y gestin. La misin de COBIT
es Investigar, desarrollar, publicar y promover un marco de referencia de gobierno y
gestin de TI con autoridad, actualizado y aceptado internacionalmente para su

adopcin por empresas y utilizado por los directores de negocio, profesionales de TI y

auditores de calidad.
COBIT Soporta el gobierno de TI bajo cinco principios:
Satisfacer las necesidades de las partes interesadas.
Cubrir la organizacin de extremo a extremo.
Aplicar un marco de referencia nico integrado.
Hacer posible un enfoque holstico, amplio e integrador.
Separarar el Gobierno de la Gestin.
En la Gestin de servicios se utiliza un marco de referencia como ITIL,
(Information Technology Infrastructure Library), es un conjunto de buenas prcticas
destinadas a facilitar la gestin del ciclo de vida de servicios de tecnologas de la
informacin (TI). ITIL resume un extenso conjunto de procedimientos de gestin
ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. ITIL da soporte a ms del 50% de los objetivos de Control de
COBIT.
ISO/IEC 20000 La serie fue normalizada y publicada por las organizaciones ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission), es el estndar reconocido internacionalmente para la certificacin de
calidad en la gestin de servicios de TI (Tecnologas de la Informacin).
ISO 9000 es un conjunto de normas sobre calidad y gestin continua de la calidad,
establecidas por la Organizacin Internacional para la Estandarizacin . Se puede
aplicar a cualquier tipo de organizacin o actividad orientada a la produccin de
bienes o servicios. La ISO 9000 especifica la manera de implementar un Sistema de
Gestin de Calidad.
CMMI (Capability Maturity Model Integration) es un modelo para la mejora y
evaluacin de procesos para el desarrollo, mantenimiento y operacin de sistemas de
software. Est compuesto por CMMI-DEV o CMMI for Development, CMMI-ACQ
o CMMI for Acquisition y CMMI-SVC o CMMI for Services.
ISO 27000 Esta norma proporciona los requisitos del sistema de gestin de
seguridad de la informacin. para garantizar que las organizaciones preservan la
confidencialidad, disponibilidad e Integridad de la Informacin, Es la norma con la
cual se certifican por auditores externos los Sistemas de Gestin de la Seguridad de la
Informacin de las organizaciones.
PMI (Project Management Institute), Este conjunto de mejores prcticas
proporciona las herramientas que permiten gestionar en forma eficiente todo tipo de
proyectos. Tiene su origen en USA y actualmente tiene representacin en 180 pases
con ms de 400.000 profesionales certificados. La irrupcin de la ISO 21.500 ha dado
a la gestin de proyectos una norma que le permita certificar la gestin de proyectos.
PRINCE2 es otro estndar de PM reconocido mundialmente.

The regulatory environment and

specific compliance requirements

33.7

The business objectives or strategy

57.0

24.2

Industry or market forces

0%

20%

40%

28.9%

37.8%

58.9%

55.3%

26.8%

22.0%

60%

En medio
la GEIT
normaApproach
ISO 14000 certifica a las organizaciones en el
4.6 Basis
for an ambiente
Enterprises
cumplimiento del manejo y buen uso de los recursos ambientales y la preparacin
ISOpara
20000preservarlos.
is the external framework most frequently mentioned as a basis for an enterprises GEIT approach.
The second
commonly
citedson
external
or standard on which
an enterprise
bases itsde
GEIT
Paramost
conocer
cuales
los framework
marcos usualmente
utilizados
se conoce
acuerdo al
approach
is ISO
17799/ISO por
27000,eltheInstitute
InformationGovernance
Security Framework
security standards
estudio
realizado
IT, or
seother
pregunt
tambien por cual
5
(figure
26). It is alsolos
interesting
to note de
thatTI,
ISACAs
Risk IT framework,
released in 2009,
alreadylabeing
consideraban
ejecutivos
se lograba
una aproximacin
para islograr
base de
used
12 percent
of the respondent
unbyGEIT
empresarial,
y el enterprises.
resultado se observa en la Figura 6.
Figure 26External Frameworks and Standards Used as Basis for GEIT Approach
ITIL or ISO 20000
ISO 17799, ISO 27000, Information Security Framework
or other security standards
Six Sigma

28
21.1
15.1

COBIT (ISACA)

12.9

PMI/PMBOK

12.7

Risk IT (ISACA)

12

IT Assurance Framework (ISACA)

9.8

CMM or CMMI

9.3

ISO 38500

8.2

BMIS (Business Model for Information Security [ISACA])

7.8

PRINCE2

6.4

Val IT (ISACA)

4.9

TOGAF

2.9

COSO ERM
Base: 450 (IT only)
5

1.6

0%

5%

10%

15%

20%

25%

30%

ISACA, The Risk IT Framework, USA, 2009, www.isaca.org/riskit

Fig. 6. Framework mas implementados. Fuente: http://www.Itgi.org

GLOBAL STATUS REPORT

ON THE

GOVERNANCE

OF

ENTERPRISE IT (GEIT)2011

En esta Figura, se evidencia que ISO 20000 es el marco externo mas frecuentemente
mencionado, el segundo es ISO 27001 y los otros van disminuyendo como se
observan en la figura 6.
Hasta aqu se puede evidenciar que los estandar que ha estado trabajando la UPTC
relacionados con ISO 20000 e ISO 27001 son considerados por las personas del rea
de TI como los mas comunes para dar inicio al camino de Gobernanza empresarial de
TI, de tal forma que vale la pena conocer como es el avance en el modelo de
implementacin propuesto para identificar al final que haria falta para llegar al
modelo de Gobernanza. Adems que el trabajo adelantando dentro del Sistema
Integrado de Gestin SIG como ISO 9001, ISO 14000 ayudara en el camino a

29

obtener un modelo de gobernanza, en la Figura 7 se observa los sistemas que

conforman el actual sistema Integrado de Gestin de la Universidad.

Fig. 7. Sistema Integrado de Gestin UPTC. Fuente: Sistema Integrado de Gestin

UPTC.

3. Avances en el Modelo de Implementacin Propuesto.

La primera estrategia para lograr xito en el desarrollo de estos proyectos es contar
con el apoyo de la alta direccin, para este caso en el 2011, se incluy el Proyecto
Adopcin de buenas prcticas bajo los estndares ISO 20000 e ISO 27001 dentro
del Plan de Desarrollo de la Universidad Pedaggica y Tecnolgica de Colombia; esto
garantiza que se cuenta no solo con el aval de la alta direccin sino con recursos para
llevar a cabo las actividades requeridas para lograr en 2014 la certificacin con estas
normas.
Esto se convierte en un reto como se dijo anteriormente, ya que no hay
Universidades Certificadas con ISO 20000 en Colombia y en ISO 27001 se han
adoptado las buenas prcticas pero no todas tienen la certificacin en el estndar, la
Universidad Pedaggica y Tecnolgica de Colombia, es una Universidad Pblica de
carcter estatal, que actualmente tiene 27000 estudiantes, 1600 profesores, y 1100
funcionarios y Una sede Central Ubicada en Tunja y 3 sedes seccionales ubicadas en
Duitama, Sogamoso y Chiquinquir en el Departamento de Boyac. Adems de 25
CREADS en diferentes lugares del Pas.
El modelo propuesto para la Implementacin de los procesos se observa en la Figura
8, el cual se trabajo en el ltimo ao para generar los diferentes procesos requeridos.

Fase 0. Diagnstico Inicial. Revisin del Sistema. Identificacin de Procesos Comunes

Fase 1.

Verificar procesos comunes exigidos por las normas, Control de Documentos, Control
de Registros, Auditorias Internas, revisin por la Direccin

.ISO 27001: Gestin de Activos y Gestin de Riesgos.

ISO 20000: Gestin de la Configuracin, Gestin de Incidentes, Gestin de
Fase 2. Problemas.
ISO 27001: Gestin de la Cultura y Gestin de Cumplimiento.
ISO 20000: Gestin de Cambios, Gestin de la Capacidad, Gestin de nivel del
Fase 3. servicio, Presentacin de Informes.
ISO 27001: Gestin de la Arquitectura, Gestin de la continuidad y Gestin de
Vulnerabilidad..
ISO 20000: Gestin de versiones y entrega, Gestin de la Continuidad y
Fase 4 Disponibilidad del Servicio, Presupuesto y contabilidad de los Servicios de TI,
Gestin de las Relaciones del Negocio y Gestin de Proveedores Externos.

Fig. 8. Fases para la implementacin de servicios con las normas ISO 2000 e ISO
27000, luego del Anlisis GAP. Fuente Autor.
Luego de contar con el apoyo de la alta direccin la Siguiente estrategia es definir el
alcance de las normas, es decir a que servicios o procesos se va a dar cobertura con la
aplicacin de las normas.
En la Universidad se eligi El proceso Gestin de Recursos Informticos para el
alcance de las normas que hace parte de los procesos administrativos dentro del
Sistema de calidad. Este proceso es el que contempla las actividades realizadas
actualmente en el Grupo Organizacin y Sistemas que tiene definidas 4 reas de
trabajo:
1. Desarrollo y administracin de los sistemas de Informacin,
2. Redes y Telecomunicaciones
3. Soporte a Usuarios en Hardware y Software.
4. Administracin de aulas de Informtica para prstamo a Docentes y
estudiantes.
El objetivo del proceso es: Gestionar La Infraestructura Informtica Y De
Telecomunicaciones, Que Permita La Prestacin De Servicios cumpliendo con las polticas de
Seguridad de la Informacin Para La Satisfaccin De Necesidades De Los Clientes [3] y en

este objetivo se refleja la incorporacin de Seguridad y de servicios requeridos por

ISO 20000 e ISO 27001.

El proceso contaba inicialmente con cuatro (4) procedimientos y han pasado a ser
ahora diecisiete (17) procedimientos como se observa en la figura 9.

Fig. 9. Procedimientos que hacen parte del Proceso Gestin de Recursos

Informticos.
Cada procedimiento cumple con el que hacer del proceso y ayuda al cumplimiento
de lo requerido por las normas.
La visin general del sistema de servicios y de seguridad de la Informacin junto
con el sistema Integrado de Gestin se observa en la figura 10.

Direccionamien
to SIG

Evaluacin
Independiente
Auditora
Interna
Acciones
CorrecAvas y
PrevenAvas

Planeacin
InsAtucional

PROCESOS
ADMINISTRATIVOS

Plan de
Desarrollo
Plan de Accin

PROCESO GESTION
DE RECURSOS
INFORMATICOS

Revisin por la
Direccin
Elaboracin y
Control de
Documentos

descripcin

PROCESOS DE APOYO

GesAn de Recursos InformAcos

Incorporacin de Sistemas de Informacin
Administracin de aulas de InformAca.
Copias de Seguridad.
Soporte
Incidencias
Capacidad
Disponibilidad
Mejora ConAnua
Problemas
Entregas
Cambios
Niveles del Servicios
Informes
Seguridad de la Informacim
AcAvos de Informacin
Riesgos

GesAn de Talento Humano.

GesAn Financiera
GesAn de adquisicin de Bienes y
Servicios
GesAn NormaAva.
GesAn Electoral Documental y de
PeAciones.

Fig. 10. Procesos y procedimientos Integrados en SIG. Fuente Autor.

Adems de implementar procedimientos, para el cumplimiento de ISO 20000 se

estableci el catalogo de servicios del rea los cuales son:
1. Desarrollo de aplicaciones.
2. Asistencia Tcnica.
3. Aulas de Informtica.
4. Infraestructura de Red y comunicaciones.
5. Gestin de la seguridad informtica.
Y para cada uno de ellos se gener el respectivo acuerdo de nivel de servicio.
3. 1. Polticas Implementadas.
Adems del trabajo realizado para lograr los procesos, procedimientos y acuerdos de
niveles de servicios, la implementacin de estas normas requiere un grupo de polticas
adicionales a las generales que respaldan los sistemas de gestin, a continuacin se
presenta la lista de polticas requeridas e implementadas.

Mejora Continua.
Capacidad
Configuracin
Disponibilidad
Continuidad
Entrega
Ley de Proteccin de Datos Personales
Terceros
Propiedad de la Informacin
Clasificacin de activos de Informacin
Uso de Recursos informticos
Relacionadas con el personal: Ingreso, confidencialidad, aceptacin,
desvinculacin.
Relacionadas con la seguridad Fisica: Condiciones elctricas y ambientales,
control de acceso a reas de TI, control de acceso a instalaciones de la
Universidad.
Asignacin de responsabilidades operativas.
Control de cambios
Proteccin software malicioso
Almacenamiento y respaldo
Uso de comunicaciones
Acceso a Internet
Uso de perifricos
Auditoras a la plataforma tecnolgica
Cuentas de usuario
Contraseas.
Acceso a sistemas operativos
Redes de datos y sistemas de informacin.

Cifrado de informacin.
Desarrollo y soporte
Administracin de vulnerabilidades
Contingencia
Propiedad intelectual
Privacidad de la Informacin
Pirateria.

Con la generacin de estas polticas, se da cumplimiento a la mayora de los dominios

requeridos por la norma ISO 27001.
3.2. Indicadores Propuestos

Otro tema importante para completar la implementacin de las normas es lo

relacionado con los indicadores ya que medir es uno de los puntos importantes para
cumplir con el ciclo de Planear, hacer, verificar y actuar, a continuacin una lista de
los indicadores propuestos, algunos de tipo estratgico y otros operativos.
Satisfaccin del Usuario
Porcentaje de Disponibilidad
Implementacin de Mejoras
Comunicacin de Mejoras de los servicios
Cumplimiento de los servicios
Tratamiento de incidentes de seguridad de la informacin
Efectividad del Plan de Riesgos
Atencin de incidentes.
Formacin del personal de TI

CONCLUSION.
An es prematuro concluir todo el impacto del sistema, sin embargo para responder a
la pregunta de si se logra evolucionar a un modelo de gobernanza, partir del trabajo
realizado y teniendo en cuenta la tendencia hacia las reas de TI, se presentan algunas
reflexiones, para lograrlo y algunas ideas de Leruga3:
Cuente con el apoyo de la Alta Direccin.
Sin duda el avance hasta el momento, permite pensar en que se puede llegar a un
modelo de gobernanza, y para ello se debera realizar una evaluacin de madurez
cuyo resultado nos brinde el GAP entre lo deseado y el estado actual
Elaborar un proyecto de mejora en base a los objetivos organizacionales
Definicin de etapas y entregables por periodos

Guillermo Antonio Leruga. CEO Grupo Tekne. Calidad y TI en el Gobierno de la Informacin.

 Seleccin de las herramientas adecuadas

Comenzar la Implantacin
Seguimiento y control
El Gobierno de TI es parte de la Gobernabilidad Corporativa.
La alineacin de TI con los objetivos de Negocio es una herramienta fundamental
para el logro de los mismos.
El abanico de estndares existentes nos permiten mediante su implementacin y
combinacin adecuada alcanzar los objetivos de mejora y el gobierno de la
informacin.
Las herramientas adecuadas son parte importante del proyecto de mejora
La solucin comprobada es la adopcin de estndares en el marco de un proceso
evolutivo de mejora de la calidad y la gobernabilidad.
Ms del 90% de las empresas encuestadas ITGI tiene en sus planes mejorar la
gobernabilidad de TI.

Referencias
1.

Departamento de Informtica es Considerado un Gasto. Fuente Setesca. 29/03/2011.

http://www.diarioti.com/gate/n.php?id=29358.
2. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION.
Norma Tcnica de Calidad en la Gestin Pblica NCTGP 1000:2009. P 1.
3. Leruga, Juan Guillermo. Calidad y TI en el Gobierno de la informacin. www.itquality.com.ar.
4. Sistema
Integrado
de
Gestin
Acadmico
Administrativa
SIGMA.
http://desnet.uptc.edu.co/Sigma.
5. OSIATIS. Formacin ITIL, Fundamentos de la Gestin de Servicios de TI.
http://www.osiatis.es/formacion/Formacion_ITIL_web_version2.pdf.
6. INSTITUTO COLOMBIANO DE NORMA TECNICAS Y DE CERTIFICACION.
Norma Tcnica Colombiana. NTC-ISO/IEC 20000-1. P 3.
7. Cooper, Linda.: La Evolucin de la ISO 20000, 1er Forum Internacional ISO 20000,
marzo de 2011. www.forumiso20000.com
8. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin.
NTC-ISO/IEC 27001. P 2.
9. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin.
NTC-ISO/IEC 27001. P 5.
10. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y DE CERTIFICACIN.
Norma Tcnica Colombiana Sistemas de Gestin de la Seguridad de la Informacin.
NTC-ISO/IEC 27001. P 3.
11. Global Status Report GEIT. IT Governance Institute http://www.itgi.org
12. ISACA, documentos de survey acerca de gobernanza.