NORMAS DE GESTIÓN AVANZADA 2011 La Norma ISO/IEC Buen Gobierno de las Tecnologías de la Información. La Norma ISO/IEC

Transcripción

1 NORMAS DE GESTIÓN AVANZADA 2011 La Norma ISO/IEC Buen Gobierno de las Tecnologías de la Información. La Norma ISO/IEC Aspectos básicos Carlos Manuel FERNANDEZ Ing. en Informática, CISA, CISM. Coordinador de TICs./ Jefe Certificaciones TICs Dirección de Desarrollo - AENOR

2 Índice Qué son las Normas vs Google. Teoría del caos vs AENOR-Desarrollo Estratégico Gestión de las TICs : Gestión del CITI (incluyendo PDCA) Gobierno de TI ISO/IEC Aspectos básicos Certificación de conformidad según ISO Futuro de las TICs con ISO

3 AENOR 25 años Asociación privada Sin ánimo de lucro Constitución: 1986 Real decreto 2200/95 AENOR Corporación AENOR INTERNACIONAL (+ 12 filiales) AENOR México ( + 10 años en México DF y Delegaciones) Multisectorial Normalización Certificación productos, servicios, sistemas de gestión y personal Servicios de Formación

4 Normas con relación con TICs / Google ISO Guía de controles BS25999 (1 y 2) Gestión de continuidad de negocio IT Governance ISO S.G. Seguridad de la Información TICs ISO SPiCE ISO Guía de buenas prácticas ISO S.G. STI ISO SAM ISO Ciclo de vida de desarrollo de software

5

6 Gestión de las TICs con criterios de Negocio Informe Penteo: Sólo un 21% de las cías gestionan el dpto. de SI con criterios de negocio 31 % gestionan el dpto. de SI sólo con criterios tecnológicos 48 % gestionan con criterios híbridos Conclusiones: La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58% La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO En un futuro los CIOS más gestores y menos tecnólogos (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)

7 La Norma ISO/IEC Aspectos básicos

8 Definiciones Básicas Gobierno Corporativo de TI (Corporate governance of IT) El sistema mediante el cual se dirige y controla el uso actual y futuro de las TI. (Plan de negocio Plan de TI) Gestión de las TI (IT Management) El sistema de procesos y/o controles requeridos para lograr los objetivos establecidos por la Dirección. (Negocio). La dirección, planificación, diseño, desarrollo, implantación, operación y mantenimiento de las TI para satisfacer las necesidades de la empresa.

9 6 Principios de Buen Gobierno (1 de 2) Principio 1. Responsabilidad Los individuos y grupos dentro de la organización deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI. Las personas con responsabilidad de las acciones también tienen la autoridad para llevar a cabo esas acciones. Principio 2: Estrategia Se consideran los planes estratégicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio. La estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de las TI. Principio 3: Adquisición Las adquisiciones de TI se hacen por razones válidas, sobre la base de adecuada y análisis en curso, con la decisión clara y transparente de decisiones. Hay equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en a corto y largo plazo.

10 6 Principios de Buen Gobierno (2 de 2) Principio 4: Rendimiento Las TI debe estar dimensionada para dar soporte a la organización, proporcionando lo servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Principio 5: Conformidad Cumple con todas las legislaciones y normas obligatorias. Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas. Principio 6: Factor Humano Las políticas de TI, las prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y futuras de todas las personas involucradas.

11 Modelo de Gobierno Corporativo de TI La dirección ha de gobernar las TI mediante 3 tareas principales: Evaluar Dirigir Monitorizar

12 Modelo de Gobierno Corporativo de TI Evaluar: La dirección debe examinar y juzgar sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sea interno, externas, o ambas cosas).

13 Modelo de Gobierno Corporativo de TI Dirigir: La dirección debe asignar la responsabilidad, y la preparación directa y aplicación de planes y políticas. Asegurar la correcta transición de los proyectos a la producción considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de TI en la organización.

14 Modelo de Gobierno Corporativo de TI Monitorizar: La dirección debe vigilar, a través de sistemas de medición adecuados, el rendimiento de las TI. Deben convencerse que el rendimiento está en conformidad con los planes, en particular con respecto a los objetivos de negocio.

15 Guía orientativa para el Gobierno de las TI Principios Dirigir Monitorizar Evaluar Responsabilidad - Planes con Responsabilidad Asignada - Recibir información y rendir cuentas -Mecanismos establecidos Gobierno TI - Asignación Responsabilidades (entendimiento) - Desempeño responsables Gobierno de TI - Asignación Responsabilidades - Competencias responsables Estrategia - Creación y uso de planes y políticas - Asegurarse beneficios TI en el negocio - Alentar propuestas innovadoras - Supervisar el progreso de las propuestas aprobadas - Alcanzar objetivos en plazos establecidos - Utilizar recursos asignados - Uso de TI, alcanzando beneficios esperados - Evaluar el progreso propuestas aprobadas - Evaluar actividades TI y alineamiento - Mejores practicas - Satisfacción interesados - Valoración y evaluación de Riesgos Adquisición -Activos de TI se adquieren de manera apropiada -Documentos Capacidad Requerida - Acuerdos de Suministro respalden necesidades negocio - Inversiones y capacidades requeridas - Entendimiento Interno/Externo necesidades Negocio - Alternativas propuestas - Propuestas aprobadas - Análisis de riesgo / valor - Inversiones Rendimiento - Asignación Recursos Suficientes - Asignar prioridades y Restricciones - Satisfacer Necesidades de Negocio - Datos correctos, actualizados, protegidos - Grado TI Sustenta Negocio - Recursos e Inversiones Priorizados Necesidades Negocio - Política Precisión Datos (fiabilidad, exactitud e integridad) - Política uso eficiente TI -TI sustenta procesos de negocio. Dimensionado y Capacidad - Riesgos: continuidad operaciones -Riesgos: integridad información, protección activos -Decisiones uso TI. Apoyo al negocio -Eficacia y desempeño Gobierno TI Cumplimiento -TI cumple obligaciones, normas y directrices -Establecer y aplicar políticas (uso TI interno) - Personal TI cumple directrices, desarrollo y conducta -Ética rige acciones relacionadas TI -Cumplimiento y Conformidad (Auditorias/Informes) -Oportunos, Completo, Adecuados (Necesidades Negocio) -Actividades TI -TI cumple Obligaciones, Normas y Directrices -Conformidad Gobierno TI Factor Humano -Actividades TI compatibles con Factor Humano -Informar por cualquier individuo (riesgos, problemas) -Administración riesgos según políticas y procedimientos - Escalado a los decisores -Identificar, prestar atención a las actividades TI -Practicas de trabajo son consistentes con el uso apropiado de TI - Se identifican actividades TI, que aseguran que los RRHH están identificados y considerados adecuadamente. Fuente: Manuel Ballester (U. Deusto). Revista Dintel nº 32. Mayo 2009

16 Beneficios del Gobierno de TI Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y Evaluar. Este estándar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI. Este estándar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI. Este estándar fomenta el uso de otros estándares para apuntalar la gestión de las TI (CITI Control Interno Tecnologías Información) Este estándar deja claro que se debe cumplir con la legislación vigente Este estándar es un subconjunto del Gobierno Corporativo de las empresas / instituciones.

17 Proceso de Certificación de Conformidad ISO FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) Informe fase 1 Auditorías de mantenimiento de la certificación de conformidad CUESTIONARIO PRELIMINAR Y SOLICITUD AUDITORÍAS DE RENOVACIÓN (AL TERCER AÑO) AUDITORÍAS DE SEGUIMIENTO (AL SEGUNDO AÑO) AUDITORÍAS DE SEGUIMIENTO (AL PRIMER AÑO) Auditoría de certificación de Conformidad (ISO 17021) REGISTRAR LOS RESULTADOS CONCESIÓN DEL CERTIFICADO DE CONFORMIDAD FASE 2 REALIZACIÓN DE LA AUDITORÍA (presencial) Informe final ELABORACIÓN DEL INFORME DE EVALUACIÓN Y DECISIÓN Informe de Evaluación y Decisión

18 El tiempo de los Procesos en las TICs 80 s (mecanizar operaciones) 90 s (Help Desk y control presupuestario) Finales 90 s (E-Commerce y marketplace) XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora Continua. Los procesos en TICs: incrementando el desarrollo de productos e innovación) CIOs se convierten en CPOs (Chief Process Officers) integrados con los objetivos del negocio.» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).

19 Algunos Datos de AENOR en TICs Certificaciones en SGSI (UNE ISO 27001): más de 250 empresas certificadas (Diciembre 2010). Desde PYMES hasta grandes Corporaciones. (INDRA, British Telecom, Buro de Crédito (Mexico), Movistar Argentina, Hospital Juan Pablo II Polonia, IECISA, GMV, Start-Up, Intermark, Telecable, IBERIA, Ministerio de Sanidad, Organización Nacional de Transplantes, CajaAstur, Cluster TIC de Asturias, etc.) Certificaciones en SGSTI (UNE ISO ): + 70 empresas certificadas (El Corte Inglés CPD, Telefónica Soluciones, SIA, Tecnocom, Xunta de Galicia, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, etc. ). Certificación de Conformidad Gobierno de TI (ISO/IEC 38500): 1 empresa con certificado de conformidad (Rural de Servicios Informáticos RSI) Otras Certificaciones en TICs : Spice-ISO 1554 ( + 20 empresas Nivel 2), BCM (2 empresas SANITAS y pdte. Buró Crédito-México) SAM, (1 empresa - Tecnofor) etc.

20 Sistemas de Gestión en las TICs. Una historia reciente La simplicidad es la mayor de las sofisticaciones Leonardo Da Vinci

21 Un Nuevo Reto en las TICs: El Gobierno de TI y la Gestión Integrada (PDCA) de las TICs alineadas con el Negocio. Muchas Gracias Carlos Manuel FERNANDEZ cmfernandez@aenor.es AENOR Asturias PCT de Gijón. Edificio FADE Profesor Potter, 51. Cabueñes GIJÓN Tel.: Fax: dpa@aenor.es