Seminario de Actualización: Gobernabilidad de Tecnología de Información

Transcripción

1 Seminario de Actualización: Gobernabilidad de Tecnología de Información Catedra Sistemas de Información para la Gestión - Docentes: Martha Medina de Gillieri Jorge López

2 Gobernabilidad de Tecnología de Información Temas para este seminario Visión de COBIT 4 - contenidos Organización y Procesos de Tecnología de Información Gobernabilidad de Tecnología de Información Planteo de un Caso de estudio

3 La reproducción de partes de COBIT en esta presentación es exclusivamente de uso académico y dentro de la licencia de uso acá referenciada

4 Gobernabilidad de TI ser orientado a negocios, el marco de trabajo COBIT se creó con las características principales de orientado a procesos, basado en controles e impulsado por mediciones.

5 Gobernabilidad de TI El marco de trabajo COBIT se basa en el siguiente principio (Figura 5): Para proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida. El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio. Volver

6 Gobernabilidad de TI Metas de TI La Figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial Volver

7 Gobernabilidad de TI Procesos de TI Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista. Volver

8 Gobernabilidad de TI Controles de TI TI es responsable de: Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicación. Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa. Volver

9 Gobernabilidad de TI Mediciones de TI El tema de procesos de TI es esencialmente complejo y subjetivo, por lo tanto, es más fácil abordarlo por medio de evaluaciones fáciles que aumenten la conciencia, que logren un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de las descripciones. De cualquier manera, se requiere experiencia en el proceso de la empresa que se está revisando.

10 Gobernabilidad de TI Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

11 Organización de Tecnología de Información En general, muchas de las organizaciones de Sistemas de Información estan divididas en cinco funciones básicas, independientemente de cómo y donde reporten. T.I. Gerente Máxima responsabilidad Seguridad y Calidad Desarrollo Soporte y entrega Administración de Datos Soporte Técnico Operaciones Diagrama General

12 Organización de Tecnología de Información Seguridad y Calidad: Actividades asociadas con Segridad de la Información, Aseguramiento de la calidad (Q&A), Auditoria y cumplimiento. Desarrollo de aplicaciones y soporte: Actividades asociadas con consutoria de soporte, diseño desarrollo, implementación y modificaicones a programas, sistemas y operaciones de negocio. Administración de datos: Actividades asociadas con la arquitectura de datos, administración y mantenimiento. Soporte Técnico: Actividades asociadas con la infraestructura técnica, como programación de sistemas soporte de sistemas operativos, comunicación de voz y datos, administracion de red, etc.

13 Organización de Tecnología de Información Operaciones: todas las actividades relacionadas con las operaciones del día a día de computadoras y sistemas de negocios aplicativos. Gerente T.I.: (CIO - Chief Information Officer) La posición requiere de habilidades en la direción de una varidad de proyectos además de entender las maneras en la cual la tecnología de información puede ser aplicada dentro de la organización. También requiere experiencia técnica, y la flexibilidad de interactuar con una variedad de gente de todos los niveles; internamente como staff, directores, finanzas, etc. y externamente auditores, clientes, proveedores y asociaciones de profesionales. Volver

14 Organización de Tecnología de Información SEGURIDAD Y CALIDAD Seguridad y Calidad Administrador de Seguridad Aseguramiento de la Calidad (Quality Assurance) Administrador de Seguridad: Responsable por los programadores de sistemas que mantienen el software de sistema. Revisión de Logs. Críticos y se ocupa de la gestión de la política de seguridad. Aseguramento de la Calidad: Responable de negociar y facilitar las ativiades de calidad en todas las áreas de Tecnologías de Información. La función se centra en las actividades de desarrollo de sistemas. Volver

15 Organización de Tecnología de Información DESARROLLO DE APLICACIONES Y SOPORTE Desarrollo de Aplicaciones Desarrollo de Sistemas Soporte de Usuario Final Analistas de Sistemas (Aplicaciones) Programadores (Aplicaciones) Usuarios Finales (en caso de Arquitectura Cliente Servidor)

16 Organización de Tecnología de Información Desarrollo de Sistemas (Proyect Manager): Responsable por los programadores y analistas que implementan nuevos sistemas y mantienen los existentes. Analistas de Sistemas (Aplicaciones): Responable de diseñar las aplicaciones basados en las necesidades del usuario. Involucrado irectamente en el ciclo de vida del desarrollo del sistema. Programador (Aplicaciones): Responable de crear o modificar programas para desarrollar nuevos sistemas y/o mantener los sistemas aplicativos existentes, haciendo cambios a los programas requeridos por los usuarios.

17 Organización de Tecnología de Información Soporte de Ususario Final (Help Desk): Responsable por la relación entre el departamento de TI y los usuarios finales. Usuarios Finales: Responable de ingrasar los datos, tanto en un sistema Batch como en un sistema On-Line. Es responsabilidad del Soporte de Usuario Final la adecuada segregación de funciones dentro de esta función. Volver

18 Organización de Tecnología de Información SOPORTE TÉCNICO Soporte Técnico Administrador de Sistemas Sistemas Operativos Administrador de Redes Programadores Sistemas Operativos Soporte Técnico: Responsable por el personal que mantiene el software del Sistema. Administrador de Sistemas: Responable por la aministración día a día del software del sistema aplica actualizaciones (parches) monitorea espacios en discos y erformance del sistema)

19 Organización de Tecnología de Información Administrador de Redes: Responsable del control técnico y administrativo de la arquitectura de red y la disponibilidad de los servicios de red a usuarios. Programadores de sistemas: Responable por el mentenimiento del software del sistema (sistema operativo) Volver

20 Organización de Tecnología de Información ADMINISTRACIÓN DE DATOS Administración de Datos Administrador de Datos (DA) Administrador de la Base de Datos (DBA) Administrador de Datos: Responsable de la arquitectura de datos en ambientes extensos de Tecnología de Información en donde el dato es un activo corporativo (Datawarehouses Convensión de nombres). Administrador de la Base de Datos: Responable por el día a día de la administración, mentenimiento e integridad del sistema de administración de base de datos. Volver

21 Organización de Tecnología de Información OPERACIONES Operaciones Bibiotecario Operador (Sistema Operativo Operador Data Entry (Mainframe) Operaciones: Responsable del personal de operaciones de computadores, incluídos operadores, bibliotecarios, programadores (schedulers) y data control. Bibliotecario (Tape librarian): Responable de registrar, entregar, recibir y resguardar todos los programas y archivos de datos mentenidos en tapes o discos.

22 Organización de Tecnología de Información Operador: Responsable del monitorear la ejecución de varias tareas del Sistema Operativo en el computador central. Evaúa y corrige problemas durante la ejecución de los sistemas. Operador de Data Entry (Mainframe): Responable por ingreso de datos vía procesos batch. Volver

23 Organización de Tecnología de Información T.I. Gerente Máxima responsabilidad Seguridad y Calidad Desarrollo Soporte y entrega Administración de Datos Soporte Técnico Operaciones Administrador de Seguridad Aseguramiento de Calidad Desarrollo y Soporte Administrador de Datos DBA Administrador de Red Administrador de Sistemas Programadores (SO) Analistas (SO Bibliotecario Operador de Computadora Data Entry Analistas Programadores

24 Organización de Tecnología de Información SEGREGACIÓN DE TAREAS DENTRO DE UNA ORGANIZACIÓN DE TI Desde un punto de vista de la auditoria se revisará que no debe hacer quien. Cundo se dice, un empleado particular no debe hacer el trabajo, quiere decir que ningún control compensatorio puede mitigar el riesgo involucrado por realizar ese trabajo incompaible.

25 Organización de Tecnología de Información SEGREGACIÓN DE TAREAS DENTRO DE UNA ORGANIZACIÓN DE TI Analista de Sistemas: No debe realizar el trabajo del Operador, administrador de la seguridad, bibliotecario, programador y Aseguramiento de la Calidad. Programador de Aplicaciones: No debe ingresar datos (data entry), operaciones, DBA, seguridad, programación de sistemas. Esta es una funcion muy sensible. Operador de Data Entry / Usuario Final: No debe programar, operar, DBA y seguridad.

26 Organización de Tecnología de Información SEGREGACIÓN DE TAREAS DENTRO DE UNA ORGANIZACIÓN DE TI Operador: No debe realizar otro trabajo que el de operador. Administrador de Bases de Datos: No debe programar, ingresar datos, operaciones, seguridad, etc. Esta es una funcion muy sensible. Administrador de la Seguridad: No debe realizar otro trabajo que el de seguridad. Bibliotecario: No debe analizar sistemas, programar ni administrar la seguridad.

27 Organización de Tecnología de Información SEGREGACIÓN DE TAREAS DENTRO DE UNA ORGANIZACIÓN DE TI Programadores de Sistemas: No debe realizar otro trabajo que el de programador. Aseguramiento de la Calidad: No debe analizar sistemas no programar debido a que es la función que prueba (test) la calidad de esas dos funciones.

28 Auditoría y TIC Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

29 Propiedades de la Información CRITERIOS DE INFORMACIÓN Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control. Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definen los siguientes siete criterios de información: La efectividad: tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia: consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

30 Propiedades de la Información CRITERIOS DE INFORMACIÓN La confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad: está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad: se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

31 Propiedades de la Información CRITERIOS DE INFORMACIÓN El cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad: se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

32 Información Propiedades de la Información - NIIF Uno de los objetivos de los mercados globalizados, es contar con información financiera homogénea de las empresas que intervienen a nivel mundial. En tal sentido se dictaron la Normas Internacionales de Información Financiera, que serán de aplicación obligatoria para determinadas organizaciones en nuestro país desde 2012, de acuerdo a la Res 26 de la FACPCE y normativas de la CNV, tales normas que se componen de: Normas Internacionales de Contabilidad NIC ( International Accounting Standards IAS) Normas Internacionales de Información Financiera NIIF ( International Financial Reporting Standards IFRS) Interpretaciones de Normas Internacionales de Contabilidad NIC (Standing Interpretations Commitee SIC) Comité de Interpretación de Normas Internacionales de Informacion Financiera CINIIF (International Financial Reporting Interpretations Committee IFRIC) Dichas normas contienen una sección de Información a Relevar y un marco conceptual que contienen características cualitativas que debe contener la información preparada de acuerdo a NIIF, ellas son:

33 Información Propiedades de la Información - NIIF Comprensibilidad: Que incluye sencillez y claridad, informando elementos adicionales de cada norma o en su ausencia el hecho que ayude a entender la transacción reflejada. Pero el usuario de la información deberá familiarizarse con las formas de preparación y métodos de valoración y el emisor debe preparar la información de una forma amigable pero siempre cumpliendo con las normas y el marco conceptual. Relevancia: la información tiene importancia relativa cuando su omisión o presentación errónea puede influir en las decisiones económicas de los usuarios, tomadas a partir de los estados financieros. En este sentido tener en cuenta los usuarios de la información son los que marcarán la información relevante.

34 Información Propiedades de la Información - NIIF Fiabilidad de la Información: La información presentada debe estar libre de error significativo y de sesgo o prejuicio y que representa la imagen fiel de la organización. Esta característica incluye: Representación fiel, real valor a fecha de presentación Esencia sobre la forma, prevalecer la esencia del hecho económico, la intención de la empresa, el fondo económico de la transacción. Neutralidad, ningún usuario pueda sentirse perjudicado por los criterios utilizados o por la forma de presentación Integridad, la información debe proveer razonable seguridad, respecto de los hechos, clasificación y oportunidad. Comparabilidad de la Información: de igual empresa entre períodos. Aplicación constante de normas excepto que se prevea específicamente.

35 Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

36 Recursos de TI METAS DE NEGOCIOS Y DE TI Mientras que las Propiedades (criterios) de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para TI.

37 Recursos de TI Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa. Debe existir una propiedad y una dirección clara de los requerimientos por parte del negocio (el cliente) y un claro entendimiento para TI, de cómo y qué debe entregar (el proveedor).

38 Recursos de TI La estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por TI. Estos objetivos a su vez, deben conducir a una clara definición de los propios objetivos de TI. Luego éstas a su vez definir los recursos y capacidades de TI requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Las metas de negocio para TI. Las metas de TI. La arquitectura empresarial para TI

39 Gobernabilidad de TI La Figura resume cómo las metas de negocio para TI influencian la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI para lograr las metas de TI.

40 Gobernabilidad de TI Recursos de TI Los recursos de TI identificados en COBIT se pueden definir como sigue: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

41 Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

42 Gobernabilidad de TI Orientado a procesos Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.

43

44 La figura 19 ilustra la relación entre las metas de negocio, de TI, de proceso y de las actividades, y las diferentes métricas. La cascada de metas es ilustrada desde arriba a la izquierda hasta arriba a la derecha. Debajo de la meta está su medida de resultado. La flecha indica que la misma métrica es un indicador de desempeño para la meta de más alto nivel.

45 Planificación y Organización PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos

46 Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

47 Adquisición e Implementación Adquirir e Implementar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantentener software aplicativo AI3 Adquirir y mantentener Infraestructura Tecnológica AI4 Facilitar la Operación y el Uso AI5 Adquirir Recursos de TI AI6 Administrar los cambios AI7 Instalar y acreditar soluciones y cambios

48 Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Planificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

49 Entrega y soporte ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones

50 Organización y Procesos de Tecnologías de Información Organización de TI. Propiedades de la Información. Recursos de TI. Panificación y Organización. Adquisición e implementación. Entrega y Soporte. Monitoreo.

51 Monitoreo MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI

52 Planificación y Organización Modelo de Maduración de Capacidades Definido Repetible Inicial 3 2 Inexistente 1 0 Administrado 4 Optimizado 5 SIMBOLOS UTILIZADOS Estado Actual de la Empresa Estándares Internacionales Mejores Prácticas de la Industria Estrategia corporativa CLASIFICACIONES UTILIZADAS 0 Inexistente No se aplica ningún proceso de gestión 1 Inicial Los procesos se aplican según la ocasión y de manera desorganizada 2 Repetible Los procesos siguen un patrón regular 3 Definido Los procesos son documentados y comunicados 4 Administrado Los procesos son monitoreados y medidos 5 Optimizado Se siguen y se automatizan las mejores prácticas

53 Planificación y Organización BAJO CONTROL mejora continua Optimizado MEJORADO estandarizado, consistente previsible Definido Manejado monitoreo y medición del proceso automatizar las mejores prácticas disciplinado Repetible proceso formalizado Inicial administración del proceso FUERA DE CONTROL

54

55

56

57 Consultas Organización y Procesos de Tecnologías de Infrmación