Asociación Profesional del Cuerpo Superior

de Sistemas y Tecnologías de la Información

de la Administración del Estado

Temas Específicos para la preparación de la Oposición al Cuerpo Superior

de Sistemas y Tecnologías de la Información de la Administración del
Estado.

TEMAS ESPECÍFICOS III: Ingeniería de los Sistemas de Información

Tema 105. Planificación y control de las TIC: Gestión de servicios e

infraestructuras TIC, gestión de valor de las TIC. Acuerdos de Nivel de
Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT
Infrastructure Library), y CoBIT (Control Objetives for Information and
Related Technology), objetivos de control y métricas

AUTOR: Carlos Corral Mata

Actualizado 2014
Índice
01. Introducción............................................................................................................................. 3
02. ITIL ............................................................................................................................................ 5
02.01. Conceptos básicos generales .............................................................................................................. 5
02.02. El ciclo de vida del servicio .................................................................................................................. 7
02.03. Estrategia de Servicio .......................................................................................................................... 9
02.03.01. Conceptos básicos 10
02.03.02. Actividades 11
02.03.03. Procesos 12
02.04. Diseño de Servicio .............................................................................................................................13
02.04.01. Conceptos básicos 14
02.04.02. Actividades 15
02.04.03. Procesos 16
02.05. Transición de Servicio ........................................................................................................................18
02.05.01. Conceptos básicos 18
02.05.02. Actividades 19
02.05.03. Procesos 20
02.06. Operación de Servicio ........................................................................................................................24
02.06.01. Conceptos básicos 24
02.06.02. Procesos y Actividades 24
02.06.03. Funciones 26
02.07. Mejora continua ..................................................................................................................................27
02.07.01. Conceptos básicos 27
02.07.02. Procesos y Actividades 28
03. CobiT .......................................................................................................................................30
03.01. Principio 1. Satisfacer las Necesidades de las Partes Interesadas ...................................................33
03.02. Principio 2. Cubrir empresa Extremo a Extremo ................................................................................36
03.03. Principio 3: Aplicar un Marco de Referencia Único Integrado ...........................................................37
03.04. Principio 4: Hacer Posible un Enfoque Holístico ................................................................................37
03.05. Principio 5: Separar el Gobierno de la Gestión ..................................................................................40
03.05.01. Modelos de capacidad de procesos 43
03.06. Guía de Implantación .........................................................................................................................45
03.06.01. Considerando en entorno empresarial 47
03.06.02. Creando en el entorno apropiado 48
03.06.03. Reconociendo puntos débiles y sus eventos desencadenantes 48
03.06.04. Facilitando el cambio 49
03.06.05. Realizar un caso de negocio 49
Bibliografía ...................................................................................................................................51

2
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
01. Introducción
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la
información y de la Tecnología de Información (TI), siendo estos sus más valiosos activos, aunque con
frecuencia son poco entendidos.
Las empresas exitosas reconocen los beneficios de la TI y la utilizan para impulsar el valor de sus grupos de
interés. Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en
requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.
La creciente importancia de la información para las empresas hace que estas sometan la calidad de sus
servicios de información a requisitos internos y externos más estrictos. Es necesario, por tanto, planificar y
decidir la inversión razonable en seguridad y control en TI y lograr un balance entre riesgos e inversiones en
control en un ambiente de TI, frecuentemente impredecible.
Los estándares desempeñan un rol cada vez más importante, mientras que los Marcos de Referencia de
(1)
“Buenas Prácticas” contribuyen al desarrollo de un sistema de gestión que satisfaga los requisitos
exigidos. La alta dirección de la organización necesita un Marco de Referencia de prácticas de seguridad y
control de TI, generalmente aceptadas, para medir comparativamente su ambiente de TI, tanto el existente
como para fijar el deseable.
Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente
útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. Para ser más
efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su
utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores y
directores de TI, deberían trabajar en armonía para estar seguros de que las mejores prácticas conduzcan a
servicios de TI económicos y bien controlados.
Las mejores prácticas de TI posibilitan y soportan:
 Una mejor gestión de TI, lo que es crítico para el éxito de la estrategia de la empresa.
 Un gobierno eficaz de las actividades de TI.
 Un marco de referencia eficaz para la gestión de políticas, controles internos y prácticas definidas,
lo que es necesario para que todos sepan lo que hay que hacer.
 Muchos otros beneficios, incluyendo ganancia de eficiencias, menor dependencia de expertos,
menos errores, mejora de la confianza de los socios de negocios y de reguladores.
Actualmente existen varios Marcos de Referencia de “Buenas Prácticas”, y entre ellos se puede considerar
que ITIL (IT Infrastructure Library) y CoBIT (Control OBjectives for Information and related Technology) son
los que más éxito tienen y han tenido.
El gobierno británico reconoció muy pronto la importancia de las mejores prácticas de TI, y por muchos años
las desarrolló para guiar el uso de TI en las dependencias de sus organismos oficiales. Estas prácticas se
han convertido en estándares de facto alrededor del mundo en sectores públicos y privados. ITIL fue
desarrollado hace más de 15 años para documentar las mejores prácticas para la gestión de servicios de TI,
a través del aporte de expertos, consultores y profesionales de la industria
(2)
A inicios de la década de los 90, ISACA reconoció que los auditores, quienes tenían sus propias listas de
verificación (checklists) para evaluar la efectividad de los controles de TI, hablaban en un lenguaje diferente
a los profesionales de TI. Como respuesta a esta brecha en la comunicación, se creó CoBIT como un marco
de referencia de control de TI para la gerencia funcional, la gerencia de TI y para auditores. Se basa en un
grupo genérico de procesos de TI significativo para los especialistas en TI y, con el tiempo, para la gerencia.
Las mejores prácticas en CobiT representan un enfoque común para un buen control de TI, al ser
implementado por gerentes funcionales y de TI, y a ser evaluadas sobre la misma base por los auditores.
Ambos enfocan el tema desde punto de vista diferentes. Así CoBIT no incluye tareas y pasos de procesos
porque, aunque está orientado a procesos de TI, es un marco de referencia para gestión y control antes que
un marco de referencia para procesos. CobiT se centra en lo que una empresa necesita hacer, no cómo lo
tiene que hacer, y la audiencia objetivo es la alta dirección, los gerentes funcionales, los gerentes de TI y los
auditores.

(1)
Entendidas estas, como aquellas que se acuerdan por el consenso de los expertos.
(2)
Information Systems Audit and Control Association
3
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Por su parte ITIL está basado en la definición de procesos de mejores prácticas para la gestión y el soporte
de servicios de TI, antes que en la definición de un marco de control de amplio alcance. Se centra en el
método y define un grupo más compacto de procesos. También existe material adicional que proporciona un
contexto estratégico y de negocios para la toma de decisiones de TI.
Ambos serán desarrollados con más detalle en los siguientes apartados.
La implementación de las mejores prácticas debería ser consistente con el marco de control y la gestión de
riesgos de la empresa, apropiada para la empresa e integrada con otras metodologías y prácticas que estén
siendo utilizadas.
Debido a su naturaleza técnica, los estándares y las mejores prácticas de TI normalmente son conocidas
por los expertos (profesionales, gerentes y asesores de TI), quienes pueden adoptarlos y utilizarlos con la
mejor intención; sin embargo, potencialmente no tienen un enfoque de negocio o no cuentan con la
participación y la ayuda del cliente.
Para obtener el máximo valor de las mejores prácticas para el negocio, se necesita involucrar a los clientes
de los servicios de TI, dado que el uso eficaz de TI debería ser una experiencia colaborativa entre el cliente
y los proveedores del servicio (internos y externos), donde el cliente fija los requerimientos. Otros grupos
interesados, tales como el directorio, la alta dirección, los auditores y los reguladores también tienen un gran
interés, ya sea en recibir o proporcionar la seguridad de que las inversiones en TI están debidamente
protegidas y entregan valor.
La adopción eficaz de las mejores prácticas ayudará a obtener valor de las inversiones de TI y los servicios
de TI:
 Mejorando la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI.
 Mejorando la viabilidad, previsibilidad y repetitividad de resultados de negocio exitosos.
 Ganando la confianza y el creciente involucramiento de usuarios y patrocinadores del negocio.
 Reduciendo riesgos, incidentes y fallas en los proyectos.
 Mejorando la habilidad del negocio para gestionar y supervisar la realización de beneficios de TI.

4
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
02. ITIL
En la década de los 80 el servicio prestado a los departamentos del gobierno británico por empresa de TI,
internas y externas, era de tal calidad que el CCTA (Central Computer and Telecommunications Agency,
Agencia Central de Comunicaciones), actualmente el OGC (Office of Government Commerce, Ministerio de
Comercio) recibió el encargo de desarrollar una metodología estándar para garantizar una entrega eficaz y
eficiente de los servicios TI.
El resultado fue el desarrollo y publicación de ITIL (IT Infrastructure Library, Biblioteca de la Infraestructura
de Tecnología de Información), como un conjunto de libros, cada uno de los cuales cubría una parte
específica de la Gestión de Servicios TI.
A lo largo de estos años, se han publicado varias versiones y su mantenimiento es un trabajo conjunto del
(3)
OGC y el itSMF (IT Service Management Forum, Foro para la Gestión de los Servicios TI) :
 ITIL v1 (años 80’s): creció de una forma algo descontrolada, hasta casi 40 libros, que
documentaban una aproximación a la gestión de servicios TI.
 ITIL v2 (año 1990-2004) supuso una consolidación en conjuntos lógicos. Esta versión fue una pieza
clave para la divulgación de las ideas de ITIL y la Gestión de Servicios TI. Estaba basada en el
contenido de tres libros:
o Soporte de Servicio.
o Provisión de Servicio.
o Gestión de la Seguridad.
 En la última versión publicada, ITIL v3 (año 2007), el desarrollo más significativo ha sido el paso de
un marco de trabajo basado en procesos a una estructura integral que refleje el ciclo de vida de los
servicios de TI. Mientras que en la v2 se orientaba a prácticas sencillas, agrupadas en Provisión,
Soporte y Seguridad; en la v3 se tiene en cuenta el ciclo de vida completo del servicio.
En este nuevo contexto, los procesos clave se han actualizado, pero más significativo aún, ITIL
ahora describe las funciones de gestión, las actividades y la estructura organizativa de los servicios
de TI, además de los aspectos de aprovisionamiento y de estrategia, así como la integración con el
negocio.
En el año 2011 se produjo una revisión de esta versión añadiendo nuevos procesos en cada una de
las fases del ciclo de vida.

02.01. Conceptos básicos generales

Antes de describir del ciclo de vida de un Servicio, es necesario definir algunos conceptos básicos.
 Buena Práctica: enfoque o método que ha demostrado su validez en la práctica.
 Servicio: es un medio para entregar valor a los clientes, facilitando los resultados que los clientes
quieren conseguir, sin asumir costes o riesgos asociados.
 Valor: es el aspecto esencial del concepto servicio. Desde el punto del cliente, el valor consta de
dos componentes básicos: funcionalidad y garantía
o Funcionalidad (propósito): lo que el cliente recibe
o Garantía (uso): cómo se proporciona lo que el que cliente recibe.
 Gestión de Servicio: es un conjunto de capacidades organizativas especializadas, cuyo fin es
generar valor para los clientes en forma de servicios. Los principios básicos para la gestión de
servicios se resumen en:
o Especialización y coordinación: los clientes deben especializarse en la gestión de su
negocio y los proveedores en la gestión del servicio. El proveedor se responsabiliza de
garantizar la coordinación de los recursos en nombre del cliente, lo que permite que éste se
concentre en las actividades de su empresa.

(3)
Este foro, creado en el Reino Unido en 1991, es una organización global, independiente, reconocida
internacionalmente y sin ánimo de lucro, que se dedica a la Gestión, Estándares y calificación de los servicios TI.
5
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o El principio de Agencia: los agentes (consultores, asesores o proveedores de servicio)
actúan como intermediarios entre el cliente o usuario y el proveedor de servicios y son los
responsables de la correcta prestación de dichos servicios. Deben actuar siguiendo las
indicaciones del cliente y protegiendo los intereses del cliente, los usuarios y los suyos
propios. Los agentes pueden ser empleados del proveedor de servicios o incluso interfaces
de interacción con el usuario en sistema gestionados automáticamente
o Encapsulación: los clientes y usuarios solo están interesados en la utilidad y garantía del
servicio y no en los detalles precisos para su correcta prestación. La encapsulación se
consigue a través de la:
 Separación de conceptos complejos: permite dividir en diferentes partes el servicio
que pueden ser tratadas independientemente.
 Modularidad: permite agrupar funcionalidades similares en forma de módulos
autocontenidos.
 Acoplamiento flexible entre recursos y usuarios: mediante, por ejemplo, sistemas
redundantes, que evita que cambios o alteraciones en los recursos afecten
negativamente a la experiencia de usuario
 Sistema: es un grupo de componentes interrelacionados e interdependientes que forman un
conjunto unificado y que funcionan juntos para conseguir un objetivo común.
La retroalimentación y el aprendizaje son dos aspectos clave en el funcionamiento de un sistema,
ya que convierten procesos, funciones y organizaciones en sistemas dinámicos.
 Función: es una subdivisión de una organización que está especializada en realizar un tipo de
trabajo concreto y tiene la responsabilidad de obtener resultados concretos. Para ello cuentan con
los recursos y capacidades necesarias. Tienen, también, sus propias prácticas y su propio cuerpo
de conocimientos.
 Proceso: es un conjunto estructurado de actividades diseñado para cumplir uno objetivo concreto.
Da como resultado un cambio orientado hacia un objetivo y utilizan la retroalimentación para
efectuar acciones de automejora y autocorrección. También presenta las siguientes características:
o Es medible, ya que está orientado a resultados.
o Tiene resultado concreto.
o Ofrece resultados a clientes o parte implicadas.
o Se inicia como respuesta a un evento específico.
 Rol: es un conjunto de actividades y responsabilidades asignadas a una persona o un grupo. Una
persona o grupo puede desempeñar simultáneamente más de un rol. Hay cuatro roles genéricos
que juegan un papel especialmente importante en la gestión de servicios TI:
o Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de
vida: desarrollo, implementación, mantenimiento, monitorización y evaluación.
o Propietario del Servicio: es el último responsable cara al cliente y a la organización TI de la
prestación de un servicio específico.
o Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un
proceso en particular: planificación, organización, monitorización y generación de informes.
o Propietario del Proceso: es el último responsable frente a la organización TI de que el
proceso cumple sus objetivos. Debe estar involucrado en su fase de diseño,
implementación y cambio asegurando en todo momento que se dispone de las métricas
necesarias para su correcta monitorización, evaluación y eventual mejora.
 Modelo RACI: proporciona un método para hacer seguimiento de quién hace qué en cada proceso,
ayudando a tomar decisiones de forma más rápida. RACI es el acrónimo de Responsable –
Aprobador – Consultado – Informado.

6
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
02.02. El ciclo de vida del servicio
La v3 de ITIL enfoca la gestión de servicios a partir de ciclo de vida de un servicio, que se define como un
modelo de organización que ofrece información sobre:
 La forma en que está estructurada la gestión del servicio.
 La forma en que los distintos componentes del ciclo de vida están relacionados entre sí.
 El efecto que los cambios en un componente tendrán sobre otros componentes y sobre todo el
sistema de ciclo de vida.
Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su diseño hasta
su eventual abandono, sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la
eficiente prestación del mismo.
El ciclo de vida del Servicio consta de cinco fases que se corresponden con los nuevos libros de ITIL:
 Estrategia del Servicio (SS, Service Strategy): propone tratar la gestión de servicios no sólo como
una capacidad sino como un activo estratégico.
 Diseño del Servicio (SD, Service Design): cubre los principios y métodos necesarios para
transformar los objetivos estratégicos en portafolios de servicios y activos.
 Transición del Servicio (ST, Service Transition): cubre el proceso de transición para la
implementación de nuevos servicios o su mejora.
 Operación del Servicio (SO, Service Operation): cubre las mejores prácticas para la gestión del
día a día en la operación del servicio.
 Mejora Continua del Servicio (CSI, Continual Service Improvement): proporciona una guía para la
creación y mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición y
operación del servicio optimizado.
También hay un volumen introductorio que describe la justificación del modelo de ciclo de vida y abarca los
principios fundamentales en cada etapa del ciclo de vida.
En la figura adjunta se puede ver la relación entre estas fases.
La fase de Estrategia del Servicio (que es donde se definen las políticas y objetivos), es el eje en torno al
cual giran todas las demás fases del ciclo de vida del Servicio. Las fases de Diseño, Transición y Operación
ponen en práctica las estrategias a través de ajustes y cambios. Por último, en la fase de Mejora Continua
abarca todas las fases, iniciando programas de mejora con prioridades en funciones de los objetivos de la
organización

En la tabla adjunta se pueden ver los procesos definidos para cada una de estas fases:

7
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Servicio
Mejora
Estrategia Diseño Transición Operación
continua

Gestión Financiera Gestión Catálogo Planificación y soporte Gestión Eventos Mejora

Gestión Cartera Gestión Niveles Servicio Gestión de Cambios Gestión Incidencias Informes
Gestión Demanda Gestión de Capacidad Gestión de Configuración Gestión Peticiones
Gestión
Relaciones de Gestión de Disponibilidad Gestión de Entregas Gestión Problemas
(4)
Negocio
Gestión
Estratégica de Gestión de Continuidad Validación y pruebas Gestión Accesos
(4)
servicios TI
(5)
Gestión de Seguridad TI Evaluación del cambio
Gestión Suministradores Gestión de Conocimiento
4)
Coordinación Diseño (

Con respecto a la v2, ITIL v3 introduce (con la revisión de 2011) las siguientes nuevas definiciones de
procesos:
 Estrategia de Servicio:
o Gestión de Cartera: este nuevo proceso es el encargado de la definición de la cartera o
Portfolio de Servicios, incluyendo el Catálogo de Servicios prestados, los servicios retirados
y los servicios en preparación.
o Gestión de Relaciones de Negocio: se hace referencia a los distintos tipos de proveedores.
o Gestión de la Estrategia: se diferencia entre la estrategia de Negocio y la estrategia TI.
 Diseño del Servicio:
o Gestión del Catálogo de Servicios: anteriormente un proceso de la Gestión de Niveles de
Servicio, es un nuevo proceso en ITIL v3 responsable del diseño de un Catálogo de
Servicios enfocado a las necesidades de los clientes.
o Gestión de los Proveedores: su principal objetivo es obtener de los proveedores un alto
nivel de calidad en su servicio a un precio asequible y adecuado al mercado. En ITIL® v2
formaba parte de la Gestión de Niveles de Servicio de los proveedores.
o Gestión de la Seguridad TI: en ITIL v2 se trataba por separado en un libro específico al
respecto.
o Coordinación de Diseño: se incluye en revisión del año 2011 de ITIL v3.
 Transición del Servicio
o Gestión de la Configuración y Activos del Servicio: amplía la Gestión de la Configuración de
ITIL v2 para incorporar activos no TI.
o Validación y pruebas del Servicio: este proceso se desgaja, en ITIL v3, de la Gestión de
Versiones o Gestión del despliegue del Servicio para asegurar que se realizan todas las
pruebas para validar el servicio como “adecuado en uso y propósito”.
o Evaluación: exclusivo de ITIL v3, este proceso genérico se ocupa de verificar la relación
calidad/precio, el rendimiento y otros parámetros de interés asociados al servicio.
o Gestión del Conocimiento: este proceso se hallaba subdividido en varios procesos en ITIL
v2, como, por ejemplo, mediante la base de datos de errores conocidos en la Gestión de
Problemas. En ITIL v3 se ha convertido en un proceso independiente.
 Operación del Servicio

(4)
Incluidos en la revisión publicada en el año 2011
(5)
Cambio de nombre en la revisión publicada en el año 2011
8
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Gestión de Eventos: nuevo en ITIL v3, es el encargado de monitorizar el rendimiento de la
infraestructura TI para la prevención de errores o interrupciones en el servicio.
o Gestión de Peticiones: se desgaja, en ITIL v3, de la Gestión de Incidencias, encargándose
de gestionar las peticiones de cambio solicitadas por los clientes.
o Gestión de Accesos: es un nuevo proceso en ITIL v3. En ITIL v2 formaba parte de la
Gestión de la Seguridad y se encarga de gestionar los permisos de acceso a los diferentes
usuarios de un servicio.
 Mejora Continua del Servicio
En ITIL v2, sus actividades estaban subsumidas por la Gestión de Niveles de Servicio, ahora en la
nueva versión se tiene:
o Proceso de Mejora: establece los protocolos de monitorización, seguimiento y generación
de informes y es, en particular, la responsable de generar los Planes de Mejora del Servicio
(SIP).
o Informes de servicio: genera los informes sobre rendimiento, resultado y calidad de los
servicios ofrecidos.

02.03. Estrategia de Servicio

El objetivo de la Estrategia de Servicio es identificar la competencia y competir con ella diferenciándose y
ofreciendo mejor rendimiento. Para conseguir este objetivo es imprescindible determinar en primera
instancia qué servicios deben ser prestados y por qué han de ser prestados desde la perspectiva del cliente
y el mercado.
Una correcta Estrategia del Servicio debe:
 Servir de guía a la hora de establecer y priorizar objetivos y oportunidades.
 Conocer el mercado y los servicios de la competencia.
 Armonizar la oferta con la demanda de servicios.
 Proponer servicios diferenciados que aporten valor añadido al cliente.
 Gestionar los recursos y capacidades necesarios para prestar los servicios ofrecidos teniendo en
cuenta los costes y riesgos asociados.
 Alinear los servicios ofrecidos con la estrategia de negocio.
 Elaborar planes que permitan un crecimiento sostenible.
 Crear casos de negocio para justificar inversiones estratégicas.
Cualquier estrategia debería estar definida apoyándose en los siguientes conceptos (conocidos como las
(6)
cuatro “P”) :
 Perspectiva: define las convicciones, los valores y los objetivos por los que se rige toda
organización. Determina la dirección tomada por el proveedor de servicios alcanzar sus objetivos.
 Posición: define las características propias del proveedor de servicios desde el punto de vista del
cliente y que le permite diferenciarse de otros proveedores.
 Plan: define el conjunto de acciones que una organización utiliza para enfrentarse a un cambio.
 Patrón: define los procedimientos de la organización.
La estrategia se implementa mediante el uso de activos estratégicos y debería responder a siguientes
preguntas:
 ¿Qué tipos de servicios ofrecer y a quién?
 ¿Cómo diferenciares de la competencia?
 ¿Cómo justificar las inversiones estratégicas?

(6)
Definidas por Henry Mintzberg
9
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  ¿Cómo crear valor para las partes interesadas?
 ¿Cómo asignar recursos de forma eficaz en una cartera de servicios?
 ¿Cómo utilizar la gestión financiera para controlar la creación de valor?
En esta fase de Estrategia de Servicio, la misión es desarrollar la capacidad necesaria para:
 Definir objetivos estratégicos.
 Determinar oportunidades de crecimiento.
 Definir prioridades de inversión.
 Definir resultados y aprender de ellos.
 Crear activos estratégicos.
 Identificar a la competencia.
 Superar a la competencia ofreciendo un producto diferenciado.
 Desarrollar planes que garanticen el predominio sobre la competencia del futuro.

02.03.01. Conceptos básicos

 Valor
Las organizaciones deben determinar cómo generar valor para sí mismas y para el cliente. El valor no
solo se aprecia en los resultados del cliente, sino que depende en gran medida de la percepción que
tenga. Esto es consecuencia de la diferencia que se produce entre valor económico y percepción
económica (dependiendo esta de la imagen, los atributos de valor y la experiencia personal del cliente).
Como se mencionó anteriormente, el valor del servicio es una combinación de Funcionalidad y
Garantía. La creación de valor es un proceso tan complejo que no se puede explicar con modelos de
servicio tradicionales. Para ello, en lugar de concentrarse en una cronología fija de actividades en
cadena, se debe orientar hacia el propio sistema de creación de valor mediante una Red de valor que
es un sistema de relaciones que generan valor tangible mediante intercambios complejos y dinámicos
entre dos o más organizaciones.
 Recursos y Capacidades
Los recursos y capacidades son tipos de activos que las organizaciones utilizan para crear valor en
forma de bienes y servicios. No es posible que las capacidades generen valor si no disponen de los
recursos adecuados.
 Recursos: forman la entrada directa para la puesta en producción y se convierten en valor a
través de la gestión, la organización, el personal y el conocimiento. Suelen estar basados en
experiencias y están relacionados con personas, sistemas, procesos y tecnologías de una
organización. La adquisición de recursos resulta relativamente sencilla en comparación con la
adquisición de capacidades.
 Capacidades: representan la habilidad de una organización para coordinar, gestionar y aplicar
recursos para producir valor. Se desarrollan a lo largo de los años y se adquieren a partir de las
experiencias con distintos tipos de clientes, mercados, contratos y servicios. También es posible
adquirirlas invirtiendo en educación y formación en los activos estratégicos
 Tipos de Proveedores de servicios
Es necesario distinguir entre los distintos tipos de Proveedores de Servicio. Aunque los aspectos
generales de la gestión del servicio son comunes a todos ellos, existen obvias diferencias en los
aspectos organizativos en cada caso.
ITIL v3 considera tres tipos diferentes de proveedores de servicios:
 Tipo I - Proveedor de servicios interno: esta opción sólo es recomendable cuando los
servicios prestados forman parte esencial en el posicionamiento estratégico de la organización.
Las ventajas de esta opción se resumen en:
o Mayor control sobre los servicios prestados.

10
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Mayores niveles de personalización.
o Comunicación directa.
En cuanto, a las desventajas cabe destacar:
o Los recursos pueden no estar optimizados.
o Dificultad a la hora de incrementar las capacidades.
o Organizaciones más endogámicas y menos flexibles.
o Concentración de costes y riesgos.
 Tipo II - Unidad de servicios compartidos: este tipo de proveedor presta servicio a diferentes
unidades de negocio que operan bajo un paraguas común.
Las ventajas de esta opción se resumen en:
o Se comparten costes y riesgos entre diferentes unidades.
o Posicionamiento más competitivo frente a proveedores externos.
o Estandarización de procesos.
o Mayores opciones de crecimiento
En cuanto, a las desventajas cabe destacar:
o Asumir actividades que no aportan ventajas competitivas a la organización.
o Posibles conflictos de intereses entre diferentes unidades de negocio.
 Tipo III - Proveedores de servicio externos: estos proveedores ofrecen sus servicios en el
mercado a diferentes clientes que frecuentemente serán competidores entre sí.
Las ventajas se resumen en
o Mayor flexibilidad y oferta.
o Se minimizan los riesgos pues estos son compartidos entre una amplia red de clientes.
o Procedimientos estandarizados.
Entre las desventajas se cuentan:
o Altos niveles de personalización de los servicios pueden resultar costosos.
o El cliente puede caer cautivo de un proveedor externo.

02.03.02. Actividades

Las cuatro actividades principales de la Estrategia de Servicio son:

 Definición del mercado.
 Desarrollo de ofertas
 Desarrollo de los activos estratégicos.
 Preparación para la implementación
A continuación se detalla cada una de ellas.
 Definición del mercado
Define la estrategia desde dos puntos de vista y relacionados entre sí: la estrategia para los
servicios y servicios para la estrategia. Para ello se deberían tener en cuenta los siguientes
aspectos:
a. Entendimiento del cliente: el proveedor de servicios debe comprender el rendimiento de los
activos del cliente para ofrecerle lo que verdaderamente necesita.
b. Entendimiento de oportunidades: el proveedor de servicios debe comprender los objetivos
del cliente que no cuentan con el respaldo necesario y a partir de ellos encontrar las
oportunidades para desarrollar servicios.
11
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 c. Clasificación y visualización de servicios: los servicios se diferencian por la forma (modelo
de negocio del cliente) y el contexto (activos del cliente) en el que crean valor.
 Desarrollo de ofertas
Se base en el conjunto de oportunidades que el mercado ofrece al proveedor de servicios de TI
para que pueda satisfacer las necesidades del negocio de los clientes (Market Space). Surge el
concepto de Cartera de Servicios (Portfolio) que representa las oportunidades y disposición de un
proveedor de servicios para prestar servicio a los clientes y mercado; y está compuesto por:
a. Catálogo de servicios: es la capacidad operativa del proveedor de servicios en el contexto
del cliente o del mercado.
b. Flujo de creación de servicios: incluye servicios que todavía están en fase de desarrollo
para un cliente o para el mercado
c. Servicios retirados y servicios de terceros: conjunto de servicios que ya no se prestan. Esto
forma parte de la fase Transición de Servicio asegurando que se cumplen los acuerdos con
los clientes y que los servicios ya no están sujetos a obligaciones contractuales.
 Desarrollo de los activos estratégicos
El proveedor de servicios debe considerar el servicio como un activo estratégico. Para ello se
coordinan las capacidades y se gestionan recursos para sustentar el Catálogo de Servicios. Es
necesario identificar la red de valor en la que opera el proveedor de servicios, que normalmente se
extiende más allá de los límites de una organización e incluya a clientes, proveedores y asociados
externos.
 Preparación para la implementación
El proveedor de servicios debe evaluar, primero, las capacidades que le diferencian del resto y
extraer sus puntos fuertes y débiles, los factores críticos de éxito, e identificar riesgos y
oportunidades.
En todos los mercados existen factores críticos de éxito que determinan el éxito o fracaso de la
Estrategia de Servicio. Estos factores dependen de las necesidades del cliente, la competencia, las
normativas, los proveedores, los estándares, las mejores prácticas y la tecnología.

02.03.03. Procesos

En ITIL v3 se definen cinco procesos (con la actualización del año 2011) para la Estrategia de Servicio:
 Gestión Financiera
 Gestión de la Cartera de Servicios
 Gestión de la Demanda
 Gestión de Relaciones de Negocio (versión 2011)
 Gestión de la estratégica de los servicios TI (versión 2011)
A continuación se detalla cada uno de ellos.
 Gestión Financiera
Su principal objetivo es el de evaluar y controlar los costes asociados a los servicios TI de forma que se
ofrezca un servicio de calidad a los clientes con un uso eficiente de los recursos TI necesarios. Algunos
de los conceptos de este proceso tienen una influencia considerable en el desarrollo de la Estrategia de
Servicio en función de que alternativas se elijan. De este planteamiento se derivan los siguientes
subprocesos:
o Gestión de Presupuestos: predice y controla el gasto del dinero
o Gestión de Contabilidad: identifica el costo anual de la entrega del servicio TI
o Gestión de Requerimientos de Costos: establece la estructura de pagos para los servicios TI.
 Gestión de Cartera de Servicios.
Es un método que permite gestionar todas las inversiones. El principal objetivo es crear el máximo valor
al tiempo que se gestionan los riesgos y los costes. Normalmente comienza con la documentación de
12
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 los servicios estándar de la organización y para que sea viable debe incluir una combinación adecuada
de servicios en flujo de creación y un catálogo.
Este proceso es dinámico y continuo e incluye los siguientes métodos de trabajo:
o Definición: inventario de servicios y casos de negocio, y validación de los datos de la cartera.
o Análisis: aumento del valor de la cartera, sincronización y definición de prioridades y adecuación
de la oferta a la demanda. Se obtienen los objetivos estratégicos.
o Aprobación: cierre de la cartera propuesta y autorización de servicios y recursos.
o Institución: comunicación de las decisiones, asignación de recursos y documentación de
servicios.
 Gestión de la Demanda.
Es un aspecto esencial ya armoniza la oferta con la demanda. Su principal objetivo es predecir con la
máxima precisión la compra de productos y regularla en la medida de lo posible. Una demanda mal
gestionada supone un riesgo para los proveedores de servicios y una capacidad insuficiente afecta a la
calidad de los servicios prestados y limita el crecimiento del servicio.
(7)
Los Acuerdos de Nivel de Servicio (ANS) , la previsión de la demanda, la planificación, y una buena
coordinación con el cliente puede reducir la incertidumbre de la demanda.
Es fundamental estudiar el negocio del cliente para identificar, analizar y registrar los patrones de
actividad de negocio. Estos son la principal fuente de demanda de servicios.
 Gestión de Relaciones de Negocio.
Este proceso permite a los gestores de relaciones de negocio crear relaciones con los clientes para
asegurar que se comprenden los requerimientos del negocio del cliente. Estos gestores son los
encargados de identificar las necesidades del cliente y de que el proveedor de servicio cumpla con
ellas.
Se busca mantener una relación de negocio entre proveedor y cliente basada en la comprensión del
cliente y en satisfacer sus necesidades cambiantes.
 Gestión estratégica de los servicios TI.
Este proceso permite fijar los objetivos de la organización y cómo se van cumplir esos objetivos, dando
prioridad a las inversiones necesarias.
La estrategia de la organización no se limita a un solo documento o un departamento, por el contrario,
se divide en una estrategia para cada unidad de negocio.
Principalmente se ocupa de los factores críticos de éxito. Un factor de éxito es algo que debe ocurrir (o
debe no ocurrir) para conseguir un objetivo. Y se define como crítico si su cumplimiento es
absolutamente necesario para cumplir los objetivos de la organización.

02.04. Diseño de Servicio

Esta fase se ocupa del diseño y desarrollo de los servicios y sus procesos relacionados. Afecta tanto a los
nuevos servicios como a los que han sido modificados.
Un correcto Diseño de Servicio debe:
 Contribuir a los objetivos del negocio.
 Contribuir (en la medida de lo posible) a ahorrar tiempo y dinero.
 Minimizar y prevenir riesgos.
 Contribuir a satisfacer las necesidades presentes y futuras del mercado.
 Evaluar y mejorar la eficacia y eficiencia de los servicios TI.
 Apoyar el desarrollo de políticas y estándares para servicios TI.
 Contribuir a mejorar la calidad de los servicios TI.

(7)
En inglés, SLA (Service Level Agreement)
13
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
El diseño de servicios TI, eficaces y eficientes, es un proceso continuo que busca el equilibrio de
funcionalidad, recursos disponibles (humanos, técnicos y financieros) y tiempo disponible con el fin de
satisfacer las necesidades y demandas del negocio.
Esta fase se inicia con la demanda de requisitos nuevos o modificados por parte de cliente y termina con
una solución que satisfaga estos requisitos, antes de incluir el servicio en el proceso de Transición de
Servicio.
Los departamentos dependen unos de otros, lo que significa que los servicios TI no pueden entrar por
separado en las fases de diseño, transición e implementación. Todos los miembros de la organización
deben estar informados de los componentes subyacentes y de las relaciones existentes en la provisión de
servicios TI.
Para conseguir la máxima calidad posible con un enfoque de mejora continua, la organización necesita un
planteamiento estructurado y orientado a resultados en cada uno de los siguientes cinco aspectos de
diseño:
a) Solución de Servicio: define la estructura del servicio con los niveles adecuados de coste,
funcionalidad y calidad, dentro del intervalo de tiempo apropiado.
b) Cartera de Servicios: es el sistema más importante para el soporte de todos los procesos y describe
la provisión del servicio en términos de valor que genera para el cliente. Debe incluir toda la
información del servicio y su estado.
c) Arquitectura: incluye la elaboración de proyectos para el desarrollo y despliegue de una
infraestructura TI, las aplicaciones y los datos (dependiendo de las necesidades del negocio).
d) Procesos: define el conjunto estructurado de actividades para cumplir un objetivo e incluye todos los
roles, responsabilidades, recursos y controles de gestión necesarios para proporcionar una salida
fiable.
e) Métricas y sistemas de medición: define las evaluaciones periódicas necesarias para dirigir y
gestionar de eficazmente el proceso de desarrollo de un servicio.

02.04.01. Conceptos básicos

 Modelo de Diseño de Servicio

La elección del modelo que se va a utilizar para desarrollar los servicios TI depende en gran medida del
modelo elegido para la provisión de servicios. Antes de adoptar un modelo hay que analizar las
capacidades y los equipos TI de que se dispone.
Las estrategias de Provisión de servicio son las siguientes:

Estrategia Características Ventajas Inconvenientes

Internalización (Insourcing) Se utilizan capacidades  Control directo  Coste y tiempo para
internas para el diseño,  Libertad de elección provisión de servicios
desarrollo, mantenimiento,  Familiaridad con  Dependencia de
ejecución y/u oferta de procesos internos recursos y
servicio competencias
internos
Externalización Se recurre a una  Enfoque a  Menos control dureto
(Outsourcing) organización externa para competencias  Desconocimiento de
el diseño, desarrollo, esenciales las capacidades del
mantenimiento, ejecución  Reducción de costes a suministrador
y/u oferta de servicio. largo plazo
Co-Aprovisionamiento (Co – Combinación de  Tiempo de provisión de  Complejidad de
Sourcing) Internalización y servicios proyectos
Externalización  Mejor control  Protección propiedad
intelectual
Multi–Aprovisionamiento Múltiples organizaciones  Más oportunidades de  Complejidad de
(Multisourcing) alcanzan acuerdos mercado proyectos
formales orientados a la  Oportunidades de  Choque de culturas
creación de asociaciones respuesta competitiva
estratégicas
Externalización de Proceso Una organización externa  “Ventanilla única”  Pérdida de
14
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Estrategia Características Ventajas Inconvenientes
de Negocio (BPO - se hace cargo de un  Acceso a capacidades conocimiento
Business Process proceso de negocio especializadas  Pérdida de relación
Outsourcing) de negocio
Provisión de servicios de Se ofrecen servicios  Acceso a soluciones  Acceso solo a
aplicación informáticos al cliente a complejas y costosas instalaciones, pero
través de la red  Incluye soporte y no al conocimiento
actualizaciones  Choque de culturas
Externalización de Proceso Va un paso más allá del  Conocimiento y  Pérdida de
de conocimiento (KPO - BPO, ofreciendo experiencia conocimiento interno
Knowledge Process conocimiento de un campo  Recorte de costes  Pérdida de relación
Outsourcing) de trabajo completo en con el negocio
lugar del conocimiento de
un proceso

En cuanto a las opciones de diseño y desarrollo para servicios TI, es muy importante comprender las
fases del Ciclo de Vida y los métodos utilizados para el desarrollo de servicios. Es fundamental tener
buena información sobre los siguientes aspectos:
o Estructura (hitos)
o Actividades (flujo de trabajos, tareas)
o Principales modelos vinculados al método elegido, dando distintas perspectivas (de procesos,
datos, eventos y usuarios)
Para entender cómo afecta la elección de una solución software a la estructura del Ciclo de Vida es
necesario comprender la diferencia entre el desarrollo estructurado y el orientado a objetos e igualmente
(8)
los principios básicos del Desarrollo Rápido de Aplicaciones (RDA) .
Los métodos de desarrollo tradicionales se basan en la idea de que los requisitos del cliente se pueden
determinar al principio del Ciclo de Vida y de que la gestión de cambios permite controlar los costes de
desarrollo. Por el contrario, los métodos RAD parten del principio de que los cambios son inevitables y
que evitarlos es solo una señal de pasividad frente al mercado. RAD es un método incremental (el
servicio se diseña en pequeñas partes que se van entregando) e iterativo (el ciclo de vida se repite
tantas veces como sea necesario).
Otra de las opciones, que muchas organizaciones eligen, es utilizar las soluciones software estándar ya
empaquetadas. Para seleccionar, modificar e implementar este tipo de paquetes se necesita un marco
de trabajo y es particularmente importante conocer desde el principio los requisitos fijados a nivel de
gestión y operación. Además de definir los requisitos funcionales, es fundamental determinar los
requisitos sobre el producto, el suministrador y la integración del paquete de servicio.
(9)
 Acuerdo de Nivel de Servicio (ANS)
Describe los servicios de TI, documentos y metas de niveles de servicio especificando las
responsabilidades del cliente y proveedor del servicio de TI.
(10)
 Acuerdo de Nivel Operacional (ANO)
Describe un acuerdo entre el proveedor del servicio de TI y otra parte del mismo negocio que provee el
servicio al proveedor. También puede ser parte del mismo proveedor del servicio.

02.04.02. Actividades

Las tres actividades principales del Diseño de Servicio son:

 Desarrollo de requisitos.
 Gestión de información y datos
 Gestión de aplicaciones.
A continuación se detalla cada una de ellas.
(8)
En inglés: RDA (Rapid Application Development)
(9)
En inglés: SLA (Service Level Agreement)
(10)
En inglés: OLA (Operational Level Agreement)
15
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Desarrollo de requisitos
El análisis de los procesos (de negocio) existentes y necesarios da como resultado requisitos
funcionales que forman parte de los servicios TI (que incluyen aplicaciones, datos, infraestructura,
entorno y conocimiento).
Para cada sistema se distinguen tres tipos de requisitos:
o Funcionales: describen los asuntos para los que podría estar creado un servicio y que se
pueden expresar como una tarea o función de la que se deben desarrollar un componente.
o De Gestión y Operación: son los requisitos no funcionales del servicio y sirven de base para los
primeros sistemas y la estimación de costes. Permiten aumentar la viabilidad del servicio
propuesto.
o De usabilidad: garantizan que los servicios cumplen las expectativas de los usuarios en
términos de facilidad de uso.
 Gestión de la información y los datos
Es una de las actividades más importantes, ya que permite garantizar el desarrollo, provisión y soporte
de servicios TI eficaces. Para ellos se debe:
o Asegurar que los usuarios tengan acceso a la información necesaria para su trabajo
o Compartir la información dentro de la organización,
o Tener en cuenta aspectos legales en materia de privacidad, seguridad y confidencialidad.
 Gestión de aplicaciones
Una aplicación es un programa software con funciones específicas que ofrece soporte directo para la
ejecución de procesos y/o procedimientos de negocio. Junto con los datos y la infraestructura, las
aplicaciones forman el componente técnico de los servicios TI.
Es fundamental que la aplicación responda a los requisitos del cliente. En general, las organizaciones
decidan más tiempo a los requisitos funcionales del nuevo servicio, olvidando los requisitos de gestión y
operación. La principal consecuencia es que no se cumplen las expectativas del cliente en cuanto a
calidad y rendimiento.

02.04.03. Procesos

En ITIL v3 se definen ocho procesos (con la actualización del año 2011) para la Estrategia de Servicio:
 Gestión de Catálogo
 Gestión de Niveles Servicio
 Gestión de Capacidad
 Gestión de Disponibilidad

 Gestión de Continuidad
 Gestión de Seguridad TI

 Gestión de Suministradores

 Coordinación de Diseño (versión 2011)

A continuación se detalla cada uno de los ocho procesos.
 Gestión de Catálogo
Gestiona la información del catálogo de servicios y asegura que sea fiel y refleje los detalles, estados,
interfaces, y dependencias de los servicios.
 Gestión de Niveles de Servicio
Gestiona la definición, documentación, acuerdos, seguimientos, mediciones e informes de los niveles de
servicio. Esto permite asegurar las metas específicas y medibles sean desarrolladas y asegurar los
niveles de servicio que sean entregados.

16
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Gestión de Capacidad
Asegura que la capacidad de los servicios de TI y la infraestructura de TI es capaz de garantizar las
necesidades presentes y futuras del cliente. Los objetivos son:
o Producir y mantener un plan de capacidad de las necesidades actuales y futuras del negocio.
o Proveer consejos, guías y logros de las capacidades y rendimiento del negocio de TI.
o Es esencialmente un acto de balanceo entre:
 Balanceo de costos contra recursos.
 Balanceo de suministros contra demandas.
Este proceso debe abarcar:
o Hardware y software para todos los componentes y entornos TI.
o Planificación del espacio
o Capacidad de los sistemas ambientales.
o Capacidad de recursos humanos.
 Gestión de Disponibilidad
Asegura que el nivel de disponibilidad del servicio (nuevo o modificado) dado logre o exceda los niveles
acordados con el cliente. Incluye:
o Producir y mantener un plan de disponibilidad apropiado.
o Proveer consejos y guías en todas las áreas del negocio de TI.
o Desempeñar las siguientes actividades:
 Reactivas: monitorizar, medir, gestión de eventos, problemas, incidentes.
 Proactivas: planificación, diseño y mejora de la disponibilidad.
 Gestión de Continuidad
Este proceso se ocupa de asegurar que el proveedor de servicios de TI es capaz en todo momento de
proveer los niveles de servicio acordados.
Es responsable de gestionar los riesgos que podrían impactar seriamente a los servicios de TI. Se
centra en situaciones que se pueden considerar desastrosas, especialmente en asuntos que afectan a
procesos de negocio.
 Gestión de Seguridad TI
La información debe de ser confidencial, integra, disponible autentica y aceptada. Su marco de trabajo
es:
o Control (Marco de trabajo).
o Planear (SLA, OLA, Contratos).
o Implementar (Creación, clasificación, seguridad).
o Evaluar (Auditorias).
o Mantener (Aprende, mejora, planea, implementa).
 Gestión de Suministradores
Se centra en todos los suministradores y contratos para facilitar la provisión de servicios de cliente. Su
principal objetivo es garantizar un nivel constante de calidad con un precio justo, y para ello se debe
negociando y gestionando los contratos con los suministradores de forma que se alineen con las
necesidades de negocio.
 Coordinación de Diseño
Este proceso garantiza que las metas y los objetivos de la etapa de diseño del servicio entregando y
manteniendo un punto único de coordinación y control de todas las actividades y procesos dentro de
esta etapa del ciclo de vida de servicio.

17
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Las salidas del proceso de coordinación del diseño son potencialmente:
o Diseño de servicios integrado y consistente a través del SDP (paquete de diseño del servicio)
o Revisión de la arquitectura empresarial
o Revisión del sistema de gestión
o Revisión de las métricas y métodos de medición
o Revisión de procesos
o Actualización del Portafolio de Servicios
o Actualización de los registros de cambios

02.05. Transición de Servicio

Incluye la gestión y coordinación de los procesos, sistemas y funciones necesarios para la construcción,
prueba y despliegue de una “versión” en producción, así como para la definición del servicio según las
especificaciones del cliente y las partes interesadas.
Sus principales objetivos son:
 Producir los medios necesarios para realizar, planificar y gestionar un nuevo servicio.
 Minimizar el impacto sobre los servicios que ya están en producción.
 Aumentar la satisfacción del cliente y fomentar el uso correcto del servicio y la tecnología.
La Transición de Servicio consta generalmente de los siguientes pasos:
 Planificación y preparación.
 Construcción y pruebas.
 Pilotos (si los hay).
 Planificación y preparación del despliegue.
 Despliegue y transición.
 Revisión y cierre.
Una Transición de Servicio eficaz garantiza:
 Habilidad de manejar un mayor número de cambios sin que tenga un impacto adverso en la calidad
del servicio.
 Habilidad de reaccionar más rápidamente ante las necesidades de cambio requeridos por el
negocio.
 Mejora en la tasa de éxito de cambios y versiones.
 Mejorar las posibilidades de predecir los niveles de servicios y las garantías respecto a nuevos y
modificados servicios.
 Mejores estimaciones de presupuestos y planificación de recursos.
 Mayor cumplimiento de estándares y normas.
 Mayor entendimiento del nivel de riesgo durante y después de los cambios de versiones.

02.05.01. Conceptos básicos

 Cambio
Adición, modificación o eliminación de un componente de servicio que ha sido autorizado, planificado o
soportado por la organización. Pueden ser de tres tipos, en función del nivel de la organización en el
que se producen:
o Cambios Estratégicos: por ejemplo, la introducción de un nuevo servicio como consultas en
línea.
18
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Cambios Tácticos: por ejemplo, a creación de nuevo modelo para la gestión de incidencias
o Cambios Operacionales: por ejemplo, un cambio que corrige un error en un elemento de la
configuración del centro de cálculo
Y pueden ser realizados de tres formas:
o Cambio Estándar: es un cambio pre-autorizado por la gestión de cambios y tiene un
procedimiento aceptado y establecido.
o Cambio Normal: es generado por una petición por parte de indicador que requiere el cambio.
o Cambios de Emergencia: está diseñado con cuidado y previamente probado antes de su uso.
Se utilizan para reparar errores en un servicio de TI que tiene impacto negativo de alto nivel.
 Los 7 R de Gestión de Cambio
Es necesario efectuar una evaluación estándar de los cambios para determinar el impacto, costes,
beneficios, y riesgos. Esto se puede llevar a cabo utilizando el método de las 7 R’s del cambio
1. Who Raised the change? (¿Quién solicitó el cambio?)
2. What is the Reason for the change? (¿Cuál es la razón del cambio?)
3. What is the Return required from the change? (¿Cuál es el retorno del cambio?)
4. What are the Risks involved in the change? (¿Cuáles son los riesgos involucrados en el
cambio?)
5. What Resources are required to deliver the change? (¿Cuáles son los recursos requeridos para
entregar el cambio?)
6. Who is Responsible to build test and implement the change? ¿Quién es el responsable de
construir probar e implementar el cambio?
7. What is the Relationship between the change and other changes? (¿Cuál es la relación entre
este cambio y otros cambios?)
 Elemento de configuración
Un elemento de configuración es un activo, componente o cualquier elemento de un servicio.
 Base de Datos de Configuración (CMDB, Configuration Management Database)
En esta base de datos se guarda información sobre todos los registros de configuración a lo largo del
ciclo de vida: identificador, tipo de elemento, nombre, versión, estado, localización, etc.
 Sistema de Gestión de la Configuración (CMS, Configuration Management System).
Provee acceso seguro, rápido y fácil para precisar la información de configuración, porque:
o Permite a las partes interesadas y al personal, evaluar el impacto de los cambios propuestos.
o Actualizar durante el ciclo de cambio.
 Sistema de Gestión del Servicio de Conocimiento (SKMS, Service Knowledge Management
System)
Es un conjunto de herramientas y base de datos para el conocimiento e información. Incluye datos que
junto con los contenidos en CMDB y CMS, construyen el conocimiento.

02.05.02. Actividades

Además de las actividades que se mencionarán en el siguiente apartado y que están asociadas a un
proceso concreto, existen otras actividades generales que se realizan en esta fase. Entre esta se pueden
mencionar las siguientes:
 Comunicación.
 Gestión de cambios organizativos.
 Gestión de grupos de interés.
A continuación se detalla cada una de ellas.
19
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Comunicación
Es un aspecto fundamental y cuanto mayor sea el cambio, mayor será la necesidad de comunicar los
motivos del cambio, las posibles ventajas, los planes de implementación y los efectos.
 Gestión de cambios organizativos
Un cambio significativo es un servicio implica un cambio en la organización, que puede variar desde la
transferencia de un miembro el personal a otro departamento hasta cambios más importantes que
afecten, por ejemplo, a la forma de trabajar en la organización.
En la gestión de estos cambios es importante tener en cuenta los siguientes aspectos:
o El ciclo emocional del cambio: ignorar la forma en que un cambio puede afectar a las personas
es uno de los motivos más importantes para el fracaso de los cambios.
o El papel desempeñado por la Transición de Servicio, para ello se debe tener en cuenta:
 Las distintas culturas existentes en la organización.
 Incluir los participantes activos en el cambio de actitudes personales.
 Apoyar a las personas individualmente para garantizar la correcta implementación de
los cambios.
 Evaluar si la organización de TI está suficientemente preparada para asumir el cambio.
 Garantizar que el cambio es mayoritariamente aceptado en el trabajo diario.
 Hacer lo posible para garantizar que la transferencia de conocimientos, la formación, la
creación de equipos, la mejora de procesos y la evaluación del personal se realizan
correctamente.
o Planificación y organización de los cambios: teniendo en consideración tanto los aspectos
técnicos, como organizativos y de personal.
o Productos (obtenidos): deben facilitar gestión de estos cambios.
o Evaluación de la preparación: es conveniente realizar una lista de comprobación para valorar si
la organización dispone de roles y aptitudes necesarias para cumplir la transición.
o Monitorización del progreso: comprobando, mediante estudios y encuestas en distintos niveles
de la organización, la eficacia y éxito de la transición.
 Gestión de grupos de interés
Esta gestión es un Factor crítico de éxito en la Transición de Servicio y debe a atender a aspectos tales
como los siguientes:
o Quienes son los interesados.
o Cuáles son sus intereses.
o Que influencias tienen.
o Como están incluidos.
o Qué información se comparte con ellos.

02.05.03. Procesos

En ITIL v3 se definen siete procesos para la Transición de Servicio:

 Planificación y soporte.

 Gestión de Cambios.

 Gestión de Configuración.

 Gestión de Entregas.

 Validación y pruebas.
 Evaluación del cambio (nuevo nombre en la revisión de 2011).

20
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Gestión de Conocimiento.
A continuación se detalla cada uno de ellos
 Planificación y soporte
Garantiza que los recursos se planifican y coordinan adecuadamente para cumplir las especificaciones
de Diseño de Servicio. Igualmente garantiza la identificación, gestión y minimización de riesgos que
pueden interrumpir el servicio durante la fase de Transición.
El ámbito de este proceso incluye:
o Especificaciones de diseño y requisitos de departamento de producción en el proceso de
planificación de la transición
o Gestión de:
 Planificación.
 Actividades de soporte.
 Progreso de la transición.
 Cambios.
 Problemas.
 Riesgos.
 Desviaciones.
 Procesos.
 Sistemas y herramientas.
o Monitorización del rendimiento de la Transición del Servicio.
o Comunicación con el cliente, los usuarios y los interesados.
Este proceso incluye las siguientes actividades:
o Definición de la estrategia de transición.
o Preparación de la transición.
o Planificación y coordinación de la transición.
o Soporte.
 Gestión de Cambios
Garantiza que los cambios se aplican de una manera controlada y después de haber sido evaluados,
priorizados, planificados, probados, implementados y documentados. Un cambio se puede deber a
diferentes motivos: reducción de costes, mejora del servicio, cambios de entorno, fallo en la provisión
del servicio.
Es importante que este proceso asegure que:
o Se utilizan métodos y procedimientos estándar.
o Todos los cambios se registran en la Base de Datos de Configuración.
o Se tienen en cuenta los riesgos para el negocio.
En general, incluye las siguientes actividades:
o Planificación y versión de cambios.
o Planificación de versiones.
o Comunicación.
o Autorización de cambios.
o Definición de planes de recuperación.
o Generación de informes.
o Evaluación de impacto
21
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Mejora continua.
Las actividades para la gestión de cambios concretos son las siguientes
o Creación y registro de la solicitud del cambio (RFC, Request for Change)
o Revisión de la RFC.
o Valoración y evaluación del cambio.
o Autorización del cambio.
o Planificación de las actualizaciones.
o Coordinación de la implementación del cambio.
o Revisión y cierre del cambio.
 Gestión de Configuración
Gestiona los activos del Servicio para dar soporte a otros procesos. El objetivo es definir componentes
de infraestructura y servicios para mantener registros precisos de la configuración. Para ello es
importante que:
o Se proteja la integridad de los Activos del Servicio y los elementos de la configuración.
o Todos los activos y elementos de configuración estén categorizados.
o Los procesos de negocio y la Gestión del Servició recaban un soporte eficaz
Este proceso puede cubrir activos no tecnológicos y elementos de configuración de productos que
faciliten el desarrollo de servicios. El ámbito del proceso incluye también activos y elementos de
configuración de otros suministradores (activos compartidos) en la medida que sean importantes para el
servicio.
Este proceso incluye las siguientes actividades:
o Planificación y dirección.
o Identificación de la configuración.
o Gestión (control) de la configuración.
o Seguimiento e informe del estado de la configuración.
o Verificación y auditoría.
 Gestión de Entregas
El objetivo de este proceso es construir, probar y desplegar los servicios especificados en el Diseño del
Servicio y garantizar que el cliente utiliza el servicio de manera eficaz.
Con este proceso se garantiza que:
o Existen planes de versiones y despliegues.
o Los paquetes de versiones se despliegan correctamente.
o La organización de TI transfiere conocimientos a los clientes.
o La perturbación e los servicios es mínima.
Este proceso incluye las siguientes actividades:
o Planificación.
o Preparación de construcción, pruebas y despliegue.
o Construcción y pruebas.
o Pruebas y pilotos de servicios.
o Planificación y preparación de despliegues.
o Transferencia, despliegue y retiro.
o Verificación de despliegue.

22
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Soporto post-implantación.
o Revisión y cierre.
 Validación y pruebas
El objetivo de este proceso es entregar un servicio que aporte valor añadido al negocio del cliente. Las
consecuencias de unas pruebas mal realizadas son un mayor número de incidencias, problemas y
costes elevados.
Con este proceso se garantiza que:
o La versión satisface las expectativas del cliente.
o Los servicios están ajustados al propósito y al uso requerido.
o Se definen las especificaciones (requisitos) del cliente y otras partes interesadas.
Este proceso se realiza durante todo el Ciclo de Vida del Servicio para comprobar su calidad. Las
pruebas dan soporte al proceso de Gestión de Entregas y al proceso de Evaluación.
Este proceso incluye las siguientes actividades, que no son realizadas en un orden fijo y se pueden
implementar en paralelo:
o Gestión y validación de pruebas.
o Planificación y diseño de pruebas.
o Verificación del diseño del plan de pruebas.
o Preparación del entorno de pruebas.
o Realización de pruebas.
o Evaluación de criterios de salida e informes.
o Limpieza y cierre.
 Evaluación
Es un proceso genérico cuyo objetivo consiste en verificar si el rendimiento de algo es aceptable. Por
ejemplo: buena relación calidad-precio, si está en uso, si hay que pagar por ello, etc.
En el contexto de la Transición de Servicio, la evaluación tiene como objetivo definir el rendimiento de
un cambio de servicio. Igualmente suministra información importante para el proceso de Mejora
Continua y Gestión de Cambios
Este proceso incluye las siguientes actividades:
o Planificación de la evaluación.
o Evaluación del rendimiento previsto.
o Evaluación del rendimiento real.
o Gestión de riesgos.
 Gestión de conocimiento
El objetivo de este proceso es mejorar la calidad de la toma de decisiones garantizando el acceso a
información segura y fiable durante el Ciclo de Vida del Servicio.
Aunque se utiliza durante todo el Ciclo de Vida, es especialmente importante en la Transición del
Servicio. El éxito de esta fase depende en gran medida la información disponible y los conocimientos
del usuario.
Este proceso incluye las siguientes actividades:
o Estrategia de la Gestión de Conocimiento.
o Transferencia de conocimiento.
o Gestión de información y datos.
o Uso del sistema de Gestión de conocimiento.

23
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
02.06. Operación de Servicio
Esta fase tiene como objetivos la coordinación y ejecución de actividades y procesos necesarios
para entregar y gestionar servicios para usuarios y clientes con el nivel de servicio especificado. Su principal
responsabilidad es gestionar la tecnología necesaria para la prestación y soporte de los servicios.
La Operación de Servicio se puede mejorar de dos maneras:
 Mejora incremental a largo plazo: se basa en la revisión del rendimiento y los resultados en el
tiempo, de todos los procesos, funciones y salidas obtenidas.
 Mejora continua a corto plazo: se basa en pequeños cambios que se implementan para modificar un
proceso o tecnología.

02.06.01. Conceptos básicos

Se emplean distintos términos para referirse a la forma en que las personas se organizan para realizar los
procesos y actividades de esta fase:
 Función: hace referencia a las personas y acciones automatizadas que realizan un proceso bien
definido, una actividad o una combinación de procesos y actividades.
 Grupo: es un número de personas que realizan actividades similares.
 Equipo: es una agrupación más formal de personas que la anterior, y se crea para colaborar en la
consecución de un objetivo común. Por ejemplo: equipos de proyectos o equipos de desarrollo de
aplicaciones.
 Departamento: estructura organizativa que realiza una serie de actividades bien definida.
 División: es la agrupación de varios departamentos, en general, determinada por ubicación
geográfica o línea de productos.
 Rol: serie conexa de comportamientos o acciones realizadas en un contexto específico por una
persona, grupo o equipo. Por ejemplo, un jefe de gestión de sistemas puede desempeñar un rol de
gestor de problemas, mientras que en un departamento técnico de gestión puede adoptar el rol de
punto de observación técnica.

02.06.02. Procesos y Actividades

En ITIL v3 se definen cinco procesos para la Operación de Servicio:

 Gestión Eventos.

 Gestión de Incidencias.

 Gestión de Peticiones.
 Gestión de Problemas

 Gestión de Accesos.
A continuación se detalla cada uno de ellos
 Gestión de Eventos
Un evento es un suceso que afecta a la gestión de la infraestructura de TI o a la provisión de un servicio
TI. Para que la Operación de Servicio sea eficaz es necesario que la organización conozca el estado de
la infraestructura y pueda identificar desviaciones respecto al rendimiento habitual o esperado.
Para monitorizar el rendimiento, este proceso, supervisa todos los eventos que se producen en la
infraestructura de TI.
Este proceso incluye las siguientes actividades:
o Ocurrencia el evento.
o Notificación de evento.
o Detección de evento.
24
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Filtrado de evento.
o Significado de evento.
o Correlación de evento.
o Disparador.
o Selección de respuesta.
o Evaluación de acciones.
o Cierre de evento.
 Gestión de Incidencias
Su objetivo es restaurar el fallo del servicio lo antes posible para los clientes, de manera que su impacto
en el negocio sea mínimo. En este proceso puede incluir cualquier evento que interrumpa o pueda
interrumpir un servicio, considerando también los eventos comunicados por los clientes.
Este proceso incluye las siguientes actividades:
o Identificación.
o Registro.
o Categorización.
o Priorización.
o Diagnóstico inicial.
o Escalado.
o Investigación y diagnóstico.
o Resolución y restauración
o Cierre.
 Gestión de Peticiones
Su objetivo es el tratamiento de las peticiones de servicio cuya necesidad es iniciada por un proceso
aparte. Para ello, este proceso asegura que:
o Poner a disposición de los usuarios un canal a través del cual pueden solicitar y recibir servicios
estándares. Esto implica definir un proceso de aprobación y cualificación.
o Proporcionar información a los clientes sobre la disponibilidad de estos servicios y el
procedimiento para recibirlos.
o Proporcionar componentes de los servicios estándares (como licencias y medios software).
o Dar asistencia en cuanto a información general, quejas y aclaraciones.
Este proceso incluye las siguientes actividades:
o Selección de posibles peticiones (menú).
o Aprobación financiera.
o Otras aprobaciones.
o Tratamiento.
o Cierre.
 Gestión de Problemas
Su objetivo es analizar y resolver las causas de las incidencias. También desarrolla actividades
proactivas para evitar incidencias presentes o futuras.
Este proceso incluye todas las actividades necesarias para diagnosticar las causas que subyacen a las
incidencias y para encontrar una solución a estos problemas. Igualmente, debe garantizar que la
solución se implementa con procedimientos adecuados de control.
En el caso de la gestión reactiva de problemas, incluye las siguientes actividades:

25
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Detección.
o Registro.
o Categorización.
o Priorización.
o Investigación y diagnóstico.
o Determinación de soluciones provisionales.
o Identificación de error conocido.
o Determinación de solución.
o Cierre.
o Revisión de los problemas más importantes.
o Errores en el entorno de desarrollo.
 Gestión de Accesos
Permite utilizar un servicio a los usuarios autorizados y limita el acceso a los usuarios sin autorización.
En algunas organizaciones, este proceso, recibe el nombre de gestión de derechos o identidades.
Este proceso incluye las siguientes actividades:
o Requerimiento de acceso.
o Verificación.
o Asignación de derechos de acceso.
o Monitorización del estado de identidad.
o Registro y seguimiento de accesos.
o Retirada o limitación de derechos de accesos.

02.06.03. Funciones

Los procesos por sí solos no son capaces de proporcionar una Operación de Servicio eficiente. Para ello se
necesita, además, una infraestructura estable de personas cualificadas que se organizan en varios grupos
centrados en el uso de procesos que coincidan las necesidades de la organización.
Estos grupos recaen en las siguientes cuatro funciones:
 Centro de Servicio al usuario
Es el primer punto de contacto con los usuarios. Se ocupa de las peticiones y eventos de servicios que
pueden llegar a través de llamadas telefónicas, internet o por eventos de infraestructura comunicados
automáticamente.
Su principal objetivo es restaurar el servicio “normal” en el menor tiempo posible
 Gestión Técnica
Comprende los grupos, equipos o departamentos que contienen los conocimientos técnicos y se
encarga de la gestión general de la infraestructura TI.
Participa en la planificación, implementación y mantenimiento de una infraestructura técnica estable que
facilite los procesos de negocio de la organización mediante:
o Una arquitectura técnica rentable y bien diseñada.
o Uso de los conocimientos técnicos necesarios para mantener la infraestructura técnica en
estado óptimo.
o Uso eficaz de los conocimientos técnicos para diagnosticar y resolver fallos técnicos
rápidamente.
 Gestión de Operaciones TI
Es responsable por las actividades operacionales diarias necesarias para gestionar la infraestructura de
26
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 TI con el nivel acordado.
Sus objetivos son:
o Mantener la situación existente para conseguir la estabilidad de los procesos y actividades de la
organización.
o Investigar métodos de mejora para conseguir un mejor servicio a menor coste y manteniendo la
estabilidad.
o Utilizar conocimientos técnicos para analizar y resolver rápidamente fallos operativos.
La Gestión de Operaciones TI tiene las siguientes dos funciones que son únicas y se corresponden con
estructuras organizativas:
o Control de operaciones TI: asegura que las tareas planificadas se lleven a cabo y también
proporciona monitorización y control de actividades.
o Gestión de Facilidad: gestiona la infraestructura física TI (centro de datos, contratos, etc.)
 Gestión de Aplicaciones
Se ocupa de gestionar las aplicaciones durante su ciclo de vida. Soporta y mantiene las aplicaciones
operativas y también juega un papel importante en el diseño, prueba y mejora de las aplicaciones que
forman parte de los servicios TI. Afecta a todas las aplicaciones, ya sean adquiridas o desarrolladas a
nivel interno.

02.07. Mejora continua

Las organizaciones TI tienen que alinear continuamente sus servicios TI ante las necesidades cambiantes
del negocio, identificando e implementando mejoras que sirvan al negocio. ITL3 incluye esta mejora en esta
fase.
Un servicio TI consiste en un cierto número de actividades y la calidad tanto de estas actividades como del
proceso que las vincula determinan la calidad del servicio. La Mejora Continua se centra en las actividades
y procesos que mejoran la calidad de los servicios.
Los principales objetivos de esta fase son los siguientes:
 Medir y analizar los logros del Nivel de Servicio comparándolos con los requisitos estipulados en los
Acuerdos de Nivel de Servicio (ANS).
 Recomendar mejoras en todas las fases del Ciclo de Vida del servicio.
 Introducir actividades en los servicios que aumenten la calidad, eficiencia, eficacia y satisfacción del
cliente.
 Operar servicios TI más rentables sin que se resienta la satisfacción del cliente.
 Utilizar métodos de Gestión de Calidad adecuados para actividades de mejora.

02.07.01. Conceptos básicos

 El ciclo Planificar – Hacer – Verificar - Actuar

W. Edwards Deming es conocido por sus teorías para mejorar la calidad e incrementar la productividad.
Propuso en los años 80’s el conocido como ciclo de Deming, que es un proceso de mejora en los
siguientes cuatro pasos:
o Planificar: ¿Qué tiene que ocurrir, quien lo hará y cómo?
o Hacer: ejecución de las actividades planificadas.
o Verificar: comprobación de que las actividades dan el resultado deseado.
o Actuar: ajuste del plan en función de las verificaciones.
 Métricas
Mide los resultados de un proceso o actividad, determinando si una variable cumple el objetivo definido.
Se interpreta fundamentalmente a nivel estratégico y táctico. Se utilizan tres tipos:

27
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o De Tecnología: miden el rendimiento y disponibilidad de componentes y aplicaciones.
o De Proceso: miden el rendimiento de procesos de gestión de servicio y proceden de
(11)
Indicadores Clave de Rendimiento que a su vez tienen su origen en Factores Críticos de
Éxito. Ayudan a determinar las oportunidades de mejora de cada proceso.
o De Servicio: miden los resultados del servicio final
 Indicador Clave de Rendimiento
Determinan la calidad, rendimiento, valor y conformidad del proceso. Pueden ser cualitativos y
cuantitativos.
 Factor crítico de éxito
Elemento básico para el cumplimiento de la Misión de la Organización
(12)
 Datos – Información – Conocimiento – Saber
Las métricas proporcionan datos cuantitativos, que una vez agrupados y procesados se convierten en
información. Combinando esta información con experiencia, contexto, interpretación y reflexión se
obtiene el Conocimiento.
Por último, el conocimiento se convierte en saber, cuando es posible hacer evaluaciones correctas y
tomar las decisiones adecuadas, haciendo uso de los datos, la información y el conocimiento.
 Gobierno
Impulsa y controla las organizaciones. En concreto, el Gobierno TI define los procesos y la estructura de
la organización TI y garantiza que cumple sus objetivos.

02.07.02. Procesos y Actividades

En ITIL v3 se definen dos procesos para la Mejora Continua:

 Mejora en 7 pasos.

 Informes de servicio.
A continuación se detalla cada uno de ellos
 Mejora en 7 pasos
El ciclo de los siete pasos son los siguientes:
o Definir qué es lo que se debe medir: los propietarios de los servicios determinan lo que se mide
y para ello definen las actividades necesarias para suministrar los servicios.
o Definir qué es lo que se puede medir: ¿Cuál es la situación deseada?, esto permitirá detectar
nuevos requisitos y nuevas opciones TI.
o Reunir los datos: la organización debe realizar mediciones para determinar si ha alcanzado.
Las mediciones deben ser consecuencia de la visión, misión, las metas y los objetivos de la
organización.
o Procesar los datos: debe realizarse en función de los Factores críticos de éxito y los
Indicadores Clave de Rendimiento.
o Analizar los datos: se prepara la presentación de discrepancias, tendencias y posibles
explicaciones para el negocio
o Presentar y utilizar planes de acción: se informa a los interesados si han cumplido o no sus
objetivos
o Implementar la acción correctiva: se crean mejoras y se define una referencia.
Antes y después del ciclo se procede a la identificación de la visión, la estrategia y los objetivos de la
organización.
 Informes de Servicio

(11)
En inglés KPI (Key Performance Indicator)
(12)
En inglés, DIKW (Data – Information- Knowlegde – Wisdow)
28
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 Es el responsable de la generación y entrega de informes sobre los resultados conseguidos y los
cambios de niveles de servicio. El diseño, contenido y frecuencia de los informes se deben decidir en
colaboración con el negocio.
Este proceso incluye las siguientes actividades:
o Recopilación de datos.
o Procesamiento de datos y aplicación a la organización.
o Publicación de la información.
o Ajuste de los informes para el negocio.

29
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
03. CobiT
La información es un recurso clave en cualquier organización y la alta dirección necesita tener la certeza de
que puede confiar en los sistemas de información y en la información que produzcan, y así obtener un
retorno positivo de las inversiones en las tecnologías de la información (TI).
Con esta situación, las organizaciones se esfuerzan en:
 Mantener información de alta calidad para soportar decisiones de negocio.
 Generar valor de negocio con las inversiones en TI.
 Alcanzar la excelencia operativa a través de una aplicación de tecnología fiable y eficiente.
 Mantener los riesgos relacionados con TI en un nivel aceptable
 Optimizar el coste de los servicios y tecnologías de TI
 Cumplir con las leyes, regulaciones, acuerdos contractuales y políticas aplicables.
Durante la pasada década, el término “gobierno” pasó a la vanguardia del pensamiento de las
organizaciones como respuesta a algunos ejemplos que han demostrado la importancia del buen gobierno
y, en el otro extremo de la balanza, a incidentes corporativos a nivel global
CobiT (Control Objetives for Infomation and related Technology) provee de un marco de trabajo integral que
ayuda a las organizaciones a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Es
decir, ayuda a las organizaciones a crear el valor óptimo desde TI manteniendo el equilibrio entre la
generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos
Esta mantenido por ISACA (Information Systems Audit and Control Association) y el ITGI (IT Governance
Institute) y tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI,
incluyendo un resumen ejecutivo, un marco de trabajo, objetivos de control, mapas de auditoría,
herramientas para su implementación y principalmente, una guía de técnicas de gestión.
La primera edición fue publicada en 1996; la segunda en 1998; la tercera en 2000 (la edición on-line estuvo
disponible en 2003); y la cuarta en diciembre de 2005,
La versión 4.1, disponible desde mayo de 2007, tenía entre sus objetivos asegurar que se cubriesen las
cinco áreas del enfoque del Gobierno TI (que se pueden ver en la figura siguiente):
 Alineación estrategia: se enfoca garantizar la alineación de los planes de negocio y de TI, en definir, mantener y
validar, la propuesta de valor TI; y en alinear las operaciones TI con las operaciones de la organización
 Entrega de Valor: se refiere a ejecutar la propuesta de valor a lo largo de ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor
intrínseco de la TI.
 Administración de Recursos: se trata de la inversión óptima, así como la administración adecuada a los
recursos críticos de TI (aplicaciones, información, infraestructura y personas). Los temas claves se refieren a la
optimización de conocimiento y de infraestructura.
 Administración de riesgos: requiere conciencia de los riesgos por parte de la alta dirección, un claro
entendimiento del riesgo que puede llegar a tener la organización, comprender los requerimientos de
cumplimiento, transparencia de riesgos significativos y la inclusión de las responsabilidades de administración de
los riesgos dentro de la organización.
 Medición del desempeño: rastrea y monitoriza la estrategia de implementación, la terminación del proyecto, el
uso de los recursos, el desempeño de los procesos y la estrategia de servicio.

30
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Las versiones 4.x de CobiT, incluyen lo siguiente:
 Marco de trabajo: explica cómo se organiza la gestión del gobierno de TI, los objetivos de control y
las mejores prácticas de los procesos y dominios de TI, y los relaciona con las necesidades del
negocio.
El marco contiene un conjunto de 34 objetivos de control de alto nivel, uno para cada proceso de TI,
agrupados en cuatro dominios: Planificar y Organizar, Adquirir e Implementar, Entregar y dar
soporte, Monitorear y Evaluar.
 Las descripciones del proceso: incluyen cada uno de 34 procesos de IT, cubriendo las áreas de
responsabilidad de la empresa y de TI desde el principio hasta el final.
 Los objetivos de control: proveen los objetivos de gestión de las mejores prácticas genéricas para
los procesos de TI.
 Las directrices de gestión ofrecen herramientas para ayudar a asignar responsabilidades y medir
el desempeño.
 El modelo de madurez: proporciona perfiles de los procesos de TI que describen los posibles
estados actuales y futuros.
ISACA lanzó el 10 de abril del 2012, la última versión, CobiT v5, que proporciona una guía para el gobierno
y la gestión de las TI en la empresa. Provee de un marco de trabajo integral que ayuda a las organizaciones
a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Por su enfoque genérico es útil
para organizaciones de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.
Cobit v5 se basa en cinco principios claves (mostrados en la figura adjunta) para el gobierno y la gestión de
las TI:
 Principio 1. Satisfacer las Necesidades de las Partes Interesadas. Las organizaciones existen
para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de
beneficios y la optimización de los riesgos y el uso de recursos. Con este principio se introduce la
cascada de metas de la empresa para la TI que se utilizan para formalizar y estructurar las
necesidades de las partes interesadas.
 Principio 2. Cubrir empresa Extremo a Extremo. CobiT v5 integra el gobierno y la gestión de TI
en el gobierno corporativo:
o Cubre todas las funciones y procesos dentro de la empresa. No se enfoca sólo en la
“función de TI”, sino que trata la información y las tecnologías relacionadas como activos
que deben ser tratados como cualquier otro activo por todos en la empresa.
o Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser
a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos (internos y
externos) los que sean relevantes para el gobierno y la gestión de la información de la
empresa y TI relacionadas.

31
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Principio 3: Aplicar un Marco de Referencia Único Integrado. Hay muchos estándares y buenas
prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. CobiT v5
se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede
hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la empresa.
 Principio 4: Hacer Posible un Enfoque Holístico. Un gobierno y gestión de las TI de la empresa
efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes
interactivos.
Cobit v5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un
sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen como
cualquier cosa que puede ayudar a conseguir las metas de la empresa. Se definen las siguientes
siete categorías de catalizadores:
o Principios, Políticas y Marcos de Trabajo
o Procesos
o Estructuras Organizativas
o Cultura, Ética y Comportamiento
o Información
o Servicios, Infraestructuras y Aplicaciones
o Personas, Habilidades y Competencias
 Principio 5: Separar el Gobierno de la Gestión. El marco de trabajo CobiT v5 establece una clara
distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades,
requieren diferentes estructuras organizativas y sirven a diferentes propósitos.
La publicación de la familia de productos de CobiT v5 se muestra en la figura adjunta.

32
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Se incluyen los siguientes productos:
 Marco de trabajo
 Guías de catalizadores, en la que se discuten en detalle los catalizadores para el gobierno y
gestión.
o Información Catalizadora
o Información posibilitadora (en desarrollo)
o Otras guías de catalizadores
 Guías profesionales de CobiT, incluyendo:
o Implementación
o Seguridad de la Información (en desarrollo)
o Aseguramiento (en desarrollo)
o Riesgos (en desarrollo)
o Otras guías profesionales
 Un entorno colaborativo online, para dar soporte.

03.01. Principio 1. Satisfacer las Necesidades de las Partes Interesadas

Las empresas existen para crear valor para sus accionistas. En consecuencia, cualquier empresa, comercial
o no, tendrá la creación de valor como un objetivo de Gobierno. Creación de valor significa conseguir
beneficios a un coste óptimo de los recursos mientras se optimiza el riesgo. Los beneficios pueden tomar
muchas formas, por ejemplo, financieros para las empresas comerciales o de servicio público para
entidades gubernamentales
Cada empresa opera en un contexto diferente; este contexto está determinado por factores externos (el
mercado, la industria, geopolítica, etc.) y factores internos (la cultura, organización, umbral de riesgo, etc.) y
requiere un sistema de gobierno y gestión personalizado
Las necesidades de las partes interesadas deben transformarse en una estrategia corporativa factible. La
cascada de metas de CobiT v5 es el mecanismo para traducir las necesidades de las partes interesadas
en metas corporativas, metas relacionadas con las TI y metas catalizadoras específicas, útiles y a medida
(ver la siguiente figura adjunta). Esta traducción permite establecer metas específicas en todos los niveles y
en todas las áreas de la empresa en apoyo de los objetivos generales y requisitos de las partes interesadas
y así, efectivamente, soportar la alineación entre las necesidades de la empresa y las soluciones y servicios
de TI.

33
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Para llevar a cabo la cascada de meta se deben seguir los siguientes pasos:
o Paso 1. Los Motivos de las Partes Interesadas influyen en las Necesidades de las Partes
Interesadas
Las necesidades de las partes interesadas están influidas por diferentes motivos, por ejemplo,
cambios de estrategia, un negocio y entorno regulatorio cambiantes y las nuevas tecnologías.
o Paso 2. Las Necesidades de las Partes Interesadas desencadenan Metas Empresariales
Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto de metas
empresariales genéricas. Estas metas corporativas han sido desarrolladas utilizando las
dimensiones del cuadro de mando integral (CMI, en inglés: Balanced Scorecard, BSC) y
representan una lista de objetivos comúnmente usados que una empresa puede definir por sí
misma. Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la
empresa pueden relacionarse fácilmente con uno o más de los objetivos genéricos de la empresa
CobiT v5 define 17 objetivos genéricos, como se muestra en la figura adjunta, que incluye la
siguiente información:
 La dimensión del CMI en la que encaja la meta corporativa
 Las metas corporativas
 La relación con los tres objetivos principales de Gobierno: realización de beneficios,
optimización de riesgos y optimización de recursos (‘P’ indica una relación primaria y ‘S’ una
relación secundaria, es decir una relación menos fuerte).

34
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 o Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI
El logro de metas empresariales requiere un número de resultados relacionados con las TI, que
están representados por las metas relacionadas con la TI. Se entiende como relacionados con las
TI a la información y tecnologías relacionadas, y las metas relacionadas con las TI se estructuran en
dimensiones del CMI
o Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas Catalizadoras
Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de varios
catalizadores. Los catalizadores incluyen procesos, estructuras organizativas e información, y para
cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas
relacionadas con la TI.
La cascada de metas es importante porque permite la definición de prioridades de implementación, mejora y
aseguramiento del gobierno de las TI de la empresa, que se basa en metas corporativas (estratégicas) de la
empresa y el riesgo relacionado. En la práctica, la cascada de metas:
 Define objetivos y metas relevantes y tangibles en varios niveles de responsabilidad
 Filtra la base de conocimiento de CobiT, sobre la base de metas corporativas para extraer las guías
relevantes que se incluyen en proyectos específicos de implementación, mejora o aseguramiento.
 Identifica claramente y comunica como los catalizadores son importantes para alcanzar metas de
empresa.
Su aplicación debe ser entendida más como una guía que como una aplicación mecánica de los pasos
mencionados. Y esto es así por varias razones:
 Cada empresa establece sus objetivos con distintas prioridades y estas pueden cambiar con el
tiempo.
 Las tablas de relación no distinguen entre el tamaño y/o la industria en la que se enmarca la
empresa. Representan una especie de común denominador sobre como los diferentes objetivos se
relacionan.
 Los indicadores usados en la relación utilizan dos niveles de importancia o relevancia, lo que
sugiere que hay distintos niveles de relevancia cuando en realidad, la asignación se acercará a un
continuo de diversos grados de correspondencia.

35
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
03.02. Principio 2. Cubrir empresa Extremo a Extremo
CobiT v5 contempla el gobierno y la gestión de la información y la tecnología relacionada desde una
perspectiva extremo a extremo y para toda la empresa. Esto significa que:
 Integra el gobierno de la empresa TI en el gobierno corporativo
 Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información
corporativa y las tecnologías relacionadas donde quiera que sea esa información pueda ser
procesada.
Igualmente proporciona una visión integral y sistémica del gobierno y la gestión de la empresa TI basada en
varios catalizadores. La información es una de las categorías de catalizadores. El modelo mediante el que
se define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para
la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y
su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de
contexto.
El enfoque de gobierno extremo-a-extremo, que es la base de CobiT v5, está representado en la siguiente
figura mostrando los componentes clave de un sistema de gobierno.

Además del objetivo de gobierno, los otros elementos principales del enfoque de gobierno incluyen
catalizadores, alcance y roles, actividades y relaciones:
 Catalizadores de Gobierno: son los recursos organizativos para el gobierno, tales como marcos de
referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las
acciones son dirigidas y los objetivos pueden ser alcanzados. Los catalizadores también incluyen
los recursos corporativos (por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones,
etc.), personas e información. Una falta de recursos o catalizadores puede afectar a la capacidad de
la empresa de crear valor.
 Alcance de Gobierno: el gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo
tangible o intangible, etc. Es decir, es posible definir diferentes vistas de la empresa a la que se
aplica el gobierno, y es esencial definir bien este alcance del sistema de gobierno.
 Roles, Actividades y Relaciones: definen quién está involucrado en el gobierno, como se
involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno.
Se diferencia claramente entre las actividades de gobierno y de gestión en los dominios de gobierno
y gestión, así como en la interconexión entre ellos y los actores implicados.

36
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
03.03. Principio 3: Aplicar un Marco de Referencia Único Integrado
CobiT v5 es un marco de referencia único
e integrado porque:
 Se alinea con otros estándares y
marcos de referencia relevantes, y
por tanto, permite ser usado como
el marco integrador general de
gestión y gobierno
 Es completo en cuanto a la
cobertura de la empresa,
proporcionando una base para
integrar de manera efectiva
marcos, estándares y prácticas
utilizadas.
 Proporciona una arquitectura
simple para estructurar los
materiales de guía y producir un
conjunto consistente.
 Integra todo el conocimiento
disperso previamente en los
diferentes marcos de ISACA, entre
los que se puede mencionar:
CobiT, Val IT y Risk IT
El marco de referencia proporciona a sus
grupos de interés la guía más completa y
actualizada sobre gobierno y la gestión de
la empresa TI mediante:
 La investigación y utilización de un
conjunto de fuentes que han
impulsado el nuevo contenido
desarrollado, incluyendo:

o La unión de todas las guías existentes de ISACA (CobiT v4.1, Val IT 2.0, Risk IT, BMIS) en
este único marco.
o Completar este contenido con áreas que necesitaban más elaboración y actualización.
o El alineamiento a otros estándares y marcos relevantes
 Definiendo un conjunto de catalizadores de gobierno y gestión.
 Poblando una base de conocimiento CobiT v5 que contiene todas las guías y contenido producido
hasta ahora y que proporcionará una estructura para contenidos futuros adicionales
 Proporcionando una referencia base de buenas prácticas exhaustiva y sólida.

03.04. Principio 4: Hacer Posible un Enfoque Holístico

Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo funcionará (en este
caso, el gobierno y la gestión de la empresa TI). Los catalizadores son guiados por la cascada de metas, es
decir, objetivos de alto nivel relacionados con TI definen lo que los diferentes catalizadores deberían
conseguir.
En CobiT v5 se definen siete categorías de catalizadores, tal y como se ven en la figura adjunta:

37
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Principios, políticas y marcos de referencia: son el vehículo para traducir el comportamiento
deseado en guías prácticas para la gestión del día a día.
 Los procesos: describen: un conjunto organizado de prácticas y actividades para alcanzar ciertos
objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con
TI.
 Las estructuras organizativas: son las entidades de toma de decisiones clave en una
organización.
 La Cultura, ética y comportamiento de los individuos y de la empresa son muy a menudo
subestimados como factor de éxito en las actividades de gobierno y gestión.
 La información: impregna toda la organización e incluye toda la información producida y utilizada
por la empresa. Es necesaria para mantener la organización funcionando y bien gobernada, pero a
nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma.
 Los servicios, infraestructuras y aplicaciones: incluyen la infraestructura, tecnología y
aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la
información.
 Las personas, habilidades y competencias: están relacionadas con las personas y son
necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta
toma de decisiones y de acciones correctivas.
Este enfoque, basado en catalizadores, implica que cualquier empresa debe considerar siempre considerar
un conjunto interconectado de catalizadores. Es decir, cada catalizador:
 Necesita del resultado de otros catalizadores para ser completamente efectivo, por ejemplo los
procesos necesitan información, las estructuras organizativas necesitan habilidades y
comportamiento.
 Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los procesos
proporcionan información habilidades y el comportamiento hace los procesos eficientes.
Por tanto, cuando se trata con el gobierno y la gestión de la empresa TI, se pueden tomar buenas
decisiones solo cuando se toma en consideración esta naturaleza sistémica del gobierno y de la gestión.
Esto significa que para tratar con cualquier necesidad de un grupo de interés, todos los catalizadores
interrelacionados tienen que ser analizados para saber si son relevantes y contemplados si fuera necesario
Los catalizadores tienen un conjunto de dimensiones comunes, que:
 Proporcionan una manera común, simple y estructurada de tratarlos.
 Permite a una entidad manejar interacciones complejas.
 Facilita resultados exitosos de los catalizadores
Las cuatro dimensiones comunes de los catalizadores son las siguientes:
 Grupos de interés: cada catalizador tiene grupos de interés (partes que juegan un rol activo y/o
tienen un interés en el catalizador). Por ejemplo, los procesos tienen diferentes Metas que realizan
38
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 actividades y/o tienen un interés en los resultados del proceso; las estructuras organizativas tienen
grupos de interés, que son parte de las estructuras.
Los grupos de interés pueden ser internos o externos a la empresa, cada uno de ellos con sus
propias necesidades e intereses, algunas veces contrarios entre sí. Las necesidades de los grupos
de interés se traducen en metas corporativas, que a su vez se traducen en objetivos de TI para la
empresa.
 Metas: cada catalizador tiene varias metas, y los catalizadores proporcionan valor por la
consecución de dichas metas. Las metas pueden ser definidas en términos de:
o Resultados esperados del catalizador.
o Aplicación u operación del catalizador en sí mismo.
Las metas del catalizador son el paso final en la cascada de metas de CobiT v5. Las metas pueden
ser divididas a su vez en diferentes categorías:
o Calidad intrínseca: medida en que los catalizadores trabajan de manera precisa, objetiva y
proporcionan resultados precisos, objetivos y de confianza.
o Calidad contextual: medida en que los catalizadores y sus resultados son aptos para el
propósito dado el contexto en el que operan. Por ejemplo, los resultados deben ser
relevantes, completos, actuales, apropiados, consistentes, comprensibles y fáciles de usar.
o Accesibilidad y seguridad: medida en que los catalizadores y sus resultados son accesibles
y seguros, tales como:
 Los catalizadores están disponibles cuando, y si, se necesitan.
 Los resultados son asegurados, es decir, el acceso está restringido a aquellos
autorizados y que lo necesitan.
 Ciclo de vida: cada catalizador tiene un ciclo de vida, desde el comienzo pasando por su vida útil /
operativa hasta su eliminación. Esto aplica a información, estructuras, procesos, políticas, etc. Las
fases del ciclo de vida consisten en:
o Planificar (incluye el desarrollo y selección de conceptos).
o Diseñar.
o Construir / adquirir / crear / implementar.
o Utilizar / operar.
o Evaluar / monitorizar.
o Actualizar / eliminar.
 Buenas prácticas: para cada uno de los catalizadores, se pueden definir buenas prácticas. Las
buenas prácticas soportan la consecución de los objetivos del catalizador. Las buenas prácticas
proporcionan ejemplos y sugerencias sobre cómo implementar de la mejor manera el catalizador y
qué productos o entradas y salidas son necesarios.
Las empresas esperan resultados positivos de la aplicación y uso de los catalizadores. Para gestionar el
rendimiento de los catalizadores, las siguientes cuestiones deberán ser supervisadas y respondidas más
tarde (basadas en las métricas) de manera periódica:
 ¿Se consideran las necesidades de las partes interesadas?
 ¿Se alcanzan los objetivos de los catalizadores?
 ¿Se gestiona el ciclo de vida?
 ¿Se aplican buenas prácticas?
Los primeros dos puntos tratan con el resultado actual del catalizador. Las métricas utilizadas para medir el
punto hasta el que las metas son alcanzadas pueden ser denominadas ‘indicadores de retraso’.
Los dos últimos puntos tratan con el funcionamiento actual del catalizador en sí mismo y las métricas para
ellos pueden ser denominadas ‘indicadores de avance’

39
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
03.05. Principio 5: Separar el Gobierno de la Gestión
El marco de CobiT v5 realiza una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban
diferentes tipos de actividades, requieren estructuras organizativas diferentes y sirven para diferentes
propósitos
Así, se define Gobierno, como el que asegura que se evalúan las necesidades, condiciones y opciones de
las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas.
Establece también la dirección a través de la priorización y la toma de decisiones y mide el rendimiento y el
cumplimiento respecto a la dirección y metas acordadas.
Y se define Gestión, como la que planifica, construye, ejecuta y controla actividades alineadas con la
dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales
Partiendo de las definiciones entre gobierno y gestión dadas por CobiT v5, está claro que comprenden
diferentes tipos de actividades, con diferentes responsabilidades; sin embargo, dado el papel de gobierno
(evaluar, orientar y vigilar) se requiere un conjunto de interacciones entre gobierno y gestión para obtener
un sistema de gobierno eficiente y eficaz
CobiT v5 no es prescriptivo, pero sí defiende que las empresas implementen procesos de gobierno y de
gestión de manera que las áreas fundamentales estén cubiertas, tal y como se muestra en la siguiente
figura:

Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de
gobierno y gestión queden cubiertas: empresas más pequeñas pueden tener pocos procesos y empresas
más grandes y complejas pueden tener numerosos procesos, pero todos con el ánimo de cubrir las mismas
metas
CobiT v5 incluye un modelo de referencia de procesos que define y describe en detalle varios procesos de
gobierno y de gestión. Dicho modelo representa todos los procesos que normalmente se encuentran en una
empresa relacionados con las actividades de TI, proporcionando una referencia común entendible para las
operaciones de TI y los responsables de negocio. El modelo de proceso propuesto es completo e integral,
pero no constituye el único modelo de procesos posible, de forma que cada empresa debe definir su propio
conjunto de procesos, teniendo en cuenta su situación particular.
La incorporación de un modelo operacional y un lenguaje común para todas las partes de la empresa
involucradas en las actividades de TI es uno de los pasos más importantes y críticos hacia el buen gobierno.
Adicionalmente proporciona un marco para medir y vigilar el rendimiento de TI, proporcionar garantía de TI,
comunicarse con los proveedores de servicio e integrar las mejores prácticas de gestión.
El modelo de referencia de procesos de CobiT v5, que se ven en la figura adjunta, divide los procesos de
gobierno y de gestión de la TI empresarial en dos dominios principales de procesos:
 Gobierno: contiene cinco procesos de gobierno; dentro de cada proceso se definen prácticas de
40
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 evaluación, orientación y supervisión (EDM, Evaluating, Direction, Monitoring)
 Gestión: contiene cuatro dominios, en consonancia con las áreas de responsabilidad de Planificar,
Construir, Ejecutar y Supervisar (Plan, Build, Run and Monitor, PBRM), y proporciona cobertura
extremo a extremo de las TI. Estos dominios son una evolución de la estructura de procesos y
dominios de CobiT v4.1. Los nombres de estos dominios han sido elegidos de acuerdo con estas
designaciones de áreas principales, pero contienen más verbos para describirlos:
o Alinear, Planificar y Organizar (Align, Plan and Organise, APO)
o Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)
o Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
o Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)

Cada dominio contiene un número de procesos. A pesar de que la mayoría de los procesos requieren de
actividades de “planificación”, “implementación”, “ejecución” y “supervisión”, bien en el propio proceso, o
bien en la cuestión específica a resolver (como por ejemplo: calidad, seguridad), están situados en dominios
de acuerdo con el área más relevante de actividad cuando se considera la TI a un nivel empresarial.
El modelo de referencia de procesos de CobiT v5 es el sucesor del modelo de procesos de CobiT v4.1 e
integra también los modelos de procesos de Risk IT y Val IT. En la figura siguiente se puede ver el conjunto
completo de los 37 procesos de gobierno y gestión. Los detalles de todos los procesos, de acuerdo con el
modelo de proceso anteriormente descrito, están recogidos en la guía CobiT v5: Procesos Catalizadores.

41
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Estos procesos se mapean con las metas empresariales son soportadas (o se traducen) en objetivos
relacionados con TI. En la siguiente tabla se puede ver la siguiente información:
Las columnas contienen agrupados por dimensión del CMI, los 17 objetivos genéricos corporativos
En horizontal, los 17 objetivos están agrupados por dimensión del CMI
El mapeo de cómo cada objetivo corporativo es soportado por los objetivos TI relacionados. Se expresa
usando la siguiente escala:
 ‘P’ - Principal: cuando hay una importante relación, es decir, las metas relacionadas con TI que son
el pilar imprescindible para conseguir los objetivos de la empresa.
 ‘S’ – Secundario: , cuando todavía hay un vínculo fuerte, pero menos importante, es decir, las
metas relacionadas con TI son un soporte secundario para los objetivos de la empresa.

42
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
03.05.01. Modelos de capacidad de procesos

Los usuarios de Cobit v4.1, Risk IT y Val IT están familiarizados con los modelos de madurez de procesos
incluidos en esos marcos. Estos modelos se utilizan para medir la madurez actual o en el estado en que se
encuentran los procesos relacionados con las TI de una empresa, para definir un estado de madurez
requerido, y para determinar la brecha entre ellos y la forma de mejorar el proceso para alcanzar el nivel de
madurez deseado
El conjunto de productos de CobiT v5 incluye un modelo de capacidad de procesos, basado en la norma
internacionalmente reconocida ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos
Sin embargo, el nuevo modelo es diferente del modelo de madurez de CobiT v4.1 en su diseño y uso. En
este, para usar el modelo de madurez para la mejora de procesos (evaluar la madurez de un proceso,
definir nivel objetivo de madurez e identificar las deficiencias) se requería utilizar los siguientes
componentes:
 Primero hacer un análisis para comprobar si los objetivos de control de los procesos se cumplían
43
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Después, el modelo de madurez incluido en la guía de gestión para cada proceso podía ser utilizada
para obtener un perfil de madurez del proceso. Este modelo proporcionaba seis atributos diferentes
que se aplicaban a cada proceso para obtener una perspectiva más detallada del nivel de madurez.
 Por último, los controles de proceso también necesitaban ser revidados al realizar un análisis de
proceso.
En el nuevo modelo propuesto por CobiT v5, se mantienen los seis niveles de madurez ya recogidos en los
anteriores modelos, con cambios en los nombres y contenidos. Estos niveles son los siguientes:
 Nivel 0 – Proceso incompleto: el proceso no está implementado o no alcanza el propósito. A este
nivel, hay muy poca o ninguna evidencia de ningún logro sistemático del propósito del proceso.
 Nivel 1 – Proceso ejecutado: el proceso incompleto alcanza su propósito.
 Nivel 2 – Proceso gestionado: el proceso ejecutado está ya implementado de forma gestionada
(planificado, supervisado y ajustado) y los resultados de su ejecución están establecidos y
mantenidos apropiadamente.
 Nivel 3 – Proceso establecido: el proceso gestionado esta ahora implementado usando un
proceso definido que capaz de alcanzar sus resultados de proceso.
 Nivel 4 – Proceso predecible: el proceso establecido ahora se ejecuta dentro de los límites
definidos para alcanzar sus resultados de proceso.
 Nivel 5 – Proceso optimizado: el proceso predecible es mejorado de forma continua para cumplir
con las metas empresariales presentes y futuras.
Cada nivel de capacidad puede ser alcanzado sólo cuando el nivel inferior se ha alcanzado por completo.
Por ejemplo, un nivel 3 de capacidad de proceso (establecido) requiere que los atributos de definición y
despliegue del proceso se hayan alcanzado ampliamente, sobre la consecución completa de los atributos
del nivel 2 de madurez de procesos (proceso gestionado).
Existe una diferencia significativa entre el nivel 1 de capacidad de procesos y los niveles superiores.
Alcanzar el nivel 1 requiere que el atributo de rendimiento sea alcanzado ampliamente, lo que significa que
el proceso se ejecuta con éxito y la organización obtiene los resultados esperados. Es entonces cuando los
niveles de capacidad superiores añaden diferentes atributos al proceso. En este esquema de evaluación,
alcanzar un nivel 1 de capacidad, incluso en una escala de 5, es ya un logro importante para la
organización.
De las descripciones previas, está claro que hay algunas diferencias prácticas asociadas con el cambio en
los modelos de evaluación de procesos. Los usuarios han de ser conscientes de estos cambios y tenerlos
en cuenta en sus planes de acción. Aunque aparentemente en CobiT v5, parecen similares las escalas
numéricas y las descripciones de cada nivel, existen diferencias con respecto al anterior modelo (v4.1) tal y
como se puede ver en la tabla adjunta:

Comparación niveles de madurez CobiT v4.1 y Niveles de Capacidad de procesos CobiT v5

CobiT v4.1 CobiT v5
5 - Optimizado: los procesos han sido refinados a Nivel 5 - Proceso optimizado: el proceso
nivel de buena práctica, sobre la base de los predecible del nivel 4 es mejorado continuamente
resultados de mejora continua y de modelado de para alcanzar metas de negocio actuales y futuros.
madurez con otras empresas. Las TI se usan de
forma integrada para automatizar los flujos de
trabajo, proporcionando herramientas para mejorar
la calidad y la efectividad, haciendo a la empresa
rápida para adaptarse
4 - Gestionado y medible: los responsables de la Nivel 4 - Proceso establecido: el proceso
gestión monitorizan y miden el cumplimiento con establecido del nivel 3 es operado ahora dentro de
procedimientos y llevan a cabo acciones donde los unos límites definidos para alcanzar sus resultados.
procesos parecen no estar funcionando con
efectividad. Los procesos están bajo constante
mejora y proporcionan buenas prácticas.
Automatización y herramientas son usadas de forma
limitada o fragmentada

44
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Comparación niveles de madurez CobiT v4.1 y Niveles de Capacidad de procesos CobiT v5
3 - Procesos definidos: se han estandarizado, Nivel 3 - Proceso establecido: el proceso
documentado y comunicado los procedimientos gestionado del nivel 2 se implementa usando un
mediante formación. Es obligatorio seguir estos proceso definido que es capaz de alcanzar sus
procedimientos, sin embargo es poco probable que objetivos.
se detecten desviaciones. Los procedimientos no
son sofisticados en sí mismos, pero sí la
formalización de las prácticas existentes
Nivel 2 - Proceso gestionado: el proceso
ejecutado del nivel 1 es implementado de forma
gestionada (planificado, supervisado y ajustado) y
sus resultados son debidamente establecidos,
controlados y mantenidos.
2 - Repetible pero intuitivo: los procesos están
desarrollados hasta el punto de que procedimientos
similares son seguidos por personas diferentes
ejecutando la misma tarea. No hay formación formal
o comunicación de los procedimientos estándar, y la
responsabilidad se deja a la persona de forma
individual. Hay un alto grado de dependencia en el
conocimiento individual y, por lo tanto, los errores Nivel 1 - Proceso ejecutado: el proceso
son probables. implementado alcanza su objetivo
1 - Inicial/Ad hoc: hay evidencia de que la empresa
reconoce que existe el problema y que hay que
abordarlo. Sin embargo, no hay procesos
estandarizados. En su lugar hay enfoques ad hoc
que tienden a aplicarse de forma individual o caso
por caso. La aproximación general a la gestión es
desorganizada.
0 - Inexistente: ausencia completa de cualquier Nivel 0 - Proceso incompleto: el proceso no está
proceso reconocible. La empresa ni siquiera ha implantado o no alcanza sus objetivos
reconocido que hay un problema que gestionar.

De esta comparación se pueden extraer los siguientes beneficios de la aplicación del nuevo modelo de
Cobit v5 con respecto al anterior (v4.1):
 Enfoque mejorado en los procesos de ejecución, para confirmar que se está consiguiendo
realmente su objetivo y que está entregando los resultados esperados.
 Contenido simplificado a través de la eliminación de duplicados. En el caso del modelo de la v4.1 se
requería el uso de un número de componentes específicos, incluido el modelo de madurez genérico,
los modelos de madurez de los procesos, objetivos de control y controles de procesos para apoyar
las evaluaciones de los procesos
 Confiabilidad y repetitividad mejorada de las actividades y valoraciones de evaluaciones de la
capacidad procesos, reduciendo discusiones y falta de acuerdo entre las partes interesadas sobre
los resultados de la evaluación
 Incremento de la utilidad de los resultados de evaluación de la capacidad de los procesos, ya que el
nuevo modelo establece una base para que se lleven a cabo evaluaciones más formales y
rigurosas, tanto para propósitos internos como externos
 Cumplimiento con un estándar de evaluación de procesos generalmente aceptado y de esta forma
con un fuerte soporte al enfoque de evaluación de procesos por el mercado.

03.06. Guía de Implantación

ISACA proporciona guías de implementación en su publicación CobiT v5 Implementación, que está basada
en un ciclo de vida de mejora continua. No está pensada con un enfoque prescriptivo ni como una solución
completa, sino más bien como una guía para evitar los obstáculos más comunes, aprovechar las mejores
45
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
prácticas y ayudar en la creación de resultados satisfactorios. La guía se complementa con una herramienta
de implementación que contiene varios recursos que serán mejorados continuamente. Sus contenidos
incluyen:
 Herramientas de autoevaluación, medición y diagnóstico.
 Presentaciones orientadas a diversas audiencias.
 Artículos relacionados y explicaciones adicionales.
La implementación del ciclo de vida proporciona a las empresas una manera de usar CobiT para solucionar
la complejidad y los desafíos que normalmente aparecen durante las implementaciones. Los tres
componentes interrelacionados del ciclo de vida son:
1. Ciclo de vida de Mejora continua.
2. Habilitación del cambio
3. Gestión del programa
En la siguiente figura se pueden ver las siete fases del ciclo de vida:

 Fase 1: comienza con el reconocimiento y aceptación de la necesidad de una iniciativa de

implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de
cambio a un nivel de dirección ejecutiva.
 Fase 2: se concentra en definir el alcance de la iniciativa de implementación o mejora empleando el
mapeo de CobiT de metas empresariales con metas de TI a los procesos de TI asociados, y
considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que
focalizarse. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y
deficiencias mediante la ejecución de un proceso de revisión de capacidad.
 Fase 3: se establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las
directrices de CobiT para identificar diferencias y posibles soluciones. Algunas soluciones pueden
ser beneficios inmediatos y otras actividades pueden ser más desafiantes y de largo plazo. La
prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y aquellas que podrían
proporcionar los mayores beneficios.
 Fase 4: planifica soluciones prácticas mediante la definición de proyectos apoyados por casos de
negocios justificados. Además, se desarrolla un plan de cambios para la implementación. Un caso
46
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
 de negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del
proyecto.
 Fase 5: se implementan las soluciones propuestas en prácticas día a día. Se pueden definir las
mediciones y establecer la supervisión empleando las metas y métricas de CobiT para asegurar que
se consigue y mantiene la alineación con el negocio y que el rendimiento puede ser medido. El éxito
requiere el compromiso y la decidida apuesta de la alta dirección, así como la propiedad por las
partes afectadas a nivel TI y de negocio.
 Fase 6: se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la
supervisión de la consecución de los beneficios esperados.
 Fase 7: se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno
o la gestión de la TI empresarial y se refuerza la necesidad de mejora continua.
A lo largo del tiempo, el ciclo de vida debería seguirse de modo iterativo, al tiempo que se construye un
modelo sostenible de gobierno y gestión de TI corporativa. Se debe plantear desde un punto de vista de alto
nivel, destacando los siguientes aspectos:
 Considerar el entorno empresarial.
 Crear el entorno apropiado para la implementación
 Reconocer los puntos débiles y eventos desencadenantes.
 Facilitando el cambio
 Realizar un caso de negocio

03.06.01. Considerando en entorno empresarial

El gobierno y la gestión de la TI empresarial no suceden de manera aislada. Cada empresa necesita diseñar
su propio plan de implantación, atendiendo a los factores específicos del entorno interno y externo de la
empresa, como por ejemplo:
 Ética y cultura.
 Leyes aplicables, regulaciones y políticas.
 Misión, visión y valores.
 Políticas y prácticas de gobierno.
 Plan de negocio y perspectivas estratégicas.
 Modelo operativo y nivel de madurez.
 Estilo de gestión.
 Umbral de riesgo.
 Capacidades y recursos disponibles.
 Prácticas de industria.
Es igualmente importante aprovechar y desarrollar los catalizadores de gobierno empresarial existentes.
El enfoque óptimo para el gobierno y gestión de la TI empresarial será distinto para cada empresa, siendo
necesario entender y considerar el contexto para adoptar y adaptar CobitT v5 de modo efectivo en la
implementación de los catalizadores de gobierno y gestión de TI empresarial. CobiT v5 es, a menudo,
complementado por otros marcos, buenas prácticas y estándares, y éstos también necesitan ser adaptados
para ajustarse a los requisitos específicos.
Algunos factores críticos de éxito para una implementación con éxito son:
 Que la alta dirección proporcione la orientación y directrices para la iniciativa, así como el
compromiso y apoyo.
 Todas las partes deben apoyar los procesos de gobierno y gestión para entender el negocio y las
metas TI.
 Asegurar la comunicación efectiva y habilitación de los cambios necesarios
47
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Personalizar CobiT y otras buenas prácticas y estándares empleados, para ajustarlos al entorno
único de la empresa.
 Enfocarse en resultados inmediatos y priorizar las mejoras más beneficiosas que sean sencillas de
implementar.

03.06.02. Creando en el entorno apropiado

En las iniciativas de implementación que se apoyan en CobiT v5 es importante que sean correctamente
gobernadas y adecuadamente gestionadas. La mayoría de las iniciativas relacionadas con TI fracasan a
menudo por una dirección, soporte y supervisión inadecuados por las distintas partes interesadas
necesarias. El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras sean
adoptadas y mantenidas. En un entorno empresarial de poca fortaleza (como, por ejemplo, un modelo
operativo de negocio poco claro o carente de catalizadores de gobernabilidad a nivel empresarial), este
apoyo y participación es todavía más importante.
Los catalizadores que aprovecha CobiT v5 deberían proporcionar una solución considerando necesidades y
problemas reales de negocio en lugar de ser un fin en sí mismos. Los requerimientos basados en aspectos
sensibles y factores actuales deberían ser identificados por la dirección como áreas que tienen que ser
consideradas. Las comprobaciones de alto nivel, los diagnósticos y las valoraciones basadas en CobiT v5
son excelentes herramientas para concienciar, crear consenso y generar compromiso para actuar. Desde el
inicio se debe solicitar el compromiso e interiorización de las partes interesadas más relevantes. Para
conseguir esto, los objetivos y beneficios de la implementación necesitan ser claramente expresados en
términos de negocio y resumidos en un resumen de caso de negocio.
Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos adecuados para apoyar
el programa.
Los roles y responsabilidades esenciales del programa deberían ser definidos y asignados. Hay que tener
cuidado de cara al exterior en mantener el compromiso de todas las partes interesadas afectadas.
Se deberían establecer y mantener las estructuras y procesos apropiados para supervisar y orientar. Estas
estructuras y procesos deberían también asegurar la alineación con los enfoques de gobierno corporativo y
de gestión del riesgo.
Tanto las partes interesadas clave como el consejo y los ejecutivos deberían proporcionar apoyo visible y
compromiso para establecer el ejemplo de la cúpula empresarial y garantizar el compromiso con el
programa a todos los niveles.

03.06.03. Reconociendo puntos débiles y sus eventos desencadenantes

Hay un número de factores que pueden indicar una necesidad de mejora del gobierno y gestión de la TI
empresarial.
Usando los puntos débiles y sus eventos desencadenantes como punto de lanzamiento de las iniciativas de
implementación, el caso de negocio para la mejora del gobierno o gestión de la TI empresarial puede
relacionarse con situaciones prácticas y cotidianas que se hayan experimentado. Esto mejorará la
aceptación y creará la sensación de urgencia en la empresa de que es necesario el lanzamiento de la
implementación. Adicionalmente, se podrán identificar los beneficios y se puede mostrar valor añadido en
aquellas áreas que son las más visibles y reconocibles en la empresa. Esto proporciona una plataforma
para introducir otros cambios y puede ayudar a extender el compromiso en la alta dirección y soportar más
cambios estructurales.
Ejemplos de algunos de las típicas áreas sensibles para los que el nuevo o revisado gobierno o gestión de
TI puede ser una solución (o parte de ella), tal y como se identifica en CobiT v5 Implementación, son:
 Frustración a nivel de negocio con incoativas fallidas, incrementando los costes TI y la percepción
de bajo valor de negocio
 Incidentes significativos relativos a riesgos TI, como pérdida de datos y fallos en proyectos
 Problemas de externalización de la entrega del servicio, como por ejemplo fallos en los niveles de
servicio acordados.
 Incapacidad de cumplir con requerimientos regulatorios o contractuales.
 Gastos de TI ocultos o malintencionados.
48
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
  Insuficientes recursos TI, personal con habilidades inadecuadas, agotado o insatisfecho.
 Modelos operativos TI complejos.

03.06.04. Facilitando el cambio

Una implementación con éxito depende de aplicar el cambio apropiado (con los catalizadores oportunos de
gobierno o gestión) del modo adecuado. En muchas empresas, hay un importante foco en el primer aspecto
(gobierno o gestión de TI esenciales) pero no el suficiente énfasis en gestionar los aspectos humanos,
culturales y de comportamiento del cambio y motivar a los interesados en involucrarse con el mismo.
No debería darse por hecho que las diferentes partes interesadas implicadas en, o impactadas por, un
nuevo o actualizado catalizador aceptarán o adoptarán rápidamente el cambio. La posibilidad de
desconocer y/o la resistencia al cambio necesitan ser resueltas mediante un enfoque estructurado y
proactivo. Además, se debería conseguir la concienciación óptima en la implementación del programa
mediante un plan de comunicación que defina lo que será comunicado, de qué manera y por quién, a lo
largo de las distintas fases del programa.
La mejora sostenible se puede conseguir bien mediante la adquisición del compromiso de las partes
implicadas o, cuando sea necesario, mediante la exigencia del cumplimiento En otras palabras, deben
superarse las barreras humanas, el comportamiento y la cultura de modo que haya un interés común en
adoptar apropiadamente el cambio, infundiendo el deseo de adoptarlo y asegurando la capacidad de
adopción.

03.06.05. Realizar un caso de negocio

Para asegurar el éxito de las iniciativas de implementación que aprovechan CobiT, la necesidad de actuar
debería ser ampliamente reconocida y comunicada en la empresa. Esto puede tener la forma de un toque
de atención (cuando los puntos débiles se están produciendo, como hemos visto antes) o como una
expresión de la oportunidad de mejora que debe ser perseguida y, muy importante, los beneficios que
pueden obtenerse. Se debe inculcar un nivel adecuado de urgencia y las partes interesadas clave deberían
ser conscientes del riesgo de no tomar acción alguna, así como de los beneficios de emprender el
programa.
La iniciativa debería ser propiedad de un patrocinador, involucrar a todas las partes interesadas
fundamentales y debería basarse en un caso de negocio. Inicialmente, esto puede hacerse a un alto nivel
desde una perspectiva estratégica (de arriba abajo) empezando con un claro entendimiento de los
beneficios de negocio deseados y progresar a una descripción detallada de las tareas críticas e hitos, así
como de los roles clave y responsabilidades.
El caso de negocio es una valiosa herramienta disponible para la dirección que dirige la creación de valor de
negocio. Como mínimo, el caso de negocio debería incluir lo siguiente:
 Los objetivos de beneficios del negocio, su alineación con la estrategia de negocio y los propietarios
del beneficio (quién dentro del negocio será responsable de asegurarlos). Esto se podría basar en
puntos débiles o desencadenantes de eventos.
 Los cambios de negocio requeridos para crear el valor previsto. Esto se podría basar en
comprobaciones y análisis de deficiencias de capacidad y deberían indicar claramente qué está
dentro del ámbito y qué está fuera de él.
 Las inversiones precisas para realizar los cambios de gobierno y gestión TI corporativa (basándose
en estimaciones de proyectos necesarios)
 Los costes ordinarios de TI y negocio.
 Los beneficios esperados de operar con el nuevo modo.
 El riesgo inherente en los puntos anteriores, incluyendo cualquier restricción o dependencia (basado
en desafíos y factores de riesgo)
 Roles, responsabilidades y obligaciones relativas a la iniciativa.
 Cómo la inversión y la creación de valor serán supervisadas a través del ciclo de vida económico y
como se usarán las métricas (basado en metas y métricas)
El caso de negocio no es un documento estático puntual, sino una herramienta dinámica y operativa que
49
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
debe ser continuamente actualizada para reflejar las previsiones actuales, de manera que se pueda
mantener una perspectiva de la viabilidad del programa.
Los beneficios de las iniciativas de implementación o de mejora pueden ser difíciles de cuantificar y habría
que tener precaución a la hora de comprometerse sólo con beneficios que sean realistas y alcanzables.

50
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas
Bibliografía
 itSMF Internacional: http://www.itsmfi.es/
 itSMF España: http://www.itsmf.es/
 Sobre las librerías ITIL. Enlace: http://www.itil-officialsite.com/
 Volúmenes ITIL v3 de referencia:
o Libro 1: Service Strategy
o Libro 2: Service Design
o Libro 3: Service Transition
o Libro 4: Service Operation
o Libro 5: Continual Service Improvement
 Sobre los fundamentos de CobiT v5 en ISACA. Enlace: http://www.isaca.org/cobit

51
105. Planificación y control de las TIC: Gestión de servicios e infraestructuras TIC, gestión del valor de las TIC. Acuerdos
de Nivel de Servicio. Gestión de incidencias. Bases conceptuales de ITIL (IT Infrastructure Library), y CoBIT (Control
Objetives for Information and Related Technology), objetivos de control y métricas