Gobernabilidad de las TIC

El Gobierno de TI consiste en un completo marco de estructuras, procesos

y mecanismos relacionales. Las estructuras implican la existencia de funciones de
responsabilidad, como los ejecutivos y responsables de las cuentas de TI, así
como diversos comités de TI. Los procesos se refieren a la monitorización y a la
toma de decisiones estratégicas de TI. Los mecanismos relacionales incluyen las
alianzas y la participación de la empresa/organización de TI, el diálogo en la
estrategia y el aprendizaje compartido.

El gobierno de las Tecnologías de la Información (TI) se ha desarrollado

enormemente desde la aparición del estándar ISO/IEC -38500. Sin embargo las
organizaciones suelen experimentar dificultades a la hora de la implementación
del estándar, ya que los principales interesados pueden llegar a ser excluidos del
marco de gobierno, provocando la ausencia de su necesaria implicación.

Se entiende por Gobierno TI, el conjunto de acciones que realiza el área de

TI en coordinación con la alta dirección para movilizar sus recursos de la forma
más eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Constituye una parte esencial del gobierno de la empresa en su conjunto y

aglutina la estructura organizativa y directiva necesaria para asegurar que TI
soporta y facilita el desarrollo de los objetivos estratégicos definidos.

Garantiza que:

 TI está alineada con la estrategia del negocio.

 Los servicios y funciones de TI se proporcionan con el máximo valor posible
o de la forma más eficiente.
 Todos los riesgos relacionados con TI son conocidos y administrados y los
recursos de TI

La gestión de TI efectiva permite a una organización optimizar los recursos

y la dotación de personal, mejorar los procesos de negocio y de comunicación y
aplicar las mejores prácticas. Las personas que trabajan en la gestión de TI
también deben demostrar habilidades en áreas generales de gestión como
liderazgo, planificación estratégica y asignación de recursos.

Elementos de la gobernanza de TI

Los elementos clave de la gobernanza mencionan la re-conceptualización y re-

construcción de la arquitectura operacional de la empresa, re-pensar y re-expresar
los roles del personal y el alineamiento entre el negocio y la TI, además ayudan a
comprender que los roles, la experiencia y la cultura son factores determinantes
para lograr el mejor impacto y conseguir el éxito de la nueva arquitectura de la
empresa mejorando su rendimiento.

 Alineamiento Estratégico
 Estructuras organizativas
 Generación de Valor
 Procesos de Gobernanza de TI
 Gestión del riesgo
 Gestión del rendimiento
 Gestión de recursos
 Valor agregado

Seguridad de las TIC

Hoy en día son múltiples los riesgos asociados a que equipos y

sistemas de información y comunicaciones no cuenten con controles de seguridad.
Las amenazas en las TIC son globales, y están repartidas en distintos
niveles de criticidad según sea la orientación y el ámbito de su utilización.
Preocupante es para grandes, medianas y pequeñas organizaciones el
espionaje industrial, los ladrones de información, la interrupción de servicios y
las fallas críticas en la infraestructura y sistemas centrales de información. Cada
día, se desarrollan nuevos métodos que afectan a la seguridad de la información
de las organizaciones, es por ello la necesidad de una estrategia completa
de seguridad, de manera de prevenir fugas y fallas en los sistemas. A lo antes
expuesto se suman vulnerabilidades internas (misma organización), que son
un factor de riesgo no menor, y por lo tanto, existe alta probabilidad de
pérdida de dinero y repercusiones en la confiabilidad por parte de usuarios,
clientes y socios de negocios.

No se pueden obviar los factores de riesgos por desastres que al no estar

previstos eficientemente y sin planes de contingencia y/o de recuperación pueden
provocar daños irreparables en tiempo y costos de recuperación. Esto, que
es difícilmente cuantificable, puede incluso determinar la continuidad de una
organización.

Estándares y Normas para Asegurar la Información

Para la correcta administración de la seguridad de la información, se

deben establecer y mantener acciones que busquen cumplir con los tres
requerimientos de mayor importancia para la información, estos son:

 Confidencialidad:

Busca prevenir el acceso no autorizado ya sea en forma intencional o

no intencional a la información. La pérdida de la confidencialidad puede
ocurrir de muchas maneras, como por ejemplo con la publicación intencional de
información confidencial de la organización.

 Integridad :

Busca asegurar:

 Que no se realicen modificaciones por personas no autorizadas a los

datos o procesos.
  Que no se realicen modificaciones no autorizadas por personal
autorizado a los datos o procesos.

 Que los datos sean consistentes tanto interna como externamente.

 Disponibilidad:

Busca asegurar acceso confiable y oportuno a los datos o recursos

para el personal apropiado. Diferentes organizaciones internacionales han
definido estándares y normas que apoyan en diferente medida el
cumplimiento de los requerimientos indicados anteriormente. A continuación se
detallan los de mayor utilización a nivel mundial, y que fueron tomados como base
para el modelo propuesto.

 ISO 17.799

Es un estándar para la administración de la seguridad de la información, e

implica la implementación de toda una estructura documental que debe
contar con un fuerte apoyo de la alta dirección de cualquier organización. Este
estándar fue publicado por la International Organization for Standardization
(ISO) en diciembre de 2000 con el objeto de desarrollar un marco de
seguridad sobre el cual trabajen las organizaciones. Esta norma internacional
ofrece recomendaciones para realizar la gestión de la seguridad de la
información dirigidas a los responsables de iniciar, implantar o mantener la
seguridad de una organización.

Modelo de Control de Riesgos de Seguridad de la Información en Áreas de

TIC.

es el estándar formal de ISO, éste se construye sobre una base que no

necesariamente se aplica a todas las organizaciones, sobre todo cuando éstas no
se han involucrado en procesos relacionados con normas ISO, por ello, con una
base práctica se presenta el siguiente modelo, el cual no omite ni restringe las
actividades señaladas en el modelo formal, sino que se vale de ellas para
sustentar un formato práctico de actividades que deben ser abarcadas para lograr
un adecuado nivel de seguridad de la información en las áreas de TIC en cualquier
tipo de organización. Este modelo puede ser perfeccionado y modificado en el
futuro dado que su estructura se debe ajustar a los constantes cambios que
surgen de las organizaciones como sistema dinámico. La particularidad del
modelo que se presenta a continuación reside en su aspecto operativo y práctico,
puesto que se considera su estructuración, formación e implementación bajo dos
grandes fases.

1. Fase de Elaboración.
2. Fase de Aplicación.

Estas fases contemplan el conjunto de actividades que de ellas se

desprenden y están ligadas mediante la secuencia de actividades que es
necesario desarrollar a fin de elaborar y aplicar correctamente el modelo. Este
modelo considera los principales elementos incluidos en las diversas normas y
estándares internacionales relacionados con la seguridad de la información, por lo
que creemos que apoya la concreción de un “Gobierno de TIC”, lo que a su vez
abarca un aspecto mayor al que su diseño se orientó inicialmente, ya que esto
implica que no solo cubre temas de seguridad y de riesgos, sino a que al mismo
tiempo apoya a lograr aspectos de estructura organizacional, descripciones de
cargo y tareas, definiciones de misión y visión, no solo a nivel gerencial, sino que a
nivel de cada área de TI.

El esquema presentado resume y agrupa todas las actividades y se debe

entender que muchas de ellas llevaran un ciclo continuo de mejora.
 Las actividades son secuenciales y a la vez se comportan en un estado
cíclico con periodos de tiempos en su ciclo que varían dependiendo de cada
organización y del estado de avance que ella tenga respecto a temas de seguridad
de la información.

A continuación se presenta una descripción de cada una de las fases y

actividades que ellas consideran:

 Detección de Necesidades: Corresponde al levantamiento de todas las

actividades relacionadas con los impactos que la organización pueda tener
en relación con su seguridad de la información.
 Análisis de Riesgo: Corresponde a evaluar todos los potenciales riesgos en
los cuales se pueda ver envuelta la organización por aspectos emanados
de las TIC y que impactan en la seguridad de la información.

 Apoyo Directivo: Corresponde a la presentación del resultado de las etapas

anteriores con el fin de conseguir el apoyo para concretar la
implementación de la seguridad de la información (presupuestos, personal,
capacitación, etc.)

 OSI: La organización debe designar a un OSI para que realice, apoye, dirija
y pueda llevar el control de implementación y posterior seguimiento a todo
el modelo de seguridad de la información. Además el OSI estará presente
en todas las actividades y con énfasis en la fase de aplicación en la cual
participa en forma activa en todas las actividades que se indican de aquí en
adelante.

 Confección PSI: Corresponde al diseño de las Políticas de Seguridad de la

Información de la organización.

 Confección de procedimientos, instructivos y registros: Corresponde al

desarrollo de documentos que formalicen como se deben realizar las
actividades y que información es la que se debe retener como evidencia
para dar conformidad a las PSI.
 Controles TIC: En esta etapa se diseñan y definen los procesos, objetivos
de control, controles y evidencias formales de las actividades de seguridad
que darán sustento a los procesos de revisiones o auditorias del modelo.

 Evaluación y auditoria: En esta etapa se debe realizar, preparar y

desarrollar la revisión que avale que todos los procesos de TI se están
cumpliendo y llevando a cabo adecuadamente, lo cual será evaluado por el
mismo proceso de auditoria (interna y/o externa). oEvidencia: En esta etapa
 se busca verificar de manera adecuada que todos los registros de TI para
todos sus procesos y controles estén disponibles para cualquier tipo de
revisión, particularmente a los procesos de auditoria.

 Informes: Esta etapa contempla la confección de informes del proceso de

revisión que derivarán en actividades de mejora al modelo y con revisiones
por parte de la dirección de la organización que permitan confeccionar
adecuados planes de acción.

 Planes de Acción: Esta etapa consiste en la aplicación de los planes de

acción conforme a los plazos y actividades que fueron indicados en el
proceso de auditoría. Estos planes de acción pueden conformar la revisión
y ajustes de todo tipo de actividades ya sea a nivel de procesos de
seguridad, de evidencias, de políticas o de cualquier otra actividad que sea
identificada.

 Sensibilización: Esta etapa (incluida en ambas fases del modelo) permite

entregar constante información (alertas) a la organización sobre la
importancia de mantener la seguridad de la información y el resguardo de
todas las actividades de TI. Recibe un apoyo directo de la dirección de la
organización.

Este modelo se apoya en el análisis de los estándares y normas de

la seguridad de la información presentados, junto a los alcances y formas de
implementación, más el rol del OSI y la implementación de controles.

Su principal aporte es ser un facilitador en la implementación y/o

aplicación de la seguridad de la información para TIC en cualquier tipo de
organización.
 La estructura que presenta el modelo se basa sobre la
implementación práctica y concreta relacionada con las actividades que
permitan dar seguridad a la organización, la cual, en base a sus propias
necesidades, lineamientos y perspectivas de negocio, busca mantener su
información asegurada.

Otro aspecto importante que aporta este modelo, es que, por su

presentación simple puede ser correlacionada sin mayor dificultad con las
actividades que realiza cualquier tipo de organización, de manera que ella logre
asegurar la información en conformidad a la realidad de TIC que disponga.
 S. Miranda, A. Ibarra y L. M. Astorga. “Empresas minimizan peligro
informático”. Diario El Mercurio, Chile.

Borghello, C. “Seguridad Informática: sus implicancias e

implementación”. Tesis de Licenciatura en Sistemas, Universidad Tecnológica
Nacional, Argentina, 2001.