Implementacin de Gobierno de TI usando Cobit, Caso de Estudio:

Instituto Politcnico Viana do Castelo.

Edgar Columba, Publio Estupian, Luis Soria
Maestra en Gestin de las Comunicaciones y Tecnologas de la Inormacin, Escuela Polit!cnica "acional
##$%&$#&
Abstract.- En este artculo se presenta el caso de
estudio de la adopcin de COIT para la
implementacin de un Gobierno de TI en el Instituto
Politcnico de Viana do Castelo, este centro de
estudios posee !arias escuelas de educacin superior
distribuidas a lo lar"o de la re"in norte de Portu"al.
Este documento pretende mostrar la importancia de la
implementacin de un Gobierno de TI con la a#uda de
COIT como marco de re$erencia, el an%lisis parte
con una introduccin sobre la situacin actual del
Gobierno de TI en las uni!ersidades # en otros
sectores, e&plora los conceptos de Gobierno de TI,
Gobierno Corporati!o # COIT para mostrar sus
bene$icios.
Para este caso las $ases de estudio inclu#en:
antecedentes del Instituto Politcnico Viana do
Castelo IPVC, estructura or"ani'acional #
problem%tica. Para la implementacin del Gobierno
de TI en el IPVC se anali'a el mapeo de los procesos
de TI con los dominios de COIT # las acti!idades
reali'adas. (e presentan al"unos e)emplos de los
procedimientos, dia"ramas de $lu)o le!antados #
documentados se"*n la norma I(O +,,-, # el sistema
de "estin de la calidad .ue tiene certi$icado.
/inalmente se da a conocer al"unos de los indicadores
.ue lo"raron me)orarse con la adopcin de COIT
como marco de Gobierno de TI # se presentan los
resultados de la adopcin de este marco de traba)o.
I' I"T()*+CCI,"
Las tecnologas y los sistemas de inormacin son
-erramientas indispensables para el adecuado
uncionamiento de todo tipo de organi.acin para
este caso en particular de las uni/ersidades, donde
se re0uiere de la operacin, control, seguimiento y
me1oramiento de procesos, as como para la toma de
decisiones operacionales, t2cticas y estrat!gicas'
La gestin de las TI en las uni/ersidades as como
en la mayora de organi.aciones, se -a centrado en
lograr una administracin eiciente de los recursos
tecnolgicos como soporte undamental del resto de
ser/icios' Por lo tanto, a m2s de las TI, se re0uiere
de un gobierno 0ue pro/ea una estructura 0ue
permita determinar los ob1eti/os de la organi.acin
y super/isar el rendimiento3 con el in de asegurar
0ue los ob1eti/os estrat!gicos empresariales se
cumplan' Sin embargo, no con/iene concebir las TI
slo como elementos t2cticos de las uni/ersidades,
no deberan gestionarse /erticalmente, o
planiicarse de manera aislada, sino 0ue tendran
0ue ormar parte de la planiicacin global de la
uni/ersidad, pues tienen un car2cter estrat!gico y
-ori.ontal' *e esta manera se alcan.ar2 la m24ima
eiciencia y las TI dar2n /alor agregado a los
procesos 0ue posee la uni/ersidad'
5ctualmente, los Gobiernos de TI 6IT Go/ernance7
se encuentran implantados con !4ito en otros
sectores como banca, seguros, industria, etc' con
claros resultados satisactorios en la mayora de
casos' +n Gobierno de TI eecti/o, ayuda a
garanti.ar las metas del negocio, optimi.ar la
in/ersin en TI y administrar de orma adecuada los
riesgos y oportunidades asociados a la TI89:'
Por lo tanto, el establecimiento de un Gobierno de
TI en el Instituto Polit!cnico ;iana do Castelo
<IP;C, permiti 0ue la e1ecucin se lle/e a cabo a
tra/!s de una planiicacin estrat!gica integral de
las TI alineada con los ob1eti/os globales de la
organi.acin' Para ello, las principales
responsabilidades relacionadas con la planiicacin
de las TI deben recaer y ser apoyadas directamente
por la alta direccin uni/ersitaria 6(ectores,
Gerentes y ;icerrectores7'
II' G)=IE(") *E TI > C)=IT
Las organi.aciones deben cumplir con
re0uerimientos de calidad, iduciarios y de
seguridad, tanto para su inormacin como para los
acti/os' La direccin de TI deber2? adem2s optimi.ar
el empleo de recursos disponibles, los cuales
incluyen@ personal, inraestructura, tecnologa,
sistemas de inormacin y datos89:'
C)=IT ayuda a satisacer las mAltiples necesidades
de gobierno, estableciendo un puente entre los
riesgos del negocio, los controles necesarios y los
aspectos t!cnicos3 pro/ee buenas pr2cticas y
presenta acti/idades en una estructura mane1able y
lgica' Las Bbuenas pr2cticasC de C)=IT agrupan
el consenso de e4pertos D0uienes ayudar2n a
optimi.ar la in/ersin de la inormacin y

proporcionar2n un mecanismo de medicin 0ue
permita 1u.gar cuando las acti/idades /an por el
camino e0ui/ocado8E:'
El impacto sobre los recursos de TI son resaltados
en el Marco de (eerencia de C)=IT 1unto con los
re0uerimientos del negocio 0ue deben ser
alcan.ados@ eiciencia, eecti/idad,
conidencialidad, integridad, disponibilidad,
cumplimiento y coniabilidad de la inormacin'
El control incluye@ polticas, estructuras, pr2cticas y
procedimientos organi.acionales 0ue son
responsabilidad de la gerencia' La gerencia,
mediante este gobierno corporati/o debe asegurar
0ue todos los in/olucrados en la administracin,
uso, diseo, desarrollo, mantenimiento u operacin
de sistemas de inormacin actAen con la debida
diligencia'
El eno0ue en el negocio es el tema principal de
C)=IT, est2 diseado no slo para ser utili.ado por
usuarios y auditores, sino 0ue, est2 diseado para
ser utili.ado por los propietarios de los procesos de
negocio como una gua clara y entendible' Los
dueos de los procesos deben ser responsables de
todos los aspectos relacionados al negocio3 en
particular, el proporcionar controles adecuados8F:'
El Marco de (eerencia C)=IT consta de un
con1unto de G& )b1eti/os de Control de alto ni/el,
uno para cada uno de los Procesos de TI, agrupados
en cuatro dominios@ #' Planiicacin y
)rgani.acin, 9' 5d0uisicin e Implementacin, G'
Entrega de ser/icios, &' Soporte y Monitori.acin'
Hsta estructura cubre todos los aspectos de la
inormacin y de la tecnologa 0ue lo soporta'
+n )b1eti/o de Control en TI es una deinicin del
resultado o propsito 0ue se desea alcan.ar
implementando procedimientos de control
especicos dentro de una acti/idad de TI'
5dministrando adecuadamente estos G& )b1eti/os
de Control de alto ni/el el propietario de procesos
de negocio podr2 asegurar 0ue se proporciona un
sistema de control adecuado para el ambiente de
tecnologa de inormacin89:'
III' G)=IE(") C)(P)(5TI;) > G)=IE(")
*E TI
Para lograr el !4ito en esta economa de
inormacin, el gobierno corporati/o y el gobierno
de TI no pueden ser consideradas como disciplinas
separadas una de otra' Las acti/idades de la
empresa re0uieren inormacin de las acti/idades
de TI con el in de satisacer los ob1eti/os del
negocio8E:' )rgani.aciones e4itosas aseguran la
interdependencia entre su plan estrat!gico y sus
acti/idades de TI, es decir, TI debe estar alineado y
debe permitir a la empresa tomar /enta1a total de su
inormacin para incrementar sus beneicios,
ma4imi.ar las oportunidades y ganar /enta1a
competiti/a8I:'
Para asegurar 0ue la Gerencia cumpla con los
ob1eti/os de negocio, !sta debe dirigir y administrar
las acti/idades de TI para alcan.ar un balance
eecti/o entre la gestin de riesgos y los beneicios
encontrados' La gerencia necesita identiicar las
acti/idades m2s importantes 0ue deben ser
desarrolladas, midiendo el progreso -acia el
cumplimiento de las metas y determinando la
adecuada e1ecucin en el desarrollo de procesos de
TI' 8G:'
+na orma de resol/er estos problemas -a sido
suministrada por el Marco (eerencial de C)=IT
6)b1eti/os de Control para Inormacin y
Tecnologa (elacionada7, 0ue es el est2ndar abierto
para el control de la tecnologa de Inormacin,
desarrollada y promo/ida por el Instituto de
Gobierno de TI'
I;' 5CE(C5 *EL IP;C > S+
P()=LEM5TIC5
El Instituto Polit!cnico de ;iana do Castelo 6IP;C7
es una institucin de educacin superior pAblica
undada en #JK%, locali.ada en Portugal y tiene una
estructura organi.ati/a 0ue esta conormada por
/arias escuelas 6o unidades org2nicas7 0ue se
asocian con una misma misin' La dispersin
geogr2ica acilita el compromiso con el desarrollo
sostenible de la regin, cuyo tamao y pro4imidad
permite a los proesores y estudiantes, crear
relaciones para estimular la ormacin personal y
proesional'
El IP;C integra seis unidades o escuelas 6Escuela
Superior de Educacin, Escuela Superior 5graria,
Escuela Superior de Tecnologa y 5dministracin,
Escuela Superior de Ciencias Empresariales,
Escuela Superior de Salud, Escuela Superior de
Ser/icios Centrales y Ser/icios Sociales7' Las
escuelas superiores est2n orientadas a proyectos de
ensean.a y ser/icios sociales prestados a los
estudiantes' La central de ser/icios asegura la
coordinacin institucional de las acti/idades de
administracin de personal y la coordinacin de los
dierentes departamentos como@ patrimonial,

administrati/a, planiicacin global inanciera y
t!cnica'
Tomando en cuenta la e/olucin de la sociedad y de
las leyes, el IP;C implement un Sistema de
Gestin de Calidad 6SGC7 0ue le permiti asegurar
la certiicacin IS) J%%#' El SGC cubre las
acti/idades de Planiicacin Estrat!gica y Gestin,
Educacin$Capacitacin y soporte del IP;C'
El conocimiento 0ue se tiene de cada escuela no
siempre permite una gestin global de la
inormacin disponible, lo 0ue re0uiere una mayor
utili.acin de recursos y la p!rdida innecesaria de
tiempo3 cada escuela tena su propio modelo de
gestin y departamento de inorm2tica, esto se
resol/i con la implementacin de me1oras a la
inraestructura 6uso ibra ptica7, se me1or la
intercone4in y se centrali.o /arios de los ser/icios
6acad!micos, recursos -umanos, contabilidad7, sin
embargo continuaba con di/ersos sistemas de
inormacin gestionados por una unidad de
inormacin en cada escuela' La gestin de estos
sistemas no era eiciente y presentaba muc-as
brec-as en t!rminos de organi.acin especialmente
en la inraestructura de red, gestin de accesos a los
sistemas, diicultades para el monitoreo,
diicultades en la gestin de respaldos, etc'
Por otra parte, el IP;C me1or sus centros de datos
d2ndoles mayor disponibilidad 6recuperacin ante
desastres, almacenamiento de copias de seguridad y
ser/icios Leb7 a la comunidad 6por e1emplo, a las
autoridades locales7' Teniendo en cuenta la
e/olucin de los sistemas de inormacin y de TI,
se anali. tambi!n la implementacin de IS) J%%#
en el campo de las IT 6SGC en los proceso de
Gestin de los Sistemas de inormacin7' La
implementacin de la norma IS) J%%# sigue dos
directrices@ por un lado asegurar la certiicacin IS)
J%%# y la otra, desarrollar el traba1o para gestionar y
controlar la TI, para crear mecanismos 0ue aseguren
una certiicacin en otras normas, por e1emplo, la
seguridad de la inormacin IS) 9E%%%8#:'
;' M5PE) *E L)S *)MI"I)S *E C)=IT
C)" P()CES)S *E L5 IS) J%%#
Luego de re/isar /arios est2ndares y e/aluar los
casos de !4ito de C)=IT en otros sectores se
decidi adoptar este marco para la implementacin
de un Gobierno de TI en el IP;C, bas2ndose en los
subprocesos del SGC de la IS) J%%# en los cuatro
dominios de C)=IT8#:'
Planear y Organizar los sistemas de informacin SI
Este dominio cubre las estrategias y las t2cticas,
consiste en identiicar la manera en 0ue TI puede
contribuir de la me1or manera al logro de los
ob1eti/os del negocio89:'
Entradas: (alidas:
"ecesidad de *einir un
Plan estrat!gico de TI'
Estrategias para e/aluar la
calidad de los SI'
Plan Estrat!gico de TI'
Plan de Calidad de TI'
Procedimientos para la
5dministracin de
Proyectos'
0cti!idades:
P)#'9 5lineacin de TI con el "egocio
P)#'& Plan Estrat!gico de TI
P)#'F Planes T2cticos de TI
P)K'# Sistema de 5dministracin de Calidad
P)#%'G Eno0ue de 5dministracin de Proyectos
Tabla -: Proceso Planear y )rgani.ar
Para cada acti/idad, el IP;C elabor un
procedimiento de acuerdo a la IS) J%%#, los
documentos -abilitantes consisten de un diagrama
de lu1o, registros, documentos y la asignacin de
responsabilidades de los in/olucrados' En la igura
#, se puede obser/ar el lu1o de procedimiento para
la elaboracin de los planes t2cticos de TI, P)#'F de
C)=IT'
/i"ura -: Procedimiento para elaborar los planes t2cticos
de TI@ Mlu1o de procesos, *ocumentos y (esponsables'
Muente 8#:'
Adquirir y Organizar los SI
Para lle/ar a cabo la estrategia de TI, se debe
identiicar las soluciones de TI, desarrolladas o
ad0uiridas, implementadas e integradas en los
procesos del negocio89:' Este proceso deine los
procedimientos para la ad0uisicin, instalacin y
mantenimiento de los componentes de la
inraestructura tecnolgica del IP;C8#:'

Entradas: (alidas:
"ecesidad de establecer
procedimientos para
ad0uirir, instalar y mantener
los componentes de la
inraestructura de TI'
Plan estrat!gico de TI'
Plan Estrat!gico de TI'
Plan de Calidad de TI'
Procedimientos para la
compra, implementacin y
mantenimiento de los
componentes de TI'
0cti!idades:
5IG'# Plan de 5d0uisicin de Inraestructura Tecnolgica
Tabla 1: Proceso 5d0uirir e Implementar
El ob1eti/o de esta acti/idad es deinir los pasos
para ad0uirir los componentes de TI y cubre desde
la solicitud -asta la implementacin y
mantenimiento del componente'
Entregar y Dar Soporte a los SI
El alcance de este dominio aplica a la entrega de los
ser/icios re0ueridos, lo 0ue incluye la prestacin
del ser/icio, administracin de la seguridad y de la
continuidad, el soporte del ser/icio a los usuarios,
administracin de los datos y de las instalaciones
operati/as89:'
Entradas: (alidas:
"ecesidad de establecer
procedimientos para
garanti.ar la disponibilidad
de los SI y TI'
Procedimientos de soporte
de TI'
Plan Estrat!gico de TI'
Plan Estrat!gico de TI'
Plan de Calidad de TI'
Procedimientos para la
compra, implementacin y
mantenimiento de los
componentes de TI'
0cti!idades
*isponibilidad de (ecursos de TI
Gestin de Incidentes
5dministracin de *atos
Gestin de la Coniguracin
Gestin de la Seguridad de la inormacin
Gestin del (endimiento y de la Capacidad
Gestin de la Continuidad
5dministracin de las )peraciones de TI
Tabla 2: Proceso Entregar y *ar Soporte
El procedimiento para la Gestin de incidencias
incluye el diagrama de lu1o para resol/er un
incidente, los documentos, registros y el personal
in/olucrado en la resolucin'
Monitorear y evaluar los sistemas de informacin.
Todos los procesos de TI deben e/aluarse de orma
regular en el tiempo, en cuanto a su calidad y
cumplimiento de los re0uerimientos de control'89:'
Entradas: (alidas:
"ecesidad de establecer
procedimientos para
monitorear, probar y
e/aluar la calidad de los
ser/icios de TI'
Procedimientos para el
monitoreo de la
inraestructura de TI'
(eportes de rendimiento
de los ser/icios de TI'
0cti!idades
Procedimientos para monitorear y controlar los
componentes de la inraestructura de TI'
Tabla 3: Proceso Monitorear y E/aluar
Cada procedimiento tiene su propio reporte y
registros de monitoreo en una base de datos 0ue es
actuali.ada en cada acti/idad reali.ada'
Para acilitar el acceso a los documentos, registros,
cronogramas, ormularios y procesos del SGC, el
IP;C desarrollo un sistema llamado B;irtual
SecretariatC, esta -erramienta adem2s acilita, la
gestin de peticiones, el monitoreo de los ser/icios
y el an2lisis de la eicacia de la inraestructura de TI
as como los controles' 5ctualmente el IP;C esta
desarrollando algunas operaciones y caractersticas
0ue permitan la automati.acin de an2lisis de
indicadores determinados en los procesos de
Gestin de los SI deinidos por C)=IT'
;I' I"*IC5*)(ES *EL G)=IE(") *E TI
=5S5*)S E" C)=IT > (ES+LT5*)S
El IP;C para cubrir con el monitoreo y control de
su Gobierno de TI implant /arios indicadores y
m!tricas, el caso de estudia presenta los principales
se lista en la Tabla F@
4 5trica 5eta Periodo
#
"Amero de incidencias
pro/ocadas por inadecuada
capacitacin
N#%% anual
9
"Amero de interrupcin de
ser/icios 0ue causaron p!rdidas
de operacin
N#F% anual
G
Tiempo promedio de resolucin
de incidentes
-asta
& das
anual
& Total de incidentes locales
NF%
O
anual
F E/entos resueltos y inali.ados
PI%
O
anual
I Total de incidentes reabierto
N9%
O
anual
E "Amero de respados de datos PJ% mensual

crticos O
K
"Amero de pruebas de respaldos
reali.ados
PJ%
O
mensual
Tabla 6: Lista de indicadores de disponibilidad en
cumplimiento con C)=IT'
Estos indicadores ueron medidos entre los aos
9%%E 6antes de la adopcin de C)=IT7 y 9%%K 6un
ao despu!s de la adopcin de C)=IT7, y e/idencia
una notable me1ora en los procesos de gestin de
TI' Las Miguras 9 y G muestra la comparacin de
indicadores@
/i"ura 1: Comparacin de los indicadores # y 9 en los
aos 9%%E y 9%%K' Muente 89:
/i"ura 2: Comparacin de los indicadores &, F y I en los
aos 9%%E y 9%%K' Muente 89:
Cabe mencionar 0ue con la implementacin de
C)=IT, di/ersos planes ueron desarrollados
6planes de contingencia, de seguridad, etc'7 as
como tambi!n polticas, procedimientos y
acti/idades y ueron publicados en su SGC para 0ue
todo el personal del IP;C tengan acceso'
;II' C)"CL+SI)"ES
5nteriormente sin la adopcin del marco de
gobierno, los SI y TI del IP;C se encontraban
dispersos y la gestin era dierente en cada unidad
de TI, gracias a la adopcin de C)=IT, el IP;C
pudo centrali.ar la gestin y me1orar el control y
monitoreo de sus procesos de TI'
Esta me1ora en el control y la gestin, produ1o una
notable eiciencia de los procesos de TI' Por
e1emplo, el tiempo promedio para atender una
incidencia se redu1o de & a 9,F das 69FO7, esta
me1ora se debe a 0ue a-ora el IP;C cuenta un
proceso de gestin de incidentes basados en los
lineamientos de C)=IT3 redu1o el tiempo de
e1ecucin de acti/idades en un 9FO apro4' ya 0ue
a-ora todos sus procesos cuentan con
procedimientos, tiempos 0ue deben cumplir,
m!tricas y responsables3 logr mayor eiciencia en
el seguimiento y control de los componentes de la
inraestructura tecnolgica, debido a 0ue a-ora
cuenta con un procedimiento para el monitoreo y
reportes de la Inraestructura de TI3 el contar con un
procedimiento para medir el rendimiento de los
procesos y ser/icios de TI, ayud en la reduccin en
un J%O del numero de allas en las comunicaciones,
al conocer el rendimiento de los procesos, el 2rea de
TI del IP;C puede reaccionar proacti/amente
cuando note cadas en los rendimientos'
Sin embargo, e4isten algunas cuestiones 0ue deben
ser garanti.adas dentro de las polticas del IP;C,
como@ la necesidad de una capacitacin continua en
C)=IT, especialmente para a0uellos colaboradores
menos recepti/os al proceso de cambio'
Es necesario poner de maniiesto 0u! el modelo de
gobierno de las TI en las uni/ersidades diiere del
modelo e4istente en las empresas, y como
consecuencia, las uni/ersidades no implementan
est2ndares -abituales en otro tipo de
organi.aciones' Por lo 0ue se propone lle/ar a cabo
una recopilacin de los e1emplos de buenas
pr2cticas en el 2mbito uni/ersitario 0ue -ayan
tenido !4ito, as como a0uellos casos 0ue, -abiendo
encontrado diicultades, permitan obtener
ensean.as' Se deben tambi!n comparar buenas
pr2cticas entre uni/ersidad y as acilitar el estudio
de C)=IT a tra/!s del desarrollo de -erramientas
de e/aluacin'
(EME(E"CI5S
8#: IT Go/ernance using C)=IT implemented in a
Qig- Public Educational Institution, Case
Study@ Polytec-nic Institute o ;iana do
Castelo, Rorge (ibeiro, (ui Gomes,
C)MP+TI"G and C)MP+T5TI)"5L
I"TELLIGE"CE, 9%%J'
89: Cobit &'#, IS5C5, 9%%E' LLL'isaca'org
8G: IT Go/ernance Sel 5ssessment in Qig-er
Education =ased on C)=IT Case Study@
+ni/ersity o Mercu =uana, Mu1iono SadiSin y
otros, Rournal o 5d/anced Management
Science ;ol' 9, "o' 9, Rune 9%#G'
8&: *esigning Inormation Tec-nology Strategic
Plan using Cobit MrameLorS /'&'# or =QM"
+ni/ersities Case Study @ Institut TeSnologi

=andung, (' Edi Triono "uryatno y otros,
9%#%'
8F: CobIT MrameLorS or IT Go/ernance T
5nalysis and e4perience, Udra/So VraSar, y
otros, 9%%E'
8I: IT Go/ernance based on CobiTW &'# < 5
Management Guide, Voen =rand X Qarry
=oonen, ;an Qaren Publis-ing, 9%%E'