Con arreglo a la ISO/IEC 38500, la gestión se relaciona con “el sistema de controles y procesos requeridos para alcanzar los objetivos estratégicos fijados por el consejo de administración de la organización. La dirección está sujeta a la orientación y a la supervisión de las políticas establecidas a través de la gobernanza corporativa”. Para COBIT®, la gestión de las TIC planifica, construye, dirige y supervisa las actividades, de conformidad con la dirección establecida por el órgano de gobernanza, para alcanzar los objetivos de la empresa.

Esta sección de las directrices aporta un punto de partida a la aplicación de los progresos generales de gestión de las TIC y la implementación basada en las TIC de las funciones de seguridad social, y aborda la definición de estrategia de las TIC y la gestión de la continuidad de la empresa.

La definición de estrategia de las TIC (Directriz 3) es especialmente pertinente para las instituciones de seguridad social. Por una parte, la magnitud y la complejidad de los proyectos en materia de seguridad social, necesita una perspectiva de medio y largo plazo en cuanto a tecnologías y productos. En primer término, fomentar la compatibilidad (interoperabilidad) en los sistemas de las TIC, requiere una perspectiva prudente orientada al futuro y una determinación de los estándares institucionales que han de seguirse en el largo plazo. Además, dada la rápida obsolescencia de los productos de las TIC, la elección de aquellos que han de utilizarse en proyectos de largo plazo, requiere un análisis prospectivo para identificar a aquellos que tienen una vida lo más larga posible y que permitirán una evolución más fácil. Por otra parte, las implicaciones de la dependencia financiera y tecnológica relacionadas con la selección de tecnologías y productos, necesitan estrategias de medio y largo plazo para la gestión de la cartera (portfolio) de las TIC.

La estrategia de las TIC se dirige a armonizar los planes relativos a las TIC con los objetivos y los planes estratégicos. También desarrolla la arquitectura empresarial, construyendo bloques y componentes, incluidos los servicios externos y las capacidades conexas, a efectos de permitir respuestas ágiles, fiables y eficientes a los objetivos estratégicos. Para alcanzar esto, los vínculos de la estrategia con la tecnología de la información y las tendencias de los servicios relacionados garantizan la identificación de oportunidades de innovación y permite una planificación, con el fin de que la empresa tenga necesidad de obtener un beneficio de la innovación.

Una actividad clave de las instituciones de seguridad social es hacer operativas las funciones de la seguridad social, a través de enfoques basados en las TIC (Directriz 5). Esto consiste fundamentalmente en la definición y la implementación de planes y proyectos relacionados con las TIC, sustentados en los objetivos, los planes estratégicos y los marcos de trabajo de la institución. La naturaleza de la implementación dependerá, en última instancia, de factores contextuales, pero se dan aquí algunos indicios pertinentes para diferentes tipos de funciones de la seguridad social. La implementación de servicios electrónicos para suministrar varias de estas funciones hoy constituye una actividad central de las instituciones de seguridad social (Directriz 6).