Experiencias en la implementación de ITIL en conjunto con CobiT: El caso de GRUMA

Transcripción

1 Experiencias en la implementación de ITIL en conjunto con CobiT: El caso de GRUMA Página 1

2 Introducción Marco Conceptual Agenda ProcesosdeTI EstableciendoelTrabajo Gente(Organización) AlineandoRolesconel Trabajo Seguimiento IdentificarPlandeMejora Control(Riesgos) AplicarGobierno Página 2

3 Introducción GRUMA GRUMA, S.A. de C.V., es el líder en la producción de tortillas y harina de maíz a nivel mundial. Actualmente GRUMA tiene operaciones en Estados Unidos, Europa, México, Centroamérica, Venezuela, Australia y China. Las Acciones de GRUMA Serie B han cotizado en la Bolsa Mexicana de Valores, S.A. de C.V., desde Los ADSs registrados, cada uno representando cuatro Acciones Serie B, comenzaron a listarse en la Bolsa de Valores de Nueva York en noviembre de Página 3

4 Introducción Sarbanes-Oxley Act (SOX) Desde la perspectiva de sistemas y de control interno, la parte más importante de SOX es la sección 404. Esta sección requiere que las compañías que cotizan en las bolsas de valores de EUA, el comprobar la efectividad de sus controles internos para sus reportes financieros anuales. La sección 404 también requiere que auditores independientes prueben y reporten la validez de estos controles. Página 4

5 Marco Conceptual Página 5

6 Marco Conceptual Entendimiento Que es el Cumplimiento de una Regulación Externa? Es la interpretación de lo que la regulación dice, el entendimiento de donde está tu compañía, el documentar un plan para lograr el cumplimiento, ejecutar el plan, e idear las medidas y controles que prueben que se ha implementado el plan. Página 6

7 Marco Conceptual Mejores Prácticas IS organizations are using compliance to reap benefits, such as creating standard business processes and consolidating applications. Most enterprises will comply by the deadline but do not aim to be exceptional. The compliance effort isn tleading to big IS budget increases. The pressure for standardization is increasing. To make compliance easier, and to lower audit and head count costs, IS organizations are standardizing IS processes, applications and infrastructure. Compliance is ushering in a more structured approach to IS processes. Initially, this is happening around financial reporting, but it will spread to all IS processes. Página 7

8 Marco Conceptual Ambientes Estándares de Control El utilizar ambientes de control estándar beneficiará a GRUMA: Nos permitirá adaptarnos más rápidamente cuando se introduzca modificaciones o nuevas regulaciones, mediante cambios incrementales a los controles existentes. Nos permitirá priorizar el gasto en controles que logren el mayor impacto. Minimiza el duplicar trabajo para el cumplimiento entre las diferentes áreas de sistemas de GRUMA. Establece un entendimiento común entre sistemas y los auditores internos y externos. Página 8

9 Marco Conceptual Ambientes Estándares de Control Regulaciones Externas Estándares de Industria Ambientes Estándares de Control Cobit, ISO 17799:2005 ITIL MOF Solución 1 Solución 2 Solución 3 Solución 4 Solución 5 Solución N Página 9

10 Marco Conceptual Ambientes Estándares de Control GRUMA Organización TI Administración Comité Operación Comité Proyectos Cambios Seguridad Infraestructura Operación C O B I T Soporte Comité Cambios Comité Cambio Operación Servicio Soporte Optimización Página 10 Procesos ITIL

11 Arquitectura Tecnológica Marco Conceptual Página 11

12 Selección de Tecnología Marco Conceptual Proveedor de Tecnología de IT, Aplicaciones, etc. Cliente Esfuerzo del Proveedor X Esfuerzo del Cliente Coeficiente de Eficiencia del Cliente Coeficiente de Eficiencia del Proveedor = Cumplimiento Página 12

13 Document Management Business Process Management Project Management Risk Assessment Change Management Network Security Host Control Malicious Software Prevention Application Security Messaging and Collaboration Data Classification and Protection Identity Management Authentication, Authorization, and Access Control Training Physical Security Vulnerability Identification Monitoring and Reporting Disaster Recovery and Failover Incident Management and Trouble-Tracking Marco Conceptual Tecnología para el Cumplimiento Página 13

14 Procesos de TI Estableciendoel Trabajo Página 14

15 Procesos de TI Ciclo General de Procesos Página 15

16 Procesos de TI Grupos de Procesos y sus Revisiones Página 16

17 Procesos de TI Level 0 Chaotic Ad hoc Undocumented Unpredictable Multiple help desks Minimal IT operations User call notification Modelo de Maduración de Procesos Level 1 Reactive Fight fires Inventory Desktop SW distribution Initiate problem mgmt. process Alert and event mgmt. Measure component availability (up/down) Tool Leverage Level 2 Proactive Analyze trends Set thresholds Predict problems Measure application availability Automate Mature problem, configuration, change, asset and performance mgmt. processes Level 3 Service IT as a service provider Define services, classes, pricing Understand costs Guarantee SLAs Measure & report service availability Integrate processes Capacity mgmt. Operational Process Engineering Level 4 Value IT as strategic business partner IT and business metric linkage IT/business collaboration improves business process Real-time infrastructure Business planning Manage IT as a Business Service and Account Management Service Delivery Process Engineering Página 17

18 Gente (Organización) AlinearRolesconel Trabajo Página 18

19 Se requirió pasar de una organizaciones central diseñadas en base a silos tecnológicos, al igual que organizaciones distribuidas diseñadas en base a personal con multiasignaciones, a un estructura organizacional modular, basada en procesos, apalancando competencias y mejores prácticas. Organizaciones Distribuidas diseñadas en base a Personas Retos del Cambio Gente (Organización) Organizaciones Centrales Diseñadas en base a Silos Organizaciones Hibridas (Centrales/Distribuidas) Página 19

20 Gente (Organización) Diseño General de la Organización de Servicios de TI Central de GRUMA Página 20

21 Gente (Organización) Matriz de Responsabilidades (RACI) R = Ejecuta A = Responsable C = Se Consulta (dos sentidos) I = Se Informa Página 21

22 Seguimiento IdentificarPlande Mejora Página 22

23 Seguimiento Comités de Seguimiento del Cambio Página 23

24 Seguimiento Comité Cambios Página 24

25 Seguimiento Comité Operación Página 25

26 Riesgos (Control) AplicarGobierno Página 26

27 Comunicar y Consultar Riesgos (Control) Monitorear y Revisar Administración de Riesgos 1 2 Establecer el el Contexto Evaluación de Riesgos Identificar los Riesgos 3 Analizar los Riesgos Evaluar los Riesgos Tratar los Riesgos 6 Página 27

28 Riesgos (Control) Tratamiento de Riesgos Página 28

29 Riesgos (Control) Controles Un control puede ser definido como undispositivo o mecanismo usado para regular o guiar la operación de una máquina, aparato o sistema. Las organizaciones usan controles para regular sus procesos de negocio, de tal forma de restringir o corregir mal comportamiento, reduciendo o prevenir la replicación de problemas y errores. Las organizaciones implementan normalmente controles para reducir riesgos de fraude, proteger los activos de la compañía, prevenir revelación no autorizada de sus secretos, cumplir con regulaciones, mejorar su eficiencia. Página 29

30 Riesgos (Control) Controles Se definieron dos grandes categorías de controles para TI: Controles generales y controles de aplicaciones. Controles Controles de de ITNegocio Controles de TI Controles Generales Controles de Aplicaciones Página 30

31 Riesgos (Control) Controles Generales Controles Generales aplican a toda la infraestructura de TI de la compañía. Y son anteriores a los controles de las aplicaciones. Los controles generales se clasifican en: Organización de sistemas o TI. Creación y comunicación de políticas. Seguridad de TI. Control de cambios. Manejo de incidentes y problemas. Monitoreo de eventos y rendimiento. Controles Controles Controles de de ITNegocio Controles de TI Controles Generales Controles de Aplicaciones Página 31

32 Riesgos (Control) Controles Controles Controles de de ITNegocio Controles de Aplicaciones Controles de Aplicaciones son diferentes para cada aplicación que la compañía usa para operar el negocio. En este contexto, los controles de aplicación son componentes de IT que refuerzan controles de negocio. Procedimientos de preparación de datos. Chequeo de precisión, completes y autorización. Integridad en el procesamiento de datos. (SOD). Distribución de Salida. Protección de transmisión de información sensitiva. Controles de TI Controles Generales Controles de Aplicaciones Página 32

33 Riesgos (Control) Desarrollo de Controles Página 33

34 Riesgos (Control) Riesgos SOX - Cobit Página 34

35 Riesgos (Control) Planeación SOX - Cobit Página 35

36 Riesgos (Control) Maduración de Controles Página 36

37 Preguntas Página 37