Controles sobre los sistemas de información:

Transcripción

1

2 Control interno Controles sobre los sistemas de información: Controles generales 1. Controles sobre las operaciones de los centros de cómputos. Incluyen puesta en marcha y programación del trabajo, acciones del operador, procedimientos de respaldo y recuperación y la realización de un plan de recuperación de desastres o plan de contingencia. la planificación de la capacidad y la distribución y uso de recursos

3 Control interno Controles sobre los sistemas de información: Controles generales 2. Controles sobre el software del sistema. Incluyen controles sobre: la adquisición, la implementación y el mantenimiento eficaces del software del sistema -el sistema operativo, los sistemas administradores de base de datos, el software de telecomunicaciones, el software y los utilitarios de seguridad - los cuales hacen operar el sistema y permiten que las aplicaciones funcionen.

4 Control interno Controles sobre los sistemas de información: Controles generales 3. Controles sobre la seguridad de acceso. Estos controles han asumido mayor importancia con el crecimiento de las redes de telecomunicaciones y la distribución geográfica de los usuarios del sistema. Los controles de seguridad de acceso eficaces pueden proteger el sistema, previniendo accesos inapropiados y usos no autorizados del sistema.

5 Control interno Controles sobre los sistemas de información: Controles generales 4. Controles sobre el desarrollo y el mantenimiento de sistemas de aplicación. Estas han sido tradicionalmente áreas de alto costo para la mayoría de las organizaciones. Son importantes: los costos totales correspondientes a los recursos de los sistemas de información gerencial, el tiempo necesario, las destrezas de las personas para ejecutar estas tareas, el hardware y el software requeridos

6 Control interno Controles sobre los sistemas de información: Controles sobre las aplicaciones La idea es a asegurar la integridad y exactitud del procesamientode transacciones, su autorización y su validez Control sobre las interfacesde una aplicación: es importante pues frecuentemente están ligadas con otros sistemas que requieren control a su vez, para asegurar que todas las entradas de datos sean recibidas para su procesamiento y que todas las salidas de datos sean distribuidas apropiadamente

7 Control interno Clasificación de los controles en Sistemas Informáticos: 1. preventivos, detectivos, y correctivos, 2. voluntarios y obligatorios, 3. manuales y automatizados y 4. controles de aplicaciones y generales. Ejercicio: buscar ejemplos de cada tipo de control

8

9 Los Principios de COBIT 5 Gobierno: evaluar, dirigir, monitorear (EDM) Administración: planificar, (APO) construir (BAI), operar (DSS), monitorear (MEA) Catalizadores (enablers) Procesos Estructuras Organizacionales Cultura, Ética Comportamiento 5. Separar el Gobierno de la Administración 1. Satisfacer las necesidades de las partes interesadas Principios de COBIT 5 Necesidades de las Partes Interesadas Realización de Beneficios 2. Cubrir la Organización de forma integral Optimización de Riesgos Optimización de Recursos Integra el gobierno de la TI corporativa en el gobierno corporativo Información Principios, Políticas y Marcos Servicios, Infraestructura y Aplicaciones RECURSOS Personas, Habilidades, Competencias 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado Corporativo: COSO, COSO ERM, ISO 9000, ISO Relacionado con TI: ISO 38500, ITIL, la serie ISO 27000, TOGAF, PMBOK/ PRINCE2, CMMI Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

10 Cascada de Metas de COBIT 5 Traduce las necesidades de las Partes Interesadas en metas específicas y personalizadas dentro del contexto de la Organización, que se llevan a objetivos tangibles y a la ejecución de acciones concretas para lograrlos Catalizadores (enablers) Procesos Estructuras Organizacionales Cultura, Ética Comportamiento Principios, Políticas y Marcos Información Servicios, Infraestructura y Aplicaciones RECURSOS Personas, Habilidades, Competencias Fuente: COBIT 5, Figura ISACA Todos los derechos reservados.

11 Métricas de metas corporativas-cobit 5 Dimensión CMI Meta Corporativa Métrica Financiera Cliente 1. Valor para las partes interesadas de las Inversiones de Negocio 2. Cartera de productos y servicios competitivos 6. Cultura de servicio orientada al cliente % de inversiones en las que la entrega cumple con las expectativas de los interesados % de productos y servicios en los que se realizan los beneficios esperados % de inversiones en los que se cumplen o superan los beneficios establecidos % de productos y servicios que alcanzan o exceden los objetivos de ingresos y/o cuota de mercado % de productos y servicios que dan ventaja competitiva %de interesados del negocio que están satisfechos con los niveles acordados de la entrega del servicio de cliente N de quejas de clientes Tendencia de los resultados de las encuestas de satisfacción al cliente Ejemplos a tomar como base Fuente: COBIT 5, - ISACA

12 Métricas de metas corporativas-cobit 5 Dimensión CMI Meta Corporativa Métrica Interna Aprendizaje y Crecimiento 12. Optimización de los costos de los procesos de negocio 15. Cumplimiento con las políticas internas 16. Personas preparadas y motivadas Tendencia de la evaluación de costos respecto a los resultados del nivel de servicio Niveles de satisfacción del Consejo de Administración y la alta dirección con los costos de procesamiento del negocio N de incidentes relacionados con el incumplimiento de políticas % de políticas apoyadas por estándares y prácticas de trabajo efectivos Nivel de satisfacción de los interesados con el conocimiento y la cualificación del personal % de personal cuya cualificación es insuficiente para la competencia requerida por su rol % de personal satisfecho Ejemplos a tomar como base Fuente: COBIT 5, - ISACA

13 Métricas de metas de TI -COBIT 5 Dimensión CMI Meta Corporativa Métrica Financiera Cliente 01 Alineamiento de TI y estrategia de negocio 04 Riesgos de negocio relacionados con las TI gestionados 07 Entrega de servicios de TI de acuerdo a los requisitos del negocio % de metas estratégicas y requerimientos corporativos apoyados por metas TI estratégicas Nivel de satisfacción de los interesados con el alcance del portfolio de programas y servicios planificado % de procesos TI de negocio críticos, servicios TI y programas de negocio habilitados por TI cubiertos por evaluaciones de riesgo N de incidentes TI significativos que no fueron identificados en evaluaciones de riesgos N de interrupciones de negocio debidas a incidentes de servicios TI % de usuarios satisfechos con la calidad de la entrega de servicios TI Ejemplos a tomar como base Fuente: COBIT 5, - ISACA

14 Métricas de metas de TI-COBIT 5 Dimensión CMI Meta Corporativa Métrica Interna Aprendizaje y Crecimiento 10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones N de incidentes de seguridad causantes de pérdidas financieras o de imagen, o interrupción del negocio Tiempo de concesión, cambio y eliminación de privilegios de acceso comparado con los niveles de servicio acordados 14 Disponibilidad de Nivel de satisfacción del usuario del negocio con la calidad y información útil y la puntualidad (o disponibilidad) de la información de relevante para la toma gestión de decisiones N de incidentes de procesos de negocio causados por la indisponibilidad de la información 16 Personal del negocio y de las TI competente y Motivado % de personal cuyas habilidades TI son suficientes para la competencia requerida por sus roles N de horas de aprendizaje/ formación por miembro del personal Ejemplos a tomar como base Fuente: COBIT 5, - ISACA

15 Evaluar, Dirigir y Monitorear EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor Alinear, Planear y Organizar APO01 Admin. Marco de la Administración de TI APO08 Administrar las Relaciones Modelo de Procesos de COBIT 5 APO02 Administrar la Estrategia APO09 Administrar los Contratos de Servicios APO03 Administrar la Arquitectura Corporativa Construir, Adquirir e Implementar BAI01 Administrar Programas y Proyectos BAI08 Administrar el Conocimiento BAI02 Administrar la Definición de Requerimientos BAI09 Administrar los Activos EDM03 Asegurar la Optimización de los Riesgos APO04 Administrar la Innovación APO05 Administrar el Portafolio EDM04 Asegurar la Optimización de los Recursos Procesos para el Gobierno Corporativo de TI APO06 Administrar el Presupuesto y los Costos APO10 APO11 APO12 APO13 Administrar Administrar Administrar los Administrar la los Proveedores la Calidad Riesgos Seguridad BAI03 Admin. la Identif y Construcción de Soluciones BAI10 Admnistrar la Configuración BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios EDM05 Asegurar la Transparencia a las partes interesadas APO07 Administrar el Recurso Humano BAI07 Admin. Aceptación de Cambios y Transiciones Monitorear, Evaluar y Valorar MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno Entregar, Servir y Dar Soporte DSS01 Administrar las Operaciones DSS02 Admin. Solicit. de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Admin. Controles en los Procesos de Negocio Procesos para la Administración de TI Corporativa MEA03 Monitorear, Evaluar y Valorar Cumpl. Requisitos Externos

16 COBIT 5 enfoque holístico de los procesos catalizadores 2. Procesos 3. Estructuras Organizacionales 5. Información 1. Principios, Políticas y Marcos 6. Servicios, Infraestructura y Aplicaciones 4. Cultura, Ética y Comportamiento 7. Personas, Habilidades y Competencias COSO: - ambiente de control - evaluación de riesgos - actividades de control - información y comunicación - monitoreo RECURSOS Fuente: COBIT 5, Figura ISACA Todos derechos reservados. Catalizador: agente de cambio, impulsor, motor Persona o cosa que aviva y da empuje a algo, o que atrae y agrupa fuerzas, ideas o sentimientos

17 COBIT 5 Dimensiones de los Catalizadores Dimensiones comunes a todos los catalizadores (enablers) Fuente: COBIT 5, ISACA

18 COBIT 5 Dimensiones de los Catalizadores Procesos Proceso: es una colección de prácticas influenciadas por las políticas y procedimientos de la empresa que toma entradas de un número dado de fuentes (incluyéndose otros procesos), manipulando las entradas y produciendo salidas (p. ej., productos, servicios) clientes, socios comerciales, accionistas y reguladores. Consejo, la dirección, empleados y voluntarios Prácticas: proporcionan un conjunto completo de los requerimientos de alto nivel para una gestión y un gobierno práctico y efectivo, de la TI de la empresa Actividades: acciones principales para operar los procesos Fuente: COBIT 5, ISACA

19 COBIT 5 Dimensiones de los Catalizadores Información Incluye toda la información relevante para la empresa, no sólo la automatizada. La información puede ser estructurada o desestructurada, formal o informal Identificar objetivos, planear la arquitectura de la información y desarrollo de estándares y definiciones creación de registros de datos, compra de datos y carga de archivos externos. Ej. 1 Roles: productor, custodio, consumidor Ej. 2: planificadores, adquirentes, usuarios de la información diferentes fases del ciclo de vida tienen diferentes partes interesadas Fuente: COBIT 5, ISACA

20 COBIT 5 Dimensiones de los Catalizadores Procesos Proceso: es una colección de prácticas influenciadas por las políticas y procedimientos de la empresa que toma entradas de un número dado de fuentes (incluyéndose otros procesos), manipulando las entradas y produciendo salidas (p. ej., productos, servicios). Fuente: COBIT 5, ISACA

21 Ejercicios Determinar los catalizadores a utilizar en los siguientes casos: 1. La organización desea comenzar a utilizar las redes sociales, hasta ahora prohibidas para los empleados 2. La organización enfrenta serios problemas de calidad en nuevos desarrollos de software. Los incentivos son por entregar en fecha, por lo que muchas veces se saltean los procesos o éstos son pobremente ejecutados 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones RECURSOS 7. Personas, Habilidades y Competencias

22

23 Evaluar, Dirigir y Monitorear EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor Alinear, Planear y Organizar APO01 Admin. Marco de la Administración de TI APO08 Administrar las Relaciones COBIT 5 y Seguridad de la Información APO02 Administrar la Estrategia APO09 Administrar los Contratos de Servicios APO03 Administrar la Arquitectura Corporativa Construir, Adquirir e Implementar BAI01 Administrar Programas y Proyectos BAI08 Administrar el Conocimiento BAI02 Administrar la Definición de Requerimientos BAI09 Administrar los Activos EDM03 Asegurar la Optimización de los Riesgos APO04 Administrar la Innovación APO05 Administrar el Portafolio EDM04 Asegurar la Optimización de los Recursos Procesos para el Gobierno Corporativo de TI APO06 Administrar el Presupuesto y los Costos APO10 APO11 APO12 APO13 Administrar Administrar Administrar los Administrar la los Proveedores la Calidad Riesgos Seguridad BAI03 Admin. la Identif y Construcción de Soluciones BAI10 Admnistrar la Configuración BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios EDM05 Asegurar la Transparencia a las partes interesadas APO07 Administrar el Recurso Humano BAI07 Admin. Aceptación de Cambios y Transiciones Monitorear, Evaluar y Valorar MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno Entregar, Servir y Dar Soporte DSS01 Administrar las Operaciones DSS02 Admin. Solicit. de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Admin. Controles en los Procesos de Negocio Procesos para la Administración de TI Corporativa MEA03 Monitorear, Evaluar y Valorar Cumpl. Requisitos Externos

24 Los catalizadores de COBIT 5 para la SI 1. Políticas, principios, y marcos de SI: Política de SI, Política de control de accesos, Política de SI para la información personal, Política de gestión de incidentes, y de gestión de activos 2. Procesos, incluyendo actividades y detalles específicos de SI 3. Estructuras organizacionales específicas a la SI Definición de Roles, rendición de cuentas (accountability), rutas de reporte de SI 4. En términos de cultura, ética y comportamiento, los factores que determinan el éxito del gobierno y la administración de la SI Cultura: medir por ejemplo la fortaleza de contraseñas, la adherencia a prácticas de administración de cambios Liderazgo: dirigido por gerente de riesgo, profesional de SI, ejecutivos de l dirección Comportamiento deseable: La SI se practica en las operaciones diarias, los stakeholders están conscientes de cómo responder a las amenazas, y la alta administración reconoce el valor de negocio de la SI Fuente: COBIT 5, - ISACA

25 Los catalizadores de COBIT 5 para la SI 5. Los tipos de información específicos a la SI se revisan y se detectan los tipos relevantes para SI, se identifican los stakeholdersy el ciclo de vida de cada tipo de información Algunos tipos de información: estrategia de SI, presupuesto de SI, políticas, etc. 6. Las capacidades de servicio requeridas para proveer funciones de SI a una empresa. Ejemplos de servicios: Proveer una arquitectura de seguridad Proveer una respuesta adecuada de incidentes y monitoreo y servicios de alerta para eventos de SI Proveer una protección adecuada contra virus, malware, ataques externos o internos, e intentos de intrusiones 7. Gente, habilidades y competencias específicas para la SI Se asignan responsabilidades para Gobierno de SI, Administración de riesgos de la información, Operaciones de la SI Se identifican las habilidades requeridas para cada rol Fuente: COBIT 5, - ISACA

26 Para cada Proceso, se define Denominación, Área y Dominio Descripción y propósito Objetivos de IT a los que da soporte y métricas relacionadas Objetivos del proceso y métricas relacionadas

27 Para cada Proceso, se define Niveles de responsabilidad de las partes interesadas Responsable Aprobador Consultado Informado Prácticas, inputs, outputs y actividades Estándares relacionados

28 Usode COBIT 5 COBIT 5 se puede adaptar a todos los tamaños de empresa (incluso a Pymes), a todos los modelos de negocios, entornos de tecnología, industrias, lugares y culturas corporativas. Se puede aplicar a: Seguridad de la información Gestión de riesgo Gobierno y administración de TI en la empresa Actividades de aseguramiento Cumplimiento legislativo y regulador Procesamiento financiero o informe de Responsabilidad Social Corporativa (RSC) Toma de decisiones sobre el manejo de tendencias actuales como cómputo en la nube y BYOD

29 Relación -CobIT y otros estándares Gobierno corporativo de TI Gestión de Proyectos Desarrollo de Arquitectura Empresarial de la Información Gestión de riesgo Administración de Seguridad Mejora y evaluación de procesos Gestión de Servicios de TI Fuente:

30 Cómo podemos usar los estándares? Una forma es la siguiente: 1. Establecer frameworks para facilitar la implementación del Governance 2. Primero CobIT para gobierno de TI 3. Luego ITIL para entrega y administración del servicio 4. Luego ISO para Information Security 5. Balanced Scorecard (BSC) para medición y comunicación

31 ITIL - Information Technologies Infraestructure Library

32 Norma ISO guía de buenas prácticas Política de Seguridad Organización de la seguridad de la información Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Gestión de activos Control de acceso Cumplimiento Seguridad física y del ambiente Seguridad ligada a los Recursos Humanos Gestión de incidentes de seg. de la información Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones Adquisicón, desarrollo y mantenimiento de sistemas de información

33 Norma ISO Requisitos: modelo PDCA Definir política de seguridad Establecer alcance del SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar SGSI Implantar controles ISO IEC ISO IEC A Política de seguridad de la información Estructura organizativa de la SI Clasificación y control de activos Seguridad ligada al personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Gestión de la continuidad del negocio Cumplimiento de la legislación D Adoptar acciones correctivas y preventivas C Revisión interna del SGSI Realizar auditorías internas del SGSI Indicadores y métricas Revisión por parte de la dirección

34 Internos Relación de CobIT y BSC Stakeholders Externos Cambios en: Estrategia Regulaciones Tecnológicos Motivación de las partes interesadas Necesidades de las Partes Interesadas Realización de Beneficios Optimización de Riesgos Optimización de Recursos Drivers Beneficios Optimización: recursos riesgos Creación de valor: objetivos de gobierno Metas del negocio Balanced Scorecard Dimensión: financiera cliente interna aprendizaje Metas de TI Catalizadores Procesos de TI

35 Métricas de BSC Información de las métricas: 1. Código y descripción 2. Meta de TI y dimensión (financiera, cliente, etc.) 3. Unidad de medida: %, n, etc. 4. Objetivo numérico a alcanzar y rango de valores válidos 5. Sistema de colores según el rango (Ej: rojo, amarillo, verde) 6. Responsable del resultado 7. Frecuencia de medición 8. Forma de cálculo 9. Información necesaria para calcularla 10. Peso relativo

36 Factores de éxito de un BSC Apoyo de la Alta Gerencia Estrategia clara Priorización de las metas y selección de métricas representativas Objetivos y métricas: Claramente definidos Alineados de acuerdo a las dimensiones Utilizar el BSC para gestionar, en base a los resultados obtenidos Comunicar Determinar acceso autorizado para preservar la confiabilidad, confidencialidad e integridad de los resultados Capacitación y gestión del cambio

37 Estructuras de los estándares Administración de TI (gestión de servicios de TI) Administración de proyectos Administración de Seguridad Desarrollo de software/mejoras proceso adquisición Estándar internacional Estándar nacional Estándar organizacional o Guía ISO BS COBIT MOF ITIL ISO ISO13569 ISO ISO ISM3 ISO ISO BS Estándares NIST serie 800 TickIT Administración de Calidad ISO 9001 EFQM Baldrige National Quality Plan PMBOK PRINCE2 APMs Baseline Protection Manual ACSI-33 COBIT Security Baseline Env ISF Standard of Good Practice CMMI Bootstrap

38 Estructuras de los estándares Estándar internacional Estándar nacional Administración de TI ISO BS COBIT MOF ITIL NIST National Instituteof Standards and Technology Estándar organizacional o Guía PRINCE2 (PRoyects IN Controlled Environments) ISO GUÍA parala Administración de proyectos PMBOK Administración de Seguridad PRINCE2 APM -Advantage TI APMs Project Administración de ISO BS Baseline Protection Management Manual Seguridad ISO banca y ISO13569 Estándares NIST ACSI-33 Australian Govern. servicios financieros ISO serie 800 COBIT Security Information Baseline and ISO ENV12924 Env Communications ISO SGSI para ISM3 informática ISF Standard of Good Practice Technology Desarrollo empresas de financieras ISO médica TickIT CMMI Security Manual software/mejoras proceso ISO ISM ISECOM Bootstrap adquisicióntickitevaluación y Information Administración certificación de Calidad de gestión ISO 9001 EFQM de calidad de software Baldrige Security National Forum Utilizamodelode Quality Plan madurez e incorpora EFQM - European Foundation for guía de calidad Quality Management

39 Estructuras de los estándares Estándar internacional Estándar nacional Gobierno de TI ISO/IEC 38500: 2008 COSO Internal control Integrated framework Australian standard AS 8015 Administración de riesgos BCP ISO27005 AS/NZS 4360 COSO Enterprise risk management ISO22301 ISO27031 Auditoría ISO ISO/IEC 27007:2011 ISO/IEC TR 27008:2011 ISO/IEC 17021:2011 PAS 56 y BS25999 AS/NZS 4360 y HB Estándar organizacional o Guía COBIT IT Governance Implementation guide COBIT COBIT

40 Estructuras de los estándares Estándar internacional Estándar nacional Gobierno de TI ISO/IEC 38500: 2008 COSO Internal AS Gobierno corporativo de la tecnología informática y de las Administración comunicaciones de riesgos PAS 56: especificación del British Satandards BCP ISO22301 Institution ISO27031 ISO27031: Continuidad de las TIC control Integrated framework Australian standard AS 8015 ISO27005 AS/NZS 4360 HB 221 Handbook 221 Auditoría ISO (Australia) ISO ISO/IEC 27007:2011 ISO/IEC TR Directrices para 27008:2011 auditar SGSI ISO/IEC 17021:2011 COSO Enterprise risk management PAS 56 y BS25999 AS/NZS 4360 y HB Estándar organizacional o Guía COBIT IT Governance Implementation guide COSO II o ERM ISO COBIT Directrices para auditores sobre los controles de seg.de la información ISO Requisitos p/organismos que auditan

41

42 Gobierno de la Tecnología de la Información Situación actual Hay muchos cambiosen Tecnología de la Información (TI) y redes que enfatizan necesidad de manejar mejor los riesgos relacionados con la TI Dependenciade la información electrónica y sistemas para soportar procesos del negocio críticos Negocios exitosos necesitan manejar mejor la tecnología compleja a lo largo de la organización Ambiente regulatorio: controles más estrictos Divulgación de desastres de sistemas de información Incremento de fraudes electrónicos Importancia del manejo de riesgos de TI a nivel corporativo

43 Gobierno de la Tecnología de la Información En la empresa Importantes para lograr los objetivos de la organización Agrega valor Equilibra riesgos vs. retorno sobre TI y sus procesos Asegura mejoras medibles, eficientes y efectivas Vincula procesos y recursos de TI, información a las estrategias y objetivos de la empresa Mejores prácticas para planear, organizar, adquirir e implementar, entregar y dar soporte y monitorear desempeño de TI para dar soporte a los objetivos del negocio Ventaja Competitiva: uso de la información, maximizando beneficios

44 Gobierno de TI y estándares Surgen de consensos de las mejores prácticas En general estándares de hecho Sirven para definir SLAs Beneficios para los auditores: Reducción de costos Lenguaje común Esquemas de certificación

45 Estructuras de los estándares Estándar internacional Estándar nacional Gobierno de TI ISO COSO AS Gobierno corporativo de la tecnología informática y de las comunicaciones Internal control Integrated framework Australian standard AS 8015 Estándar organizacional o Guía COBIT IT Governance Implementation guide

46 Evolución en la Gestión de Servicios TI (ITSM) IT Service Management Manage IT as a Business System Management Manage IT as Cost Center Resource Management Manage IT as technology On Demand Traditional Business Enviro onment Technology Focus Business Focus IT Management Focus

47 De ITSM a BSM System Management Era Consolidación de solucíones puntuales a Frameworks Manejo de múltiples sistemas desde una consola Métricas de disponibilidad de sistemas IT Service Management Adoption Adopción de ITIL para IT SS & SD Provisión de Métricas de Servicios Integración entre herramientas para Gestión de Procesos con Frameworks de Gestión de Sistemas Business Service Management Vision Métricas de desempeño del negocio Integración de Frameworks de Manejo de Servicios y de Application Perfomance Measurement

48 Gobierno de la Tecnología de la Información Cómo hacen los gerentes para mantener el curso del barco? DASHBOARDS: indicadores Cómo lograr resultados que sean satisfactorios para el mayor segmento posible de nuestros stakeholders? SCORECARDS: medidas Cómo adaptar a tiempo la organización a las tendencias y desarrollos en el ambiente de la empresa? BENCHMARKING: escala de comparación

49 Gobierno de la Tecnología de la Información

50 ISO/IEC 38500:2013 Framework de Gobierno de TI dirigido a la alta dirección y a los gestores de TI El principal objetivo es promover el uso eficiente, efectivo y aceptable de las TI en toda la organización Creado en 2008, basado en el estándar australianoas Corporate Governance of Information and Communication Technology

51 Principios de ISO/IEC 38500: RESPONSABILIDAD Establecer en forma clara las responsabilidades de cada individuo o grupo de personas dentro de la organización en relación a las TI. 2. ESTRATEGIA Planear las TIC para un mejor soporte de la Organización 3. ADQUISICIÓN Las adquisiciones de TI deben realizarse tras un adecuado análisis y tomando la decisión en base a criterios claros y transparentes. Debe existir un equilibrio apropiado entre beneficios, oportunidades, costo y riesgos, tanto a corto como a largo plazo. 4. DESEMPEÑO Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel de calidad requerido por la organización.

52 Principios de ISO/IEC 38500: CUMPLIMIENTO Las TI deben cumplir y ayudar a cumplir todas las leyes y normativas; las políticas y los procedimientos internos deben estar definidos, implementados y apoyados en forma clara. 6. FACTOR HUMANO Las políticas y procedimientos establecidos deben incluir el máximo respeto hacia la componente humana, incorporando todas las necesidades propias de las personas que forman parte de los procesos de TI.

53 Los 5 Principios de COBIT Los 5 Principios de COBIT 5: 5. Separar el Gobierno de la Administración Gobierno Necesidades del Negocio Evaluar Dirigir Retroalimentación Gerencial Monitorear Administración Planificar (APO) Construir (BAI) Operar (DSS) Monitorear (MEA) Fuente: COBIT 5, Figura ISACA Todos los derechos reservados 53

54 Evaluar, Dirigir y Monitorear EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor Alinear, Planear y Organizar APO01 Admin. Marco de la Administración de TI APO08 Administrar las Relaciones COBIT 5 y Seguridad de la Información APO02 Administrar la Estrategia APO09 Administrar los Contratos de Servicios APO03 Administrar la Arquitectura Corporativa Construir, Adquirir e Implementar BAI01 Administrar Programas y Proyectos BAI08 Administrar el Conocimiento BAI02 Administrar la Definición de Requerimientos BAI09 Administrar los Activos EDM03 Asegurar la Optimización de los Riesgos APO04 Administrar la Innovación APO05 Administrar el Portafolio EDM04 Asegurar la Optimización de los Recursos Procesos para el Gobierno Corporativo de TI APO06 Administrar el Presupuesto y los Costos APO10 APO11 APO12 APO13 Administrar Administrar Administrar los Administrar la los Proveedores la Calidad Riesgos Seguridad BAI03 Admin. la Identif y Construcción de Soluciones BAI10 Admnistrar la Configuración BAI04 Administrar la Disponibilidad y Capacidad BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios EDM05 Asegurar la Transparencia a las partes interesadas APO07 Administrar el Recurso Humano BAI07 Admin. Aceptación de Cambios y Transiciones Monitorear, Evaluar y Valorar MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno Entregar, Servir y Dar Soporte DSS01 Administrar las Operaciones DSS02 Admin. Solicit. de Servicios y los Incidentes DSS03 Administrar Problemas DSS04 Administrar la Continuidad DSS05 Administrar los Servicios de Seguridad DSS06 Admin. Controles en los Procesos de Negocio Procesos para la Administración de TI Corporativa MEA03 Monitorear, Evaluar y Valorar Cumpl. Requisitos Externos

55 COBIT 5 Dimensiones de los Catalizadores 1 Principios, Políticas y Marcos de Referencia 4 Cultura, ética, comportamiento 2 Procesos 5 Información 3 Estructuras organizacionales Fuente: COBIT 5, ISACA

56 COBIT 5 Dimensiones de los Catalizadores 6 Servicios, Infraestructura y Aplicaciones 7 Personas, Habilidades y Competencias Fuente: COBIT 5, ISACA