TITULO. Integrando ITIL, COBIT e ISO como parte de un marco de Gobierno y Control de TI

Transcripción

1 Temas TITULO Integrando ITIL, COBIT e ISO como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

2 Temario 1. Reflexiones sobre el gobierno de TI 2. Introducción a los estándares y mejores prácticas ITIL COBIT ISO / Como articular los estándares para definir un marco de trabajo de gobierno y control

3 Reflexiones sobre el Gobierno de TI

4 Governance: Gobierno o Gobernabilidad? Governance: Se traduce como Forma de Gobierno o simplemente como Gobierno Governability: Se traduce como Gobernabilidad, y se refiere a la capacidad de gobernar Governance Gobernabilidad

5 Gobierno de TI El gobierno de TI es el grupo de liderazgo, las estructuras y los procesos organizacionales que aseguran que las TIs de la organización soportan y extienden las estrategias y los objetivos organizacionales (Fuente: IT Governance Institute)

6 Los pilares del Gobierno de TI Gobierno de TI Equipo de Liderazgo Estructuras Organizacionales Procesos y Procedimientos

7 El Gobierno de TI como parte de un marco de Gobierno Corporativo Gobierno Corporativo Gobierno de TI Gobierno de Seguridad de TI

8 Alineación de las TIs y los objetivos del negocio El Gobierno de TI permite asegurar que las TIs estén alineadas con los objetivos y las metas organizacionales

9 Actores primarios y secundarios en el Gobierno de TI Accionistas Ejecutivos y Alta Gerencia Corporativa Clientes IT Vendors Gerentes del Negocio Gerentes de Tecnología Proveedores

10 Gobierno de TI vs. Gestión de TI Entorno Organizacional Externo Gobierno de TI Gestión de TI Interno Presente Futuro Tiempo

11 El Gobierno de TI depende de unas buenas prácticas de Gestión de TI Buenas Prácticas de Gestión de TI PREREQUISITO Gobierno de TI adecuado

12 La Gestión de TI Busca prestar servicios de tecnología seguros, confiables, predecibles, sostenibles y costoefectivos, con un nivel de servicio adecuado a las necesidades del negocio y un nivel de riesgo razonable para el negocio Se basa en construir y mantener tres pilares: Optimización de Infraestructura Operaciones de TI adecuadas Seguridad de TI adecuada

13 Requerimientos del Negocio IT Service Delivery Optimización de Infraestructura Operaciones Seguridad

14 Los pilares de una gestión exitosa de TI Optimización de Infraestructura Operaciones Seguridad

15 Optimización de Infraestructura Optimización de Infraestructura Adquirir la infraestructura óptima para las necesidades de la organización Utilizar de manera óptima los recursos computacionales de la organización de manera que le agreguen valor a las operaciones del negocio Incrementar la integración, el intercambio de información y la utilización compartida de recursos Mejorar la eficiencia, eliminar la redundancia y aumentar la automatización

16 Operaciones de TI Operaciones Administrar, Gestionar y Operar adecuadamente un sistema de información y todos sus componentes: Infraestructura computacional y de comunicaciones Procesos y procedimientos Personas Mantener niveles de servicio adecuados a las necesidades del negocio

17 Seguridad Informática Seguridad Asegurar y mantener seguros todos los componentes del sistema de información Mantener la confidencialidad, integridad y disponibilidad de la información Garantizar la continuidad del servicio Diseñar elementos de control que garanticen el acceso controlado a los recursos del sistema

18 TIs: La herramienta Relaciones Operaciones de TI: Especifica la forma adecuada (óptima) de utilizar la herramienta Seguridad de TI: Especifica la forma segura de utilizar la herramienta Gobierno de TI: Es la forma de garantizar que la herramienta se utilice para lograr los objetivos de la organización

19 Introducción a los Estándares y Mejores Prácticas

20 Los Estándares y Mejores Prácticas Estándares Y Mejores Prácticas

21 COBIT Control Objectives for Information and related Technology (Objetivos de Control para la información y tecnologías relacionadas) Fué publicado inicialmente en 1996 por la ISACF (Information Systems Audit and Control Foundation), Hoy en dia ISACA (Information Systems Audit and Control Association) Hoy es mantenida por el IT Governance Institute Su versión actual es la 4.0 Está compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de control detallados, diseñados para ayudar a las organizaciones a mantener un control efectivo sobre sus TICs

22 COBIT Es un estándar muy bien construído, ampliamente reconocido y aceptado. Toda la documentación de COBIT se encuentra en línea incluyendo su resumen ejecutivo, el marco de trabajo (framework), los objetivos de control, las guías de auditoría, gestión e implementación. La versión "QuickStart" de COBIT para organizaciones pequeñas y medianas contiene un subconjunto de COBIT enfocado a los elementos más críticos para organizaciones que no tienen los recursos para buscar una implantación completa del estándar. COBIT tiene 4 dominios: PO: Planning & Organizing AI: Acquisition & Implementation DS: Delivery & Support M: Monitoring

23 COBIT Critical Success Factors Provee a la gerencia con guías para implementar controles sobre TI y procesos de TI de manera exitosa Key Goal Indicators Representan los objetivos de los procesos. Son la medida de lo que se debe lograr, la meta a lograr. Key Performance Indicators Son medidas que le indican a la gerencia si un proceso de TI esta logrando sus objetivos, a través del monitoreo del desempeño del proceso. Esta relacionado con el cómo se realiza el proceso.

24 ITIL / ISO Information Technology Infrastructure library Compendio de publicaciones de mejores prácticas de TI Su foco central es la entrega (delivery) y el soporte (support) de servicios de TI alineados con las necesidades de la organización Los procesos de gestión de servicio de ITIL buscan soportar (no dictar) los procesos de negocios de una organización. Los procesos genéricos descritos en ITIL promueven mejores prácticas Los procesos más conocidos de la gestión de servicio de ITIL se describen en dos publicaciones: Service Support (Soporte de servicio) y Service Delivery (entrega de servicio).

25 ITIL / ISO Los procesos de soporte de servicio son: Administración de Incidentes Admiistración de Pfroblemas Administraciónde Configuraciones Administración del Cambio Administración de Liberaciones Mesa de Ayuda (Service desk) Los procesos de entrega de servicio son: Administración de Capacidad Administración de Disponibilidad Administración Financiera de Servicios de TI Administración de Nivel de Servicio Administración de la continuidad de servicio de TI

26 ITIL / ISO Dos conceptos principales caracterizan la línea de pensamiento de ITIL Administración de Servicios (y gerentes de servicios) Holisticos: Orientación al cliente Los servicios de TI se deben proveer en un nivel de calidad que el negocio pueda depender continuamente de ellos

27 ITIL / ISO Otras publicaciones que conforman ITIL trascienden la entrega y el soporte de servicio, y buscan cubrir las actividades principales necesarias para definir y desarrollar procesos efectivos de TI incluyendo: El desarrollo de sistemas nuevos El diseño y la planeación de infraestructura de TICs (tecnologías de información y comunicaciones La operación y el mantenimiento de sistemas existentes El ajuste de la entrega de servicio a la evolución de los requerimientos del negocio Otros libros que conforman ITIL Planning to Implement Service Management ICT Infrastructure Management Applications Management ITIL Security Management

28 ISO / El ISO/IEC es un conjunto completo de controles que comprende las mejores prácticas en seguridad informática, siendo un estándar genérico ampliamente reconocido internacionalmente El ISO / IEC tiene como objetivos dar recomendaciones para la administración de la seguridad informática para que sean usadas por aquellos que son responsables de iniciar, implementar, o mantener la seguridad en su organización. Aunque está diseñado para ayudar a optimizar la seguridad informática, también es ideal para ayudar al diagnóstico del sistema de seguridad desde una perspectiva netamente operativa, aplicando la metodología de evaluación anteriormente propuesta.

29 ISO / Inicialmente, este estándar se originó como el estándar británico (British Standard) BS7799 en febrero de 1995, y tras una revisión exhaustiva en 1999, fue adoptado por la ISO en el 2000, siendo publicada una segunda parte en el ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Es la sustituta de la ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 cláusulas. La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.

30 Estándares y Mejores Prácticas Operaciones de Tecnología : ITIL (ISO/IEC20000) Seguridad, Continuidad del Negocio, Administración de Riesgos: ISO/IEC17799 (ISO/IEC27002) Gobierno, Control y Auditabilidad : COBIT

31 Como articular los estándares para definir un marco de trabajo de gobierno y control

32 Qué es un marco de trabajo de Es un sistema de control Gobierno de TI? Es una estrategia completa explícitamente ligada con las TIs y los objetivos organizacionales. Permite que las organizaciones puedan asegurarse de que sus TIs están alineadas con los objetivos organizacionales Esto permite maximizar los beneficios recibidos por las TIs, garantizar que estas sean usadas eficientemente y que los riesgos sean manejados de manera adecuada Además, un marco de trabajo de Goberno de TI debe permitir medir el desempeño!

33 Cómo soportan los estándares/mejores prácticas el Gobierno de TI? Proveen un marco de políticas de gestión y control Permiten que las personas se puedan adueñar de los procesos, estableciendo responsabilidad (accountability) sobre las actividades de TI Alinean los objetivos de TI con los objetivos del negocio, definiendo prioridades y asignando recursos Aseguran el retorno a la inversión y la optimización de costos

34 Cómo soportan los estándares/mejores prácticas el Gobierno de TI? (2) Permiten asegurarse de que los riesgos significativos han sido identificados y son visibles para la gerencia, que la responsabilidad de la administración de riesgos ha sido asignada y embebida en la organización y que se han implementado controles adecuados para manejarlos Aseguran que los recursos han sido eficientemente organizados y que existe una capacidad suficiente (técnica, de procesos, de habilidades y de competencias) para asegurar la ejecución de la estrategia de TI. Permiten asegurar que las actividades críticas de TI sean monitoreadas y medidas, de manera que se puedan identificar los problemas y se puedan emprender acciones correctivas

35 Funciones Primarias del Gobierno de TI (y los estándares que las soportan) Planeación y Alineamiento Estratégico (ITIL, COBIT) Operaciones de TI (ITIL, ISO/IEC 27002) Manejo Financiero (ITIL) Marcos de Control (COBIT, ISO/IEC 27002)

36 Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI ISO/IEC Qué se debe hacer COBIT ITIL Cómo se debe hacer

37 Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI (2) COBIT es usado como el estándar principal, proveyendo un marco de control y gobierno basado en modelos de procesos de TI genéricos aplicables a cualquier organización. Los Estándares y mejores prácticas como ITIL e ISO 17799/27002 cubren áreas específicas, y pueden ser mapeados al marco de trabajo de COBIT.

38 Proceso de Articulación de un marco de Gobierno de TI 1. Definir un marco organizacional (como parte de una iniciativa de gobierno de TI) con responsabilidades y objetivos claros, y la participación de todos los actores interesados, que lidere la implementación y se adueñe (y se haga responsable) de ella. 2. Alinear la estrategia de TI con los objetivos del negocio. En cuáles objetivos de negocios contribuyen las TIs de manera significativa? Se debe lograr un entendimiento adecuado del entorno de negocios, los riesgos (y la tolerancia corporativa frente al riesgo), y la estrategia de negocios (y cómo se relaciona con las TIs). Las guías de gestión de COBIT (específicamente los KGIs) y los criterios de información del marco de COBIT ayudan a definir los objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles de servicio y estructurando Acuerdos de Nivel de Servicio (Service Level Agreements - SLAs), ajustandose a las necesidades del cliente.

39 Proceso de Articulación de un marco de Gobierno de TI (2) 3. Entender y definir los riesgos. Dados los objetivos de negocio, cuales son los riesgos que afectan la capacidad de las TIs de proveer un servicio adecuado? El proceso de COBIT para la administración del riesgo (PO9) y la aplicación del marco de control y de los criterios de información ayudan a asegurar que los riesgos sean identificados y que se les asigne un dueño. ITIL ayuda a definir los riesgos operacionales e ISO define los riesgos de seguridad. 4. Delimitar las áreas a optimizar, y en ellas, identificar los procesos de TI que son críticos para administrar adecuadamente los diferentes riesgos. El marco de Procesos de COBIT puede ser usado como la base, apoyado en la definición de procesos de entrega de servicios críticos (key service delivery processes) de ITIL y los objetivos de seguridad de ISO

40 Proceso de Articulación de un marco de Gobierno de TI (3) 5. Analizar la capacidad actual de prestación de servicios de TI respecto a las necesidades del negocio, e identificar las brechas. Llevar a cabo un análisis de capacidad de madurez (maturity capability assessment) para identificar en dónde se necesitan más urgentemente mejoras (puede usarse el modelo de madurez de COBIT, o el de ITIL!). Las guías de gestión de COBIT proveen una base, soportada en más detalle por ITIL e ISO Desarrollar una estrategia de mejora continua, y articularla a través de un portafolio de proyectos. Se debe decidir cuáles proyectos deben tener una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestión y el gobierno de áreas que provean servicios de TI significativos para el negocio. La decisión debe tomarse basado en el beneficio potencial, la facilidad de implementación de las mejoras, y con un claro foco en procesos importantes de TI. Se deberá establecer un proceso de mejora continua (Continuous Improvement Process) que garantice que la optimización será permanente a lo largo del tiempo. Los CSFs de COBIT, los objetivos de control y las prácticas de control son soportadas con mayor nivel de detalle por ITIL e ISO

41 Proceso de Articulación de un marco de Gobierno de TI (4) 7. Medir los resultados a través de la definición de metas-objetivos, métricas, y la creación de indicadores e índices de gestión, y la articulación de un tablero de control, que permita medir el desempeño actual y monitorear los resultados de nuevas mejoras. Las guías de gestión de COBIT (específicamente los KPIs, alineados a KGIs previamente definidos) pueden formar la base del scorecard.

42 Modelos de Madurez COBIT s GMM (Governance Maturity Model) ITIL s PMF (Process Maturity Model) Si se planea utilizar COBIT como la estructura de control que define los Critical Success Factors (CSF) y los Key Performance Indicators (KPI) de la implementación de ITIL, es mejor utilizar GMM. Si no se va a utilizar COBIT para esto, PMF es una alternativa adecuada.

43 Bibliografía Aligning COBIT, ITIL and ISO for Business Benefit ISO17799JointFramework.pdf ITIL: What is it? How does ITIL link to COBIT and ISO 17799? COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance xcerpt/0,7211,38442,00.html

44 Preguntas? Comentarios? Roberto.