Medición del desempeño métrica para el gobierno de TI 

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA,
PMP 
Empresas que quieren monitorear efectivamente las actividades de TI para estar alineados con las
metas del negocio utilizan KPIs o de métricas clave de medición
Hoy día, el uso de TI y tecnologías relacionadas por las empresas requiere de grandes inversiones
de TI. Por lo tanto, las partes interesadas (stakeholders) están interesadas en confirmar que las
inversiones de TI estén alineados estratégicamente, administrados efectivamente y ayudan en
lograr las metas de negocio comunes. Para asegurar que las expectativas de las partes
interesadas se cumplan, la gerencia utiliza prácticas de Gobierno TI que están definidas por el
estándar global por la Organización Internacional de normalización (ISO) ISO38500 y COBIT 5.

Gobierno de TI y métricas
El mecanismo de gobierno TI asegura que las necesidades, condiciones y opciones de las artes
interesadas son evaluadas para determinar objetivos balanceados y acordados con la empresa. 
Las métricas ayudan a las empresas responder preguntas valiosas como ser: 5

 ¿Es el rendimiento de TI mejor que el del año pasado?

 ¿Qué es lo que la empresa está obteniendo de la inversión de TI?
 ¿Cómo puede la empresa efectuar un punto de referencia (benchmark) del rendimiento?
 ¿Que debiese hacer la empresa en la ausencia de métricas medibles? ¿Puede usar
gestión de riesgos, expectativas de perdidas, vectores de ataques o correlación?

Desarrollando métricas de rendimiento

 Estableciendo procesos críticos para cumplir con los requisitos de los clientes
 Identificación de los resultados específicos y cuantificables de trabajo a partir de los
procesos identificados en el paso 1.
 El establecimiento de objetivos contra los cuales los resultados se pueden calificar

Métricas basadas en terminación pueden incluir:

 Cambios en el Inventario de la empresa de la exposición al riesgo (utilizar el reporte del

perfil de riesgo)
 Comparando metas definidas de crecimiento del negocio con la inversión en TI y
estableciendo una relación

Métricas basadas en medios pueden incluir:

 Numero de vulnerabilidades de aplicaciones sobre un año

 Porcentaje de cajeros automáticos (ATM) del tiempo de inactividad durante horas activas
(debe ser menor a dos por ciento de horas activas)
 Porcentaje de incidentes que son resueltos dentro del tiempo de SLAs (incluyendo
incidentes escalados)

Las siguientes recomendaciones debiesen ser observadas mientras se desarrollan las métricas y
se identifican los indicadores de rendimiento.8

 Normalizar las Métricas a un parámetro de atributo común

 Entender las características de una buena métrica
 Evite comparativos contra otras empresas similares
 Reducir al mínimo las comparaciones relacionadas a costos
  Enfocarse en las actividades de trabajo y resultados
 Mantener las métricas en cantidades manejables

Tipos de indicadores y métricas

Métricas de tecnología
Las métricas de tecnología miden aspectos específicos de la infraestructura de TI y equipos

Métricas de procesos
Las métricas de procesos miden aspectos específicos de un proceso

Métricas de servicios
El enfoque primario de ITIL es en proveer servicio

COBIT 5
siete facilitadores que ayuden a lograr los objetivos de gobierno:

 Principios, políticas y marcos

 Procesos
 Estructuras organizacionales
 Cultura, ética y comportamiento
 Información (datos)
 Servicios, infraestructura y aplicaciones
 Personas, capacidades y competencias

COBIT 5 identifica dos tipos de indicadores:

 Indicadores de avance son actividades que predicen el logro de metas. Estos indicadores
no son medibles, ej., implementar mejores prácticas globales o de la industria o seguir el
enfoque del ciclo de vida para los recursos (habilitadores).
 Indicadores de retraso son medibles y ayudan a medir el logro de las metas. La mayoría de
las métricas son definidas para los indicadores de retraso

dimensiones de un cuadro de mando integral (BSC). Estas dimensiones son financieras, clientes,
internas, y aprendizaje y crecimiento.
 ISO 27001: El Cuadro de Mando de la Seguridad en TI
Una de las principales aportaciones más importantes del Sistema de Gestión de Seguridad
de la Información junto a Balanced Scorecard es que ofrece la perspectiva del conjunto de
aspectos más importantes de la organización. Todos los directivos responsables que pueden
generar información sobre los diferentes indicadores de la organización son utilizados para
fundamentar las decisiones.

Se propone una estructura y una serie de indicadores que miden la tecnología de la

información. La describimos a continuación:

 Indicadores clave del desempeño (KPI): 

 Indicadores clave de logros (KGI): 

Factores críticos de éxito (FCE): 

KPIs IT Security Management
Key Performance Indicator
Definition
(KPI)

 Number of preventive security measures which

Number of implemented
were implemented in response to identified
Preventive Measures
security threats

 Duration from the identification of a security

Implementation Duration threat to the implementation of a suitable counter
measure

Number of major Security  Number of identified security incidents, classified

Incidents by severity category

Number of Security-related  Number of security incidents causing service

Service Downtimes interruption or reduced availability

Number of Security Tests  Number of security tests and trainings carried out

Number of identified
 Number of identified shortcomings in security
Shortcomings during Security
mechanisms which were identified during tests
Tests

KPIs Capacity Management

Key Performance Indicator
Definition
(KPI)

Incidents due to Capacity  Number of incidents occurring because of

Shortages insufficient service or component capacity

Exactness of Capacity  Deviation of the predicted capacity development

Forecast from actual course

 Number of adjustments to service and component

Capacity Adjustments
capacities due to changing demand

Unplanned Capacity  Number of unplanned increases to service or

Adjustments component capacity as result of capacity
 bottlenecks

Resolution Time of Capacity  Resolution time for identified capacity

Shortage bottlenecks

 Percentage of capacity reserves at times of

Capacity Reserves
normal and maximum demand

Percentage of Capacity  Percentage of services and infrastructure

Monitoring components under capacity monitoring

KPIs Incident Management

Key Performance Indicator (KPI) Definition -VE Number of Repeated Incidents Number of
repeated Incidents, with known resolution methods +VE Remotely Resolved Incidents
Number of incidents resolved remotely by the Service Desk -VE Number of Escalations
Number of escalations for incidents not resolved in the agreed resolution time -VE Number
of Incidents Number of incidents registered by the Service Desk per category -VE Incident
Resolution Time Average time for resolving an incident per category -VE First Time
Resolution Rate Percentage of incidents resolved at the Service Desk during the first call
per category +VE Resolution within SLA Rate of incidents resolved during solution times
agreed in SLA per category -VE Incident Resolution Effort Average work effort for
resolving incidents per category

KPIs Service Desk and Incident

Management
Key Performance Indicator
Definition
(KPI)

 Number of repeated Incidents, with known

Number of repeated Incidents
resolution methods

 Number of Incidents resolved remotely by the

Service Desk
Incidents resolved Remotely
 ([Link] carrying out work at user's
location)

 Number of escalations for Incidents not resolved

Number of Escalations
in the agreed resolution time
  Number of incidents registered by the Service
Number of Incidents Desk
 grouped into categories

 Average time taken between the time a user

Average Initial Response
reports an Incident and the time that the Service
Time
Desk responds to that Incident

 Average time for resolving an incident

Incident Resolution Time
 grouped into categories

 Percentage of Incidents resolved at the Service

First Time Resolution Rate Desk during the first call
 grouped into categories

 Rate of incidents resolved during solution times

Resolution within SLA agreed in SLA
 grouped into categories

 Average work effort for resolving Incidents

Incident Resolution Effort
 grouped into categories
Cinco tendencias de transformación digital para
2019