Introducción al IT Governance Juan Rodrigo Anabalón Auditoria informática Universidad de los Lagos Chile
IT-Governance IT governance is the responsibility of executives and the board of directors, and consists of the leadership, organisational structures and processes that ensure that the enterprise s IT sustains and extends the organisation sstrategies and objectives. (Font IT Governance Institute Cobit4.0, USA 2005)
Motivación Durante los tres últimos años la sección 404 de la Ley SOX con los requerimientos específicos que obligan a las compañías a "documentar, evaluar, verificar y monitorizar sus controles internos sobre los informes financieros" ha supuesto en EE.UU. un gran paso cualitativo para el afianzamiento de la Auditoria Informática y ha supuesto también un gran incremento de la demanda de Auditores Informáticos.
IT Governance - Motivación Mayor dependencia de las Tecnologías de la Información. Los procesos de TI en un principio, enfocadas a temas técnicos. Alto riesgo operacional y estratégico. Se requiere entonces: Gobierno de la tecnología de la información.
Consolidación de la Seguridad Políticas y Planes de Concienciación (tanto de Directivos como de Usuarios) Análisis, Gestión y Tratamiento de Riesgos, Evaluación y Gestión de Activos de Información, Planes de Continuidad del Negocio y de Contingencia, Cumplimiento Legal y seguimiento de Normas, Desarrollo de SGSI siguiendo los estándares ISO/IEC 17799:2005 y 27001:2005.
IT Governance Autosuperación IT Governance Recomendaciones Social ISO 9000 etc. Cambio organizacional Seguridad Psicología Proceso Seguridad Información
IT Governance Las TIC son necesarias para facilitar y optimizar la consecución de los objetivos estratégicos del negocio, como el crecimiento a largo plazo de su valor o el aumento de la flexibilidad de los procesos de negocio para poder adaptarse a mercados variables. El IT Governance se enfoca en tres aspectos clave, la gestión del riesgo inherente al uso de los sistemas de información, la optimización del rendimiento obtenido de los mismos y la alineación de la estrategia de IT con la del negocio. CALIDAD en los Servicios alineados al Negocio
Que debemos controlar Proceso de negocio Criterio de información Proceso de Información Recursos de TI Aplicaciones Información Infraestructura Recursos Humanos Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
El Cubo Cobit (Font IT GovernanceInstituteCobit4.0, USA 2005)
Por qué? como? Objetivos de la Organización Cómo? Organización Procesos de Negocio Por qué? Infraestructura provista por TI Administración de Servicios de TI Organización de TI
Prinples of Governance
Principles of governance
Introducción a ITIL Information Technology Infraestructura Library Creada a finales de los 80s, la CCTA (Central Computer and Telecommunication Agency) Facilitar la calidad de administración de servicios de TI. Año 2000, el Ministerio de Hacienda Británico estableció la OGC (Office for Government Comerse) para acordar con todas las actividades comerciales dentro del gobierno. Todas las actividades que estaban bajo el control de la CCTA (Central Computer and Telecommunications Agency), incluyendo ITIL.
Introducción a ITIL Una vez que los procesos de administración de servicios de TI están alineados con los objetivos de negocio, ITIL recomienda que se cuente con un programa de mejora continua o CSIP (Continuous Service Improvement Programme). Para esta mejora, deben de considerarse 3 aspectos: Gente Procesos Procesos Infraestructura. Gente Tecnología
Introducción a ITIL Entrega de Servicios: Cubre los procesos necesarios para la planeación y entrega de la calidad de los servicios de TI. Estos procesos son: Administración de Niveles de Servicio Administración Financiera Administración de Capacidad Administración de la Continuidad de Servicios de TI Administración de la Disponibilidad
Conceptos básicos de ITIL ITIL, por sus siglas en inglés (Information Technology Infrastructure Library) es una colección de documentos públicos, que basados en procesos y un marco de mejores prácticas de la industria, permite la Administración de Servicios de una organización de TI con calidad y a un costo justo.
Relación entre procesos de administración de servicios de TI Negocios, Clientes o Usuarios Herramientas de administración Incidentes Reportes de Servicio Estadísticas de Incidentes Reportes de Auditoría Administración de Incidentes Estadística de Problemas Análisis de Tendencia Reportes de Problemas Revisiones de Problemas Ayudas de Diagnostico Reportes de Auditoría Incidentes Administración de Problemas Dificultades Búsquedas Requerimientos Escritorio de Servicios Calendario de Cambios Minutas del CAB Estadísticas de Cambios Revisiones de Cambios Reportes de Auditorías Reportes de Encuestas de Clientes Administración de Cambios Comunicaciones Actualizaciones Work-arounds Cambios Administración de Liberaciones Calendario de Liberaciones Estadísticas de Liberación Revisiones de Liberación Biblioteca Segura Estándares de Prueba Reportes de Auditoría Liberaciones Administración de Configuración Reportes de CMDB Estadísticas de CMDB Estándares / Políticas Reportes de Auditoría Incidentes Problemas Errores conocidos Cambios C M D B Liberaciones Elementos de Config. Relaciones
ITIL & estándares internacionales La mayoría de las regulaciones gubernamentales recomiendan a las organizaciones basar sus procesos en mejores prácticas de la industria para garantizar el cumplimiento de la ley para apoyar el cumplimiento de dichas normas, sobre todo en aspectos en los que TI forman parte de la cadena de valor del negocio.
Introducción a ITIL El utilizar las mejores prácticas de ITIL apoya a las organizaciones a contar con procesos eficientes y alineados a las necesidades del negocio, lo que trae como consecuencia la optimización de los recursos de TI necesarios para la operación de las empresas. ISO 20000/ BS15000 ITIL CMM SEIS SIGMA COBIT Modelosde procesosde negocio Gobernabilidad
Certificaciones ITIL Certificación en Fundamentos de Administración de Servicios de TI (ITIL Foundation): garantiza el conocimiento de términos básicos, conceptos y la relación entre procesos de Administración de Servicios de TI. Certificación Profesional en Administración de Servicios de TI (ITIL Practitioner): en esta certificación se obtienen las habilidades en aspectos específicos y prácticos de un solo proceso de ITIL, es decir por cada proceso existe una certificación profesional. Certificación de Administrador de Servicios de TI (ITIL Service Management): provee del reconocimiento internacional, que muestra que se tiene una clara demostración de la habilidad para implementar y administrar los servicios de TI. Configuraciones ITIL Practitioner ITIL Service Manager Cambios Incidentes Problemas Niveles de Servicio Soporte de Servicios Entrega de Servicios Practicantes Administrador de Servicios Fundamentos de ITIL
Referencias Principles of Governance. Stacey Hamaker, CISA, and Austin Hutton. Information Systems Control Journal, Solume 2 (2003). Academia Latinoamericana de Management (ALM). Microsoft Technet.
Más Información COBIT CMM EFQM Six Sigma Deming British Standards Institution The Balanced Scoredcard ITIL website OGC website EXIN ISEB Otros http://www.isaca.org/cobit.htm http://www.sei.cmu.edu/cmm/cmm.html http://www.efqm.org/new_website/ http://www.ge.com/sixsigma http://www.deming.org http://www.bsi.org.uk http://www.balancedscorecard.org/basics/bsc1.html http://www.itil.co.uk http://www.ogc.gov.uk http://www.exin-exams.com http://www.bcs.org.uk http://www.itsmdirect.com http://www.itilcollege.com http://www.itsm-learning.com http://www.itilsurvival.com http://www.itil-itsm-world.com