Las empresas dependen cada vez más de las TI para su supervivencia y crecimiento, siendo actualmente fundamental para mantener y hacer que crezca el negocio. Como consecuencia, en las últimas dos décadas se ha prestado una atención especial al gobierno de TI, siendo Cobit un marco de buenas prácticas de gobierno de TI (que reúne el consenso de expertos), que se ha desarrollado en ese periodo, así como el estándar ISO 38500, que posee conocimientos más básicos sobre este campo.
El gobierno de TI es una parte fundamental del gobierno corporativo, siendo necesario que el gobierno de TI esté alineado al negocio para la creación de valor.
Las actividades de la empresa requieren información de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratégico y sus actividades de TI.
TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.
El gobierno de TI es complejo y multifacético. No existe una fórmula milagrosa (ni modo ideal) para diseñar, implementar y mantener un sistema de gobierno de TI eficaz y eficiente dentro de una organización. Sin embargo, es imprescindible que las organizaciones para gobernar TI, se basen en un marco de buenas prácticas, siendo Cobit un marco muy usado en países desarrollados.
El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. El consejo directivo y la alta gerencia de la organización necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologías de Información son capaces de soportar los objetivos y estrategias de la organización.
Cobit posee un modelo de referencia que se basa en 40 objetivos (cada objetivo posee un proceso y otros componentes), agrupados en cinco dominios:
- Evaluar, dirigir y monitorear
- Alinear, planificar y organizar
- Construir, adquirir e implementar
- Entregar, dar servicio y soporte.
- Monitorizar, evaluar y monitorizar.
Este modelo cubre todos los aspectos de la información y de la tecnología que la soporta, pero sin embargo se recomienda que debe pasar por un proceso de adaptación a las necesidades de cada empresa y de alineación al negocio.
Para asegurar que la Gerencia alcance los objetivos de negocio, ésta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre la gestión de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades más importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando lo bien que se están desarrollando los procesos de TI. Aún más, necesita tener la habilidad de evaluar el nivel de madurez de la organización contra las mejores prácticas industriales y los modelos internacionales.
Una necesidad básica para toda organización es entender la situación de sus propios sistemas de TI y decidir qué seguridad y control se les debe suministrar. Ningún aspecto de este problema—entender el nivel de control requerido y decidir sobre el mismo—es directo. Obtener una visión objetiva del propio nivel de una organización no es fácil. ¿Qué se debe medir y cómo? Además de la necesidad de medir dónde se encuentra una organización, está la importancia de la constante mejora en las áreas de seguridad y control de TI, y la necesidad de un conjunto de herramientas de administración para monitorizar esta mejora. Decidir cuál es el nivel correcto es igualmente difícil.