introducción iso38500

LOGO DEL CLIENTE

(no debe superar el tamaño del logo de Atos Origin)

21 de abril de 2006 | Nº oferta | v1.0

© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines

expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.

© ATOS y ATOS ORIGIN son marcas registradas.

Introducción ISO38500

26 Noviembre 2009

| © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.01

Reflexión Inicial

EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES

PORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR

Francis Bacon (1561-1626)


OBJETIVOS

▶ Conocer los aspectos más importantes del modelo Gobierno TIC

▶ Comprender la importancia del concepto de Gobernanza de TI para la dirección, el control y la gestión de la información y sus tecnologías afines.

▶ Comprender la utilización de los modelos CobiT, Val IT, ISO38500 como marco para implantar una estrategia de Gobernanza de TIC.

*** OBJETIVOS ***


CRÉDITOS Y RECONOCIMIENTOS

Parte del material empleado en esta presentación procede, o está basado, en la documentación original, oficial, pública, del Máster de Buen Gobierno de la Universidad de Deusto, CobiT® y Val IT™, propiedad de ISACA y/o de ITGI.

Asimismo, también han sido consultadas - y, en su caso, traducidas, adaptadas y/o actualizadas - las siguientes fuentes:

▶ CobiT® 4.1

▶ Val IT

▶ ISO

▶ COSO

*** CRÉDITOS Y RECONOCIMIENTOS ***


INFORMACIÓN PERSONAL

▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT

» Consejero Delegado TEMANOVA

» Socio ALINTEC

» Director Máster Buen Gobierno Universidad Deusto

» Director Cátedra Buen Gobierno Universidad Deusto

▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR

▶ Former President de ASIA / ISACA Madrid Chapter

▶ CobiT® Foundation Certificate

▶ Certified Information Systems Auditor

▶ Certified Information Security Manager

▶ Cerified Corporate Governance Enterprise IT

▶ Accredited CobiT® Trainer

José Manuel Ballester Fernández


D. Tomás Arroyo Salido

CGEIT,COBIT,CISA

Diplomado en Auditoría de la Información y Dirección de la Seguridad de la Información-UPM

35 años de experiencia en Sistemas de Información, funciones operativas y de control,

entorno financiero .

Ex CISO y Responsable de Calidad del Servicio y Control Interno del área de TI de BBVA

Profesor y Coordinador del área de “Protección de los Activos de Información”

Máster en Buen Gobierno de las TIC, Universidad de Deusto

Profesor del Máster en Dirección de Seguridad de la Universidad Europea de Madrid

Profesor del Máster de Seguridad y Auditoria de la UPM.

Auditor interno calidad ISO9001, Evaluador de calidad modelo EFQM

Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”

Miembro de ISACA: CISA, CGEIT, Accredited CobiT® Trainer

Secretario General del Grupo de Usuarios de GSE de IBM

Acerca de los instructores ...


▶ 01/ Antecedentes

▶ 02/ Alcance de CobiT®

▶ 03/ Gobernanza de TI

▶ 04/ Puesta en marcha de una estrategia de Gobernanza de TI

▶ 05/ Val IT™ o sobre la Gobernanza de las inversiones en actividades apoyadas en TI

▶ 06/ CobiT® y otros modelos

▶ 07/ Certificación ISO38500

AGENDA

LOGO DEL CLIENTE






01/ ANTECEDENTES


Texto menú 2

Introducción

Evolución social

S. XX

- ORIENTACIÓN A LA PRODUCCIÓN

- ORIENTACIÓN PRODUCTO/SERVICIO

- ORIENTACIÓN A LA VENTA

- ORIENTACIÓN AL CLIENTE

S. XXI

- ORIENTACIÓN STAKEHOLDERS

01/ ANTECEDENTES


Texto menú 2

Introducción

Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones

que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o

terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier

sistema.

Complejidad social

01/ ANTECEDENTES


Acciones Sociales

- Promover la participación activa de la ciudadanía en el desarrollo de la RSC.

- Denunciar las malas prácticas empresariales.

- Aprender a identificar aspectos de la gestión empresarial que afecten

directamente al ciudadano y dónde recurrir para denunciarlo.

01/ ANTECEDENTES


COSO – Internal Control Integrated Framework

En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece

una definición común de control interno y proporciona un estándar mediante el cual las

organizaciones pueden evaluar y mejorar sus sistemas de control.

Mejorar la calidad de la información financiera

concentrándose en el manejo corporativo, las normas

éticas y el control interno.

Unificar criterios ante la existencia de una importante

variedad de interpretaciones y conceptos sobre el

control interno.

OBJETIVOS DE COSOControl Interno

01/ ANTECEDENTES


Alinear el riesgo aceptado y la estrategia

Mejorar las decisiones de respuesta a los riesgos.

Reducir las sorpresas y pérdidas operativas

Identificar y gestionar la diversidad de riesgos para toda la entidad

Aprovechar las oportunidades

Mejorar la dotación de capital

El Gobierno Corporativos incluye las siguientes capacidades:

Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de

rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos.

Con el Gobierno Corporativo permite asegurar una información eficaz y el

cumplimiento de leyes y normas, además de ayudar a evitar daños a la

reputación de la entidad y sus consecuencias derivadas.

01/ ANTECEDENTES


Definición de la Gobierno Corporativo

El marco de Gobierno Corporativo está orientado a alcanzar los

objetivos de la entidad, que se pueden clasificar en cuatro categorías:

El Gobierno Corporativo es un proceso efectuado por el

consejo de administración de una entidad, su dirección y

restante personal, aplicable a la definición de estrategias

en toda la empresa y diseñado para identificar eventos

potenciales que puedan afectar a la organización,

gestionar sus riesgos dentro del riesgo aceptado y

proporcionar una seguridad razonable sobre el logro de

los objetivos.

Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo

Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos

Información: objetivos de fiabilidad de la información suministrada.

Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.

01/ ANTECEDENTES


Funciones y responsabilidades

El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un

papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías

de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.

La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser

elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son

los responsables en sus respectivas áreas.

La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de

los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.

Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control

interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben

comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas

establecidas o la legalidad de las acciones realizadas.

Coso – Internal Control Integrated Framework

01/ ANTECEDENTES

LOGO DEL CLIENTE






02/ ALCANCE DE CobiT®


CobiT®: “EL” Modelo



La evolución de CobiT®

01/ ANTECEDENTES

Gobernanza de TIC

Gestión de TIC

Control Interno TIC

Auditoria

TIC

1996 Abr. 1998 Jul. 2000 Nov. 2005 / Mar.2007

CobiT CobiT 2 CobiT 3 CobiT 4 / 4.1

De la AUDITORÍA a la GOBERNANZA


Las siglas CobiT®


C Control

OB objectives

I for information

T and related Technology

OBjetivos de Control para la Información y Tecnologías afines


Estructura de CobiT® 4.1


Consejos de Administración y Altos Ejecutivos

Gerencias de Línea y de TI

Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad

• Indicadores Clave de Rendimiento

• Indicadores Clave de Objetivo

• Modelos de Madurez

Resumen Ejecutivo

Directrices de Gestión

¿Qué es el Marco de Referencia para la Gobernanza de TI?

¿Cómo evaluarlo?¿Como presentarlo e implantarlo?

Objetivos de Control

¿Cúales son sus Responsabilidades?

Marco de ReferenciaGuía de

Evaluación de Garantía de TI Guía de Implantación deGobernanza de TI

Prácticas de Control


Contenido nuclear de CobiT® 4/4.1


Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives

ManagementGuidelines

MaturityModels

Framework

ControlObjectives


MaturityModels

Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Directrices

de

Gestión

Objetivos

de

Control

Marco de Referencia




Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Framework

ControlObjectives


MaturityModels

Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Directrices

de

Gestión

Objetivos

de

Control

Marco de Referencia


Marco de Referencia


La Organización requiere INFORMACIÓN proporcionada por TI para alcanzar los

OBJETIVOS propios de su actividad.

Dicha información ha de cumplir una serie de CRITERIOS.

La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de

la ACTIVIDAD de la Organización y cómo TI apoya su logro


Marco de Referencia. Definiendo las metas de TI y la arquitectura

empresarial para TI


Requisitos de la

Organización

requieren

Requisitos de

Gobierno Corp.

Servicios de

Información

Criterios de

Información

influencian

implican

aportan

necesitan

ejecutan

Procesos de TI

Información

Aplicaciones

Infraestructura y

Gente

Estrategia

Empresarial

Objetivos de la Entidad Arquitectura Empresarial para TI

Metas de

TI

Cuadro de

Mando

Integral para

TI

Objetivos

de la

Entidad

Arquitectura

Empresarial

para TI

RECURSOS DE TI


Marco de Referencia. Objetivos de la Entidad vs. Objetivos de TI


20 Metas de la Entidad VS. 28 Metas de TI


Marco de Referencia. Objetivos de TI vs. Procesos de TI


28 Metas de TI

VS.

34 Procesos




Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Framework

ControlObjectives


MaturityModels

Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Directrices

de

Gestión

Objetivos

de

Control

Marco de Referencia


Objetivos de Control. Los dominios de CobiT®


El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa

de forma natural en 4 DOMINIOS.

▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI

▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI

▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI

▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI


Objetivos de Control. Los dominios de CobiT® (y II)


OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO

Eficiencia

PersonasAplicaciones

InfraestructuraInformación

ENTREGARY

SOPORTAR

MONITORIZARY

EVALUAR

ADQUIRIRE

IMPLANTAR

INFORMACION

RECURSOSDETI

MARCO DE REFERENCIA

C O B I T

Eficacia

Confidencialidad

Integridad

Disponibilidad

Conformidad

Trata la entrega o la prestación de los servicios requeridos -desde las operaciones tradicionales, hasta la formación; pasando por la seguridad en los sistemas y las continuidad de las operaciones -.

Deberán establecerse los procesos necesarios para la provisión de los servicios.

Todos los procesos han de evaluarse periódicamente para verificar su calidad y suficiencia en cuanto a los requisitos de control.

Advierte a la Dirección sobre la necesidad de garantizar procesos de control independientes (auditorías).

Cubre las estrategias y las tácticas para identificar la forma en la que la TI puede contribuir de la mejor manera al logro de los objetivos de la Organización.

La consecución de la visión estratégica debe planearse, comunicarse y gestionarse desde diferentes perspectivas.

Es necesario establecer una organización e infraestructura tecnológica apropiada.

Para llevar a cabo la estrategia de TI, éstas deben identificarse, construirse o adquirirse, implantándose e integrándose en el proceso de la Organización.

Contempla, asimismo, los cambios y mantenimiento de sistemas existentes, para garantizar su continuidad.

PLANIFICARY

ORGANIZAR

Fiabilidad


Objetivos de Control. Repositorio de Procesos de TI



Eficiencia



ENTREGARY

SOPORTAR

MONITORIZARY

EVALUAR

ADQUIRIRE

IMPLANTAR

INFORMACION

RECURSOSDETI

MARCO DE REFERENCIA

C O B I T

Eficacia

Confidencialidad

Integridad

Disponibilidad

Conformidad

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de

apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente

físico. DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeño de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos de TI, la organización y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la dirección y objetivos de la gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.PO9 Evaluar y administrar

riesgos de TI.PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar

soluciones y cambios.

PLANIFICARY

ORGANIZAR

Fiabilidad


Objetivos de Control. De alto nivel


Descripción del

proceso

Dominio de TI y

Criterios de Información

Meta de TI

Metas del proceso

Prácticas clave

Métricas clave

Gobernanza de TI y

Recursos de TI


Objetivos de Control. Detallados


210 Objetivos de Control Detallados




Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Framework

ControlObjectives


MaturityModels

Framework

Control

Objectives

Management

Guidelines

Maturity

Models

Framework

ControlObjectives


MaturityModels

Directrices

de

Gestión

Objetivos

de

Control

Marco de Referencia


Directrices de Gestión


Entradas y Salidas del Proceso

Actividades y Matriz RACI

Objetivos (metas) de TI

Objetivos (metas) de los procesos

Objetivos (metas) de las actividades

KGI - Indicadores clave de objetivos

KPI - Indicadores clave de rendimiento


Directrices de Gestión. Objetivos e indicadores: KGI y KPI


KGI

Hacer el trabajo

Objetivo

KPI

Actuar

¿Lo Alcanzaremos?

¿Lo hemosalcanzamos?


Directrices de Gestión. Modelos de madurez



Un ejemplo


Meta de la Entidad 19

Obtener información fiable y útil para la toma de decisiones estratégicas


Un ejemplo


Meta de la Entidad

19

Obtener información

fiable y útil para la

toma de decisiones

estratégicas


Un ejemplo



Eficiencia



ENTREGARY

SOPORTAR

MONITORIZARY

EVALUAR

ADQUIRIRE

IMPLANTAR

INFORMACION

RECURSOSDETI

MARCO DE REFERENCIA

C O B I T

Eficacia

Confidencialidad

Integridad

Disponibilidad

Conformidad

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de

apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente

físico. DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeño de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos de TI, la organización y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la dirección y objetivos de la gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.PO9 Evaluar y administrar

riesgos de TI.PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar

soluciones y cambios.

PLANIFICARY

ORGANIZAR

Fiabilidad

Meta de TI 26

Mantener integridad y procesamientos

LOGO DEL CLIENTE






03/ GOBERNANZA DE TI


La triste realidad …



¡¡DESGOBIERNO!!

La triste realidad …



»¿Formarán las TI parte de la agenda de las reuniones del Consejo?

»De ser así, ¿Lo serán de una forma estructurada?

»¿Revisará e, incluso, aprobará el Consejo la estrategia con respecto a las TI?

»¿Tendrá el Consejo una perspectiva clara de la cartera total de inversiones en TI, desde el

punto de vista del riesgo y del retorno de tales inversiones?

»¿Recibirá el Consejo, de forma regular, informes de progreso de los principales proyectos de

TI?

»¿Será informado el Consejo, periódicamente, de los riesgos de carácter tecnológico a los que

la Organización está expuesta?

»¿Estará el Consejo obteniendo garantía independiente de que se están alcanzando los

objetivos definidos para las TI y de que se están mitigando los riesgos?

… o de ¿cuál es al actitud de la Alta Dirección con respecto a

las TI de la Organización?



… lleva a una imperiosa necesidad: Gobernanza



Niveles de Gobernanza

La provisión de la estructura que permita determinar los objetivos de la

Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son

cumplidos.

OCDE (2004)

Gobernanza corporativa

La especificación del marco de derechos a la toma de decisiones y la alta

responsabilidad para favorecer un comportamiento deseable en el uso de las TI.

MIT/Sloan School of Management (2004)

No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas -

eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo

se toman.

Gobernanza de la Información y Tecnologías afines

El establecimiento y mantenimiento de un marco que provea garantía de que las

estrategias de seguridad de la información están alineadas con los objetivos del

negocio y son conformes a las leyes y regulaciones aplicables

ISACA/CISM BoK (2002)

Gobernanza de la Seguridad de la Información y Tecnologías afinesGobernanza

Corporativa

Gobernanza de TI

Gobernanza de SI

Niveles de gobernanza



ISBN: 1-59139-253-5

“… [dados los mismos objetivos estratégicos] las

compañías con una Gobernanza de TI superior tienen, al

menos, unos beneficios un 20% más altos que aquellas

otras que cuentan con una Gobernanza más pobre…”

IT Governance. Weill P. & J.W.Ross. MIT/Sloan School of Management

(2004)

Los datos



Dimensiones de la Gobernanza de TI

Se orienta a asegurar el vínculo entre los planes de negocio y los de TI; a definir,

mantener y validar la propuesta de valor de las TI; y a alinear las operaciones de TI,

con las operaciones de la Entidad.

Alineamiento estratégico

Guarda relación con la ejecución de la propuesta de valor a través de un ciclo de

entrega; garantizando que las TI ofrecen los beneficios esperados, con respecto a la

estrategia marcada; y ello, concentrándose en optimizar los costes y probando el valor

intrínseco de las TI.

Aporte de valor

Hace referencia a la inversión óptima, y la gestión apropiada, de los recursos críticos

de TI: aplicaciones, información, infraestructura y personas. Los temas clave tienen

que ven con la optimización del conocimiento y la infraestructura.

Gestión de recursos

Requiere la concienciación de la Alta Dirección; un claro entendimiento del apetito de

la Entidad por el riesgo; comprensión de los requisitos de conformidad normativa;

transparencia sobre los riesgos significativos para la Empresa; y la incorporación de

responsabilidades de gestión de riesgos dentro de la Organización.

Gestión del riesgo

Sigue y supervisa la puesta en marcha de la estrategia, la finalización de los

proyectos, el empleo de recursos, el rendimiento de los procesos y la entrega de

servicios, empleado, por ejemplo, cuadros de mando integral que traducen la

estrategia en acciones para para alcanzar resultados medibles, más allá de la simple

contabilización.

Medida del rendimiento



» Es una responsabilidad de la Junta Directiva y de la Alta Dirección

» Una parte integral de la Gobernanza Corporativa

» Consta de liderazgo, estructuras, organizaciones y procesos que garantizan

que las TI soportan y extienden las estrategias y objetivos de la Entidad

Gobernanza de la Información y Tecnologías afines


LOGO DEL CLIENTE






04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE

GOBERNANZA DE TI


Los derechohabientes (stakeholders) en la Gobernanza de TI


GOBERNANZA DE TI

Gerencia de

Negocios

Fijan la dirección de TI, monitorean los resultados e insisten en las medidas correctivas

Define los requerimientos del negocio para TI y

garantiza que se agrega valor y que los riesgos

son administrados

Entrega y mejora los servicios de TI tal como los requiere el negocio

Proporciona garantía independiente de que TI entrega lo que se necesita

Mide que las políticas obedecen a y están

enfocadas en alertar nuevos riesgos

Gerencia de

Riesgo y cumplimiento

Auditoría de TI

Gerencia de TI

Junta y

ejecutivos


¿Qué necesitan los derechohabientes (stakeholders)?


GOBERNANZA DE TI

Junta

▶ Información total sobre conformidad y desempeño de TI

Gerencia Ejecutiva

▶ Obtener valor a partir de las inversiones de TI

▶ Balancear el riesgo y el control de la inversión en un ambiente de TI que

frecuentemente es impredecible

▶ Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros

▶ Ayudar a dar respuesta a los crecientes requerimientos regulatorios

Gerencia de Riesgo y Cumplimiento

▶ Validar que tanto el negocio como TI cumplan con los requerimientos internos y

externos

Gerencia de Negocios

▶ Obtener garantías sobre la seguridad y los controles de los productos y servicios

provistos internamente y por terceras partes

Auditores de TI

▶ Confirmar opiniones a la administración sobre los controles internos

▶ Responder a la pregunta: Qué controles mínimos son necesarios?



GOBERNANZA DE TI

Parte de los requerimientos del negocio

Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente

aceptado

Identifica los principales recursos de TI que deben ser potenciados

Define los objetivos de control administrativos a ser considerados

Incorpora los principales estándares internacionales

Se ha convertido en el estándar de facto para el control general de TI

Objetivo:

- Salvar las brechas entre los RIESGOS del negocio, las necesidades de CONTROL y

los procesos TÉCNICOS.

-Provee buenas prácticas a través de un marco de referencia de dominios y procesos

- Presenta actividades en una estructura administrable y lógica.

Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados.

COBIT proporciona un marco de referencia que logra este objetivo.



GOBERNANZA DE TI

» Posibilita mapear las metas de TI a las metas del negocio y viceversa

» Mejor alineación, basada en un enfoque del negocio

» Una visión, comprensible para la administración, de lo que es TI

» Claridad en la propiedad y responsabilidades, basada en una orientación a procesos

» Aceptabilidad general con terceras partes y reguladores

» Entendimiento compartido entre todos los involucrados, basado en un lenguaje

común

» Cumplimiento de los requerimientos de COSO para el ambiente de control de TI



GOBERNANZA DE TI

DESEMPEÑO: Metas del negocio

CONFORMIDADBasilea II, Sarbanes-

Oxley Act, etc

“Gobierno Corporativo”

“Gobierno de TI”

ISO 15504

ISO27000

ISO 20000Estándares de mejores prácticas

Procedimientos Desarrollo Software

Procesos y Procedimientos

Directrices

ISO38500 /COBIT / Val IT

COSO

Principios de

Seguridad

ITIL

Balanced Scorecard


Camino hacia la implantación


GOBERNANZA DE TI

Una secuencia de actividades para

construir un Gobierno de TI

sostenible en la Organización

Nada

Concienci-

ación

Análisis de

Necesidades

Análisis

de

Brechas

Proyectos deMejoramiento

Evaluación

Desarrollar

organización

de Gobierno

de TI

Actividad

Normal del

Negocio

Un mapa de ruta genérico ayuda a las

organizaciones a diseñar los

esfuerzos de implementación del

Gobierno de TI ……


Camino hacia la implantación (y II)


GOBERNANZA DE TI

Una secuencia de actividades para

construir un Gobierno de TI

sostenible en la Organización

Qué debe

Entregar TI?

Existen

problemas?

Qué es

critico?

Qué se

está

olvidando?

Qué lograr?

Ya lo hemos

arreglado?

Cómo podemos

mantener el

control?

Éxito

Un mapa de ruta genérico ayuda a las

organizaciones a diseñar los esfuerzos de

implementación del Gobierno de TI ……


Mapa de ruta


GOBERNANZA DE TI

IMPLEMENTAR LASOLUCIÓN

PLANEAR LA SOLUCIÓN

PREVER LA SOLUCIÓN

IDENTIFICAR NECESIDADES

Fomentar la conciencia y

obtenercompromiso

Analizar metas del negocio &

TI

Seleccionar procesos y controles

Definir el desempeño

actual

Definir objetivos de

mejora

Analizar inconsistencias

e identificar mejoras

Definir proyectos

Desarrollar un plan de

mejora

Implementar las mejoras

Integrar medidas en

el ITBSC

Revisión Post

implementación

Analizar riesgos

CONSTRUIRSOSTENIBILIDAD

Definir el Alcance

Desarrollar Estructura & Procesos del

Gobierno de TI

LOGO DEL CLIENTE






05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN

ACTIVIDADES APOYADAS EN TI


Val IT™: Basado en CobiT®

05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS

INVERSIONES EN ACTIVIDADES APOYADAS EN TI


Val IT™. Un nuevo miembro en la familia CobiT®



“Val IT™ - Enterprise Value:

Governance of IT investments”

Marzo 2006


Presentación




La paradoja de la información



El VALOR de las TI está siendo cada vez más cuestionado …

… mientras las organizaciones continúan gastando más y más en tecnología


El dato



Más de 600.000 millones de dólares tirados

cada año en proyectos de TI, mal concebidos

o mal ejecutados.

Fuente: Gartner


La cuestión fundamental



¿Estamos gestionando nuestras inversiones en TI, de forma tal, que:

▶ … obtenemos el nivel óptimo de valor;

▶ … a un coste razonable; y,

▶ … con un aceptable nivel de riesgo?


Procesos y prácticas clave de gestión

05 Val IT™ O SOBRE LA GOBERNANZA DE LAS


Val IT consta de tres (3) PROCESOS,

soportados en un total de cuarenta (40) PRÁCTICAS clave de gestión

LOGO DEL CLIENTE






06/ MODELOS y MAPPING


06/ OTROS MODELOS

~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios

de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.

COSO

OCDE

DTI

ISO 9000-3

NIST SP 800-12

ITIL

IBAG

NSW

DCB

EDPAF/Monográfico 7

PCIE

JISAS

EDPAF/Objetivos de Control

CISA

IFAC

NIST SP 500-153

GAO/GAS

SPICE

ISAA (Dinamarca)

DRI International

IIA/SAC

IIA/PPP 97-1

E&Y/TRS

C&L/Audit Guide SAP R/3

ISO IEC JTC1-SC27

ISO IEC JTC1-SC7

ISO TC68-SC2-WG4

Criterios Comunes

EDIFACT

TickIT

ESF/Comunicaciones

ESF/Microordenadores

EDPAF/CISAM

GAO/AIMD-00-21.3.1

NIST SP 800-18

GAO/FISCAM

BS7799

CICA

ISO IEC 13335-n (1..5)

SysTrustTM


06/ OTROS MODELOS

Committee of Sponsoring Organisations of the Treadway Commission (COSO)

Internal Control – Integrated Framework, 1994

Enterprise Risk Management – Integrated Framework, 2004

Office of Government Commerce (OGC®)

IT Infrastructure Library® (ITIL®), 1999-2004

Internation Organisation for Standardization

ISO/IEC 17799:2005, Code of Practice for Information Security Management

Software Engineering Institute (SEI®)

SEI Capability Maturity Model (CMM®), 1993

SEI Capability Maturity Model Integration (CMMI®), 2000

Project Management Institute (PMI®)

Project Management Professional Body of Knowledge (PMBOK®), 2000

Information Security Forum (ISF)

The Standard of Good Practice for Information Security, 2003


06/ OTROS MODELOS


06/ OTROS MODELOS

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate

CobiT 4.0 processes addressed by

COSO Internal Control -

Integrated Framework

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and OrganizeA

cqu

ire and

Main

tain

Deliver and Support

Mon

itor

an

d E

valu

ate


FIPS PUB 200

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


ISO/IEC TR 13335

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and SupportM

onit

or a

nd

Eva

luat

e


ISO/IEC 15408:2005

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


TickIT

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acq

uire an

d M

aintain

Deliver and Support

Mon

itor

an

d E

valu

ate


NIST 800-14


06/ OTROS MODELOS

Figura 2- Relación de ITGI Productos e ISO / IEC 38500

ISO / IEC 38500 de Áreas

ITGI Producto

Res

po

nsa

bil

idad

es

Est

rate

gia

s

Ad

quis

ició

n

Funci

on

am

ien

to

Co

nfo

rmid

ad

Co

mp

ort

am

ien

to

hum

an

o

Eval

uar

Dir

igir

nit

ori

zar

Reunión informativa sobre la Junta de

Gobierno de TI, 2 ª edición

√ √ √ √ √ √

Desbloqueo de Valor: El Primer Ejecutivo

sobre

√ √ √ √ √ √

el papel fundamental de Gobierno de TI

COBIT ® √ √ √ √ √ √ √ √ √

Val de TI ™ √ √ √ √ √ √ √ √ √

Guía para la implementación de Gobierno de

TI: Uso de ® COBIT y Val IT, 2da Edicin

√ √ √

Guía de Aseguramiento de TI: Uso de COBIT

®

√ √ √ √

COBIT ® Quickstart ™, 2a Edición √ √

Valor de empresa: la gobernanza de la TI √

Inversiones, Primeros pasos con Valor

Gestión

COBIT ® ™ Seguridad de referencia, 2 ª

edición

√ √ √

Valor de empresa: la gobernanza de la TI √ √ √ √ √

Inversiones, el asunto de Negocios


El efecto “sombrilla” de CobiT®

06/ CobiT® Y OTROS MODELOS

ISO38500 / COBIT / Val ITIS

O 1

55

04

ISO 27000

ISO20000

COSO

QUE COMO

CAMPO DE COBERTURA

LOGO DEL CLIENTE






07/ CERTIFICACIÓN ISO38500



ISO 38500

OBJETIVOS DE LA NORMA

Objetivo de la norma: El uso de las tecnologías de la información de manera

efectiva, optima y eficiente en las organizaciones, con la finalidad de:

Generar confianza en los stakeholders (empleados, clientes, proveedores,

socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organización.

Informar y guiar a la alta dirección en el gobierno TIC en su organización.

Proveer de bases para la evaluación objetiva del Gobierno Corporativo TIC



Adecuada aplicación y operación de activos de TIC.

Asignación de responsabilidades.

Continuidad del negocio

Sostenibilidad.

Alineación de TIC con los objetivos del negocio.

Asignación eficiente de recursos.

Innovación en los servicios, los mercados y las empresas.

Mejora de imagen y reputación en el mercado frente a los reguladores, y con los stakeholders.

Optimización en los costes de una organización

Inversión efectiva en TIC.

Cumplimiento legal.

BENEFICIOS DE LA IMPLANTACIÓN DEL ESTÁNDAR:

Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y

rentabilidad de la entidad y prevenir la pérdida de recursos.

Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y

normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias

derivadas.



ISO 38500



MODELO:

La Norma establece los principios para el buen gobierno corporativo de TIC:

Responsabilidad

Estrategia

Inversión

Rendición de Resultados

Cumplimiento

Recursos Humanos

En cada uno de los principios de la Norma es necesario realizar tres tareas principales:

EVALUAR el uso actual y futuro de las TIC.

DIRIGIR la preparación y ejecución de planes y políticas para garantizar que el uso de

TIC cumple los objetivos empresariales.

MONITORIZAR la conformidad con las políticas, y los resultados de los planes.



◊ Claro establecimiento de responsabilidades sobre las TIC

◊ Planificación de las TIC para un mejor soporte de la organización

◊ Adquisición de TIC de forma válida

◊ Garantía de unas TIC que funcionan bien y cuando son requeridas

◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la

normativa formalmente establecida

◊ Garantía de unas TIC cuyo uso respeta los factores humanos

PRINCIPIOS:


79

◊ Independencia de las herramientas

◊ Definición clara del concepto y sus límites

◊ Identificación de los destinatarios del mensaje

◊ Sencillez del propio mensaje a través de la

proclamación de unos principios



80

◊ Claro establecimiento de responsabilidades sobre las TIC

◊ Planificación de las TIC para un mejor soporte de la

organización

◊ Adquisición de TIC de forma válida

◊ Garantía de unas TIC que funcionan bien y cuando son

requeridas

◊ Garantía de unas TIC que cumplen (y ayudan a cumplir)

con la normativa formalmente establecida

◊ Garantía de unas TIC cuyo uso respeta los factores

humanos



81

◊ ¿Los individuos de su organización entienden y aceptan su

responsabilidad sobre las TIC?

◊ ¿Sus planes tecnológicos soportan los planes corporativos de su

organización y cubren las necesidades presentes y futuras de la

misma?

◊ ¿Las adquisiciones de TIC se realizan por razones aprobadas y de la

forma aprobada?

◊ ¿Su marco TIC garantiza adecuadamente la continuidad y

sostenibilidad de su organización?

◊ ¿Su marco TIC es conforme a regulaciones externas y/o internas?

◊ ¿Su entorno TIC cumple con las necesidades de la “gente

involucrada en el proceso”?


LOGO DEL CLIENTE






DEBATE


DEBATE

Discusiones,

Preguntas y

Respuestas


Reflexión Final

LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS

Santiago Ramón y Cajal (1854-1934)

LOGO DEL CLIENTE






Muchas gracias por contribuir al éxito de la sesión

introducción iso38500

Documents