GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL

Transcripción

1 GOBIERNO Y GESTIÓN TIC Marcos de Referencia: COBIT, PMBOK, ITIL

2 Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto ha propiciado la aparición de modelos, metodologías y prácticas dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de las áreas TI mientras que otras externas tienen como propósito el control externo de las propias unidades TIC. Las metodologías más comunes en el ámbito del Gobierno TI son: ISO COBIT ITIL PMBOK

3 COBIT COBIT. Acrónimo de Objetivos de Control para la Información y la Tecnología relacionada brindan un conjunto de buenas prácticas a través de un marco de trabajo basado en procesos, y presenta las actividades de una estructura manejable y lógica. está dirigido más hacia el control y menos en la ejecución, es decir, indican más qué se debe conseguir sin focalizarse en el cómo.

4 Características COBIT Orientado al negocio, vinculando las metas del negocio con las de TI Proporcionando métricas Proporciona modelos de madurez para medir logros Identificando las responsabilidades asociadas de los propietarios de los procesos Enfoque hacia procesos Establece un modelo que subdivide TI en 34 procesos de acuerdo a 4 áreas de responsabilidad (Planificar, Construir, Ejecutar y Monitorizar), coincidiendo con el ciclo Deming Establece un puente de enlace entre el mundo de los negocios y el de las TIC Define un lenguaje común Los gestores entienden el valor estratégico de las TIC Los responsables de sistemas de información entienden las importancia de conducir sus acciones hacia el aporte del valor al negocio

5 Modelo Marco de Trabajo de COBIT 1. Áreas focales del Gobierno TI 2. Orientación al Negocio 3. Orientación a los Procesos 4. Basado en Controles 5. Medidas e Indicadores

6 Áreas focales del Gobierno de TI Marco de trabajo mediante las siguientes áreas focales: Alineación Estratégica entre TI y el negocio Entrega de Valor TI da soporte el negocio maximizando los beneficios y minimizando los costes Administración de Recursos Uso de los recursos de TI de manera responsable, optimizando el conocimiento y la infraestructura. Administración de Riesgos de TI La dirección debe tomar conciencia de los mismos, definir el riesgo que está dispuesta a asumir, definir la responsabilidad de su administración y comprender los requisitos de cumplimiento. Medición del desempeño: Monitoriza el uso de los recursos, el desempeño de los procesos y la entrega del servicio.

7 Orientación al negocio El marco de trabajo COBIT se basa en el siguiente principio: Con el fin de proporcionar la información requerida para lograr sus objetivos, la empresa necesita invertir y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios que suministran dicha información. La administración y el control de la información están en el centro del marco de COBIT y garantiza la alineación con las necesidades del negocio Eficacia Eficiencia Confidencialidad Información de calidad Integridad Disponibilidad Cumplimiento normativo Confiabilidad

8 Orientación al negocio COBIT define de un conjunto de metas genéricas de negocio y de TI, ofreciendo así una base para el desarrollo de métricas que permitan la comparación con respecto a estas metas Estrategia empresarial Objetivos TI Objetivos del Negocio Recursos y Capacidades Aplicaciones Información Infraestructuras Personas Las metas (objetivos) del negocio para TI influyen en la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI.

9 Orientación a procesos COBIT define las actividades de TI en un modelo genérico de 34 procesos en cuatro dominios: Planear y Organizar (PO). Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir al logro de los objetivos del negocio. Es necesario implementar una estructura organizativa y una estructura tecnológica apropiada. Adquirir e Implementar (AI). Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además contempla el cambio y el mantenimiento de los sistemas existentes para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Entregar y Dar Soporte (DS). Este dominio cubre la entrega en sí de los servicios necesarios, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones. Monitorizar y Evaluar (ME). Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requisitos de control. Este dominio abarca la administración del desempeño, la monitorización del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

10 Basado en Controles COBIT define como Control al Conjunto de políticas, procedimientos, prácticas y estructuras organizativas diseñadas para brindar una seguridad razonable y que los eventos no deseados se eviten en lo posible o sean detectados y corregidos cuanto antes, de forma que se aumenta el valor y se disminuye el riesgo. COBIT define Objetivos de Control de TI Proporcionan un conjunto completo de requisitos de alto nivel para el control eficaz de cada uno de los procesos TI Objetivos de Control Controles del negocio y controles TI Al nivel de dirección ejecutiva Al nivel de procesos de negocio Para soportar los procesos de negocio Controles Generales de TI y de aplicación Los procesos de TI de COBIT abarcan a los controles generales de TI, pero no los controles de las aplicaciones, debido a que son responsabilidad de los dueños de los procesos del negocio, y como se describió anteriormente, están integrados en los procesos de negocio.

11 Medidas e Indicadores Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorizar esta mejora de sus propios sistemas de TI. COBIT lo hace por medio de: Modelos de madurez Facilitan la evaluación y la identificación de las mejoras necesarias en la capacidad. Metas y mediciones de desempeño para los procesos de TI Demuestran cómo los procesos satisfacen las necesidades del negocio y de TI. Metas de actividades Facilitan el desempeño efectivo de los procesos.

12 Medidas e Indicadores Modelos de madurez El propietario del proceso debe poder autoevaluar de forma progresiva, contra los objetivos de control. Se podrá identificar Dónde se encuentra la empresa hoy La comparación con la competencia Dónde desea estar la empresa La evolución necesaria entre tal como está y cómo debería ser

13 Medidas e Indicadores Niveles del Modelo de madurez 0. No existente. Carencia completa de cualquier proceso reconocible. 1. Inicial. Se reconoce que los problemas existen y necesitan ser resueltos, pero no existen procesos estándar, en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque es desorganizado. 2. Repetible. Se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar. 3. Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos. 4. Administrado. Es posible monitorizar y medir el cumplimiento de los procedimientos y tomar medidas de si los procesos trabajan de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. 5. Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

14 Medidas e Indicadores Medición del desempeño Las métricas y las metas se definen en COBIT de acuerdo a tres niveles: Las metas y métricas de TI definen lo que el negocio espera de TI. Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI. Métricas de desempeño de las actividades. indicar si es probable alcanzar las metas.

15 Modelo del marco de trabajo de COBIT

16 Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto ha propiciado la aparición de modelos, metodologías y prácticas dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de las áreas TI mientras que otras externas tienen como propósito el control externo de las propias unidades TIC. Las metodologías más comunes en el ámbito del Gobierno TI son: ISO COBIT ITIL PMBOK

17 PMBOK A menudo, los proyectos se utilizan como el medio para cumplir con el plan estratégico de una organización, que está íntimamente relacionado con el Gobierno corporativo de la organización, dentro del cual se enmarca el Gobierno TI. El plan estratégico de una organización se convierte en el principal factor que guía las inversiones en los proyectos La Guía del PMBOK es un estándar en la gestión de proyectos desarrollado por el Project Management Institute (PMI). PMI pretende definir, mantener y difundir un cuerpo de conocimiento con dos objetivos principales: Mejorar el desarrollo de proyectos en diferentes industrias mediante el uso de buenas prácticas. Definir procesos de gestión de proyectos estándares y homogéneos para todo tipo de proyectos Gobierno TI Plan estratégico de la Organización Gobierno corporativo Proyectos

18 Qué es un Proyecto? Conjunto de actividades interdependientes orientadas a un fin específico, con una duración predeterminada. La naturaleza temporal de los proyectos indica un principio y un final definidos. Todo proyecto debe crear un resultado único, lo que lo distingue de tareas repetitivas realizadas en trabajos permanentes. Por ejemplo, una tarea de oficina realizada todos los días no es un proyecto, aunque requiera alguna planificación. La dirección de proyectos implica un equilibrio entre diferentes variables. Tradicionalmente, se ha hablado de una triple dependencia del proyecto respecto al coste, alcance y tiempo en el sentido de que es posible realizar un cambio en uno de estos aspectos sin alterar los otros dos. Realmente, la dependencia es más amplia en el sentido de que los factores que se afectan mutuamente en el desarrollo de un proyecto son, además de los mencionados, la Calidad, Los Riesgos del proyecto y la satisfacción del cliente. Coste Satisfacción del cliente

19 PMBOK Para dirigir un proyecto, PMBOK ha identificado 42 procesos que permiten transformar la ejecución de un proyecto en una serie de procesos concatenados, y no solo como una serie de actividades, donde para cada proceso se consideren: Entradas Herramientas y técnicas Salidas PMBOK distingue dos dimensiones o formas de clasificar los distintos procesos y actividades del proyecto: la dimensión temporal en la que se considera el ciclo de vida de un proyecto y la dimensión funcional, que hace referencia a las diferentes áreas de conocimiento que se ponen en juego para alcanzar los objetivos del proyecto.

20 PMBOK Dimensión Temporal Si nos fijamos en la dimensión temporal hemos de pensar en el ciclo de vida del proyecto. En este sentido, PMBOK establece cinco grupos de procesos que se corresponden con las distintas etapas del proyecto indicadas en la figura anterior, más un sexto grupo de procesos de control: Procesos de Iniciación.- Autorización del proyecto o de una fase. Proceso de Planificación.- Definición y redefinición de objetivos, selección de la mejor alternativa entre posibles cursos de acción Proceso de Ejecución.- Coordinación de las personas y de otros recursos necesarios Proceso de Control.- Aseguramiento de que se cumplan los objetivos del proyecto, mediante la supervisión y la medición regular de avances. Proceso de Cierre.- Formalización de la aceptación del proyecto o de una fase.

21 PMBOK Dimensión Funcional Si nos fijamos ahora en la dimensión funcional, PMBOK agrupa los procesos de la dirección de proyectos de acuerdo a las siguientes áreas de conocimiento: Administración de la integración del proyecto Gestión del alcance del proyecto Gestión del tiempo del proyecto Gestión de los costes del proyecto Gestión de la calidad del proyecto Gestión de los recursos humanos del proyecto Gestión de la comunicación Gestión de los riesgos del proyecto Gestión de las adquisiciones

22 PMBOK Despliegue de procesos de un proyecto

23 Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto ha propiciado la aparición de modelos, metodologías y prácticas dirigidas a garantizar un mejor gobierno o un rendimiento más óptimo de las TIC en las organizaciones. Algunas de estas prácticas han sido desarrolladas por la propia dirección de las áreas TI mientras que otras externas tienen como propósito el control externo de las propias unidades TIC. Las metodologías más comunes en el ámbito del Gobierno TI son: ISO COBIT ITIL PMBOK

24 ITIL (Information Technology Infraestructure Library) Desarrollado a finales de 1980, se ha convertido en el estándar mundial en la Gestión de Servicios Informáticos ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento, ha provocado la necesidad creciente orientar los departamentos TI hacia la calidad en los objetivos del negocio, y demanda que satisfaga los requisitos y las expectativas del cliente. Por ello en los últimos años, a pasado el énfasis de estar en el desarrollo de aplicaciones TI a la Gestión de Servicios TI. La idea principal sobre la cual se construye ITIL, es la existencia de dependencias entre los recursos a la hora de gestionar los servicios TI. Se aconseja que la información sobre dichos recursos se encuentre centralizada en una base de datos CMDB.

25 ITIL Módulos principales ITIL concibe las relaciones entre la organización TI y los servicios TI según el esquema anexo:

26 ITIL - Glosario Cliente: entidad que contrata los servicios TI ofrecidos. Usuarios: personas que utilizan el servicio. Proveedor: entidad que proporciona los servicios solicitados por el cliente. Catálogo de Servicios debe: Describir los servicios ofrecidos de manera comprensible. Utilizarse como guía para orientar y dirigir a los clientes. Relacionar los niveles de servicio asociados con cada uno de los servicios ofrecidos. Encontrarse a disposición de todo el personal Requisitos de Nivel de Servicio (SLR): incluye información detallada sobre las necesidades del cliente y sus expectativas de rendimiento y nivel de servicios. El SLR constituye el elemento base para desarrollar el SLA y posibles OLAs correspondientes. Hojas de Especificación: Son documentos técnicos de ámbito interno que delimitan y precisan los servicios ofrecidos al cliente. Deben evaluar los recursos necesarios para ofrecer el servicio requerido con un nivel de calidad suficiente y determinar si es necesario el outsourcing de determinados procesos, sirviendo de documento de base para la elaboración de los OLAs y UCs correspondientes.

27 ITIL - Glosario Programa de Calidad del Servicio (SQP): Debe contener la información necesaria para que la organización TI conozca los procesos y procedimientos involucrados en el suministro de los servicios prestados, asegurando que estos se alineen con los procesos de negocio y mantengan unos niveles de calidad adecuados. Acuerdo de Nivel de Servicio (SLA): debe recoger en un lenguaje comprensible para el cliente, todos los detalles de los servicios brindados. Tras su firma, el SLA debe considerarse el documento de referencia para la relación con el cliente en todo lo que respecta a la provisión de los servicios acordados, por tanto, es imprescindible que contenga claramente definidos los aspectos esenciales del servicio tales como su descripción, disponibilidad, niveles de calidad, tiempos de recuperación, etc. Acuerdo de Nivel de Operación (OLA): documento interno de la organización donde se especifican las responsabilidades y compromisos de los diferentes departamentos de la organización TI en la prestación de un determinado servicio. Contratos de Soporte (UC): es un acuerdo con un proveedor externo para la prestación de servicios no cubiertos por la propia organización TI. Programa de Mejora del Servicio (SIP): El SIP debe recoger tanto medidas correctivas a fallos detectados en los niveles de servicio como propuestas de mejora basadas en el avance de la tecnología. El SIP debe formar parte de la documentación de base para la renovación de los SLAs y debe estar internamente a disposición de los gestores de los otros procesos TI.

28 ITIL- Ciclo de Vida de los Servicios TI Enfoque con un objetivo: ofrecer una visión global de la vida de un servicio desde su diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la eficiente prestación del mismo. El ciclo de vida del servicio consta de cinco fases: Estrategia del Servicio. Propone tratar la gestión de servicio no sólo como una capacidad sino como un activo estratégico. Diseño del servicio. Cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicio y activos. Transición del Servicio. Cubre el proceso de transición para la implementación de nuevos servicios o su mejora. Operación del Servicio. Cubre las mejoras prácticas para la gestión del día a día en la operación del servicio. Mejora Continua del Servicio. Proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a través de un diseño, transición y operación del servicio optimizado.

29 Ciclo de Vida: Procesos y Funciones

30 Gobierno de TI es una metodología, NO es la solución en sí.

31 Fuentes de información odelo_gobiernotic_basadonormasiso.pdf UNE-ISO/IEC 38500:2013 C.M. Fernández Sánchez y M. Piattini Velthuis; Modelado para el gobierno de las TIC basado en las normas ISO ; Aenor. A. Pastor Bermúdez; Marco de Gobierno TI para el Sector Público