introducción iso38500
DESCRIPTION
Introducción ISO38500TRANSCRIPT
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
Introducción ISO38500
26 Noviembre 2009
Página 1 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.01
Reflexión Inicial
EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES
PORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR
Francis Bacon (1561-1626)
Página 2 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.02
OBJETIVOS
▶ Conocer los aspectos más importantes del modelo Gobierno TIC
▶ Comprender la importancia del concepto de Gobernanza de TI para la dirección, el control y la gestión de la información y sus tecnologías afines.
▶ Comprender la utilización de los modelos CobiT, Val IT, ISO38500 como marco para implantar una estrategia de Gobernanza de TIC.
*** OBJETIVOS ***
Página 3 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.03
CRÉDITOS Y RECONOCIMIENTOS
Parte del material empleado en esta presentación procede, o está basado, en la documentación original, oficial, pública, del Máster de Buen Gobierno de la Universidad de Deusto, CobiT® y Val IT™, propiedad de ISACA y/o de ITGI.
Asimismo, también han sido consultadas - y, en su caso, traducidas, adaptadas y/o actualizadas - las siguientes fuentes:
▶ CobiT® 4.1
▶ Val IT
▶ ISO
▶ COSO
*** CRÉDITOS Y RECONOCIMIENTOS ***
Página 4 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.04
INFORMACIÓN PERSONAL
▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
» Consejero Delegado TEMANOVA
» Socio ALINTEC
» Director Máster Buen Gobierno Universidad Deusto
» Director Cátedra Buen Gobierno Universidad Deusto
▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
▶ Former President de ASIA / ISACA Madrid Chapter
▶ CobiT® Foundation Certificate
▶ Certified Information Systems Auditor
▶ Certified Information Security Manager
▶ Cerified Corporate Governance Enterprise IT
▶ Accredited CobiT® Trainer
José Manuel Ballester Fernández
Página 5 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.05
D. Tomás Arroyo Salido
CGEIT,COBIT,CISA
Diplomado en Auditoría de la Información y Dirección de la Seguridad de la Información-UPM
35 años de experiencia en Sistemas de Información, funciones operativas y de control,
entorno financiero .
Ex CISO y Responsable de Calidad del Servicio y Control Interno del área de TI de BBVA
Profesor y Coordinador del área de “Protección de los Activos de Información”
Máster en Buen Gobierno de las TIC, Universidad de Deusto
Profesor del Máster en Dirección de Seguridad de la Universidad Europea de Madrid
Profesor del Máster de Seguridad y Auditoria de la UPM.
Auditor interno calidad ISO9001, Evaluador de calidad modelo EFQM
Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”
Miembro de ISACA: CISA, CGEIT, Accredited CobiT® Trainer
Secretario General del Grupo de Usuarios de GSE de IBM
Acerca de los instructores ...
Página 6 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.06
▶ 01/ Antecedentes
▶ 02/ Alcance de CobiT®
▶ 03/ Gobernanza de TI
▶ 04/ Puesta en marcha de una estrategia de Gobernanza de TI
▶ 05/ Val IT™ o sobre la Gobernanza de las inversiones en actividades apoyadas en TI
▶ 06/ CobiT® y otros modelos
▶ 07/ Certificación ISO38500
AGENDA
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
01/ ANTECEDENTES
Página 8 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.08
Texto menú 2
Introducción
Evolución social
S. XX
- ORIENTACIÓN A LA PRODUCCIÓN
- ORIENTACIÓN PRODUCTO/SERVICIO
- ORIENTACIÓN A LA VENTA
- ORIENTACIÓN AL CLIENTE
S. XXI
- ORIENTACIÓN STAKEHOLDERS
01/ ANTECEDENTES
Página 9 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.09
Texto menú 2
Introducción
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.
Complejidad social
01/ ANTECEDENTES
Página 10 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.010
Acciones Sociales
- Promover la participación activa de la ciudadanía en el desarrollo de la RSC.
- Denunciar las malas prácticas empresariales.
- Aprender a identificar aspectos de la gestión empresarial que afecten
directamente al ciudadano y dónde recurrir para denunciarlo.
01/ ANTECEDENTES
Página 11 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.011
COSO – Internal Control Integrated Framework
En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece
una definición común de control interno y proporciona un estándar mediante el cual las
organizaciones pueden evaluar y mejorar sus sistemas de control.
Mejorar la calidad de la información financiera
concentrándose en el manejo corporativo, las normas
éticas y el control interno.
Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el
control interno.
OBJETIVOS DE COSOControl Interno
01/ ANTECEDENTES
Página 12 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.012
Alinear el riesgo aceptado y la estrategia
Mejorar las decisiones de respuesta a los riesgos.
Reducir las sorpresas y pérdidas operativas
Identificar y gestionar la diversidad de riesgos para toda la entidad
Aprovechar las oportunidades
Mejorar la dotación de capital
El Gobierno Corporativos incluye las siguientes capacidades:
Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos.
Con el Gobierno Corporativo permite asegurar una información eficaz y el
cumplimiento de leyes y normas, además de ayudar a evitar daños a la
reputación de la entidad y sus consecuencias derivadas.
01/ ANTECEDENTES
Página 13 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.013
Definición de la Gobierno Corporativo
El marco de Gobierno Corporativo está orientado a alcanzar los
objetivos de la entidad, que se pueden clasificar en cuatro categorías:
El Gobierno Corporativo es un proceso efectuado por el
consejo de administración de una entidad, su dirección y
restante personal, aplicable a la definición de estrategias
en toda la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de
los objetivos.
Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo
Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
Información: objetivos de fiabilidad de la información suministrada.
Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.
01/ ANTECEDENTES
Página 14 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.014
Funciones y responsabilidades
El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un
papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías
de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.
La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser
elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son
los responsables en sus respectivas áreas.
La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de
los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control
interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben
comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas
establecidas o la legalidad de las acciones realizadas.
Coso – Internal Control Integrated Framework
01/ ANTECEDENTES
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
02/ ALCANCE DE CobiT®
Página 16 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.016
CobiT®: “EL” Modelo
02/ ALCANCE DE CobiT®
Página 17 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.017
La evolución de CobiT®
01/ ANTECEDENTES
Gobernanza de TIC
Gestión de TIC
Control Interno TIC
Auditoria
TIC
1996 Abr. 1998 Jul. 2000 Nov. 2005 / Mar.2007
CobiT CobiT 2 CobiT 3 CobiT 4 / 4.1
De la AUDITORÍA a la GOBERNANZA
Página 18 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.018
Las siglas CobiT®
02/ ALCANCE DE CobiT®
C Control
OB objectives
I for information
T and related Technology
OBjetivos de Control para la Información y Tecnologías afines
Página 19 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.019
Estructura de CobiT® 4.1
02/ ALCANCE DE CobiT®
Consejos de Administración y Altos Ejecutivos
Gerencias de Línea y de TI
Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad
• Indicadores Clave de Rendimiento
• Indicadores Clave de Objetivo
• Modelos de Madurez
Resumen Ejecutivo
Directrices de Gestión
¿Qué es el Marco de Referencia para la Gobernanza de TI?
¿Cómo evaluarlo?¿Como presentarlo e implantarlo?
Objetivos de Control
¿Cúales son sus Responsabilidades?
Marco de ReferenciaGuía de
Evaluación de Garantía de TI Guía de Implantación deGobernanza de TI
Prácticas de Control
Página 20 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.020
Contenido nuclear de CobiT® 4/4.1
02/ ALCANCE DE CobiT®
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Directrices
de
Gestión
Objetivos
de
Control
Marco de Referencia
Página 21 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.021
Contenido nuclear de CobiT® 4/4.1
02/ ALCANCE DE CobiT®
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Directrices
de
Gestión
Objetivos
de
Control
Marco de Referencia
Página 22 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.022
Marco de Referencia
02/ ALCANCE DE CobiT®
La Organización requiere INFORMACIÓN proporcionada por TI para alcanzar los
OBJETIVOS propios de su actividad.
Dicha información ha de cumplir una serie de CRITERIOS.
La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de
la ACTIVIDAD de la Organización y cómo TI apoya su logro
Página 23 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.023
Marco de Referencia. Definiendo las metas de TI y la arquitectura
empresarial para TI
02/ ALCANCE DE CobiT®
Requisitos de la
Organización
requieren
Requisitos de
Gobierno Corp.
Servicios de
Información
Criterios de
Información
influencian
implican
aportan
necesitan
ejecutan
Procesos de TI
Información
Aplicaciones
Infraestructura y
Gente
Estrategia
Empresarial
Objetivos de la Entidad Arquitectura Empresarial para TI
Metas de
TI
Cuadro de
Mando
Integral para
TI
Objetivos
de la
Entidad
Arquitectura
Empresarial
para TI
RECURSOS DE TI
Página 24 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.024
Marco de Referencia. Objetivos de la Entidad vs. Objetivos de TI
02/ ALCANCE DE CobiT®
20 Metas de la Entidad VS. 28 Metas de TI
Página 25 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.025
Marco de Referencia. Objetivos de TI vs. Procesos de TI
02/ ALCANCE DE CobiT®
28 Metas de TI
VS.
34 Procesos
Página 26 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.026
Contenido nuclear de CobiT® 4/4.1
02/ ALCANCE DE CobiT®
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Directrices
de
Gestión
Objetivos
de
Control
Marco de Referencia
Página 27 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.027
Objetivos de Control. Los dominios de CobiT®
02/ ALCANCE DE CobiT®
El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa
de forma natural en 4 DOMINIOS.
▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI
▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI
▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI
▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI
Página 28 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.028
Objetivos de Control. Los dominios de CobiT® (y II)
02/ ALCANCE DE CobiT®
OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
PersonasAplicaciones
InfraestructuraInformación
ENTREGARY
SOPORTAR
MONITORIZARY
EVALUAR
ADQUIRIRE
IMPLANTAR
INFORMACION
RECURSOSDETI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
Trata la entrega o la prestación de los servicios requeridos -desde las operaciones tradicionales, hasta la formación; pasando por la seguridad en los sistemas y las continuidad de las operaciones -.
Deberán establecerse los procesos necesarios para la provisión de los servicios.
Todos los procesos han de evaluarse periódicamente para verificar su calidad y suficiencia en cuanto a los requisitos de control.
Advierte a la Dirección sobre la necesidad de garantizar procesos de control independientes (auditorías).
Cubre las estrategias y las tácticas para identificar la forma en la que la TI puede contribuir de la mejor manera al logro de los objetivos de la Organización.
La consecución de la visión estratégica debe planearse, comunicarse y gestionarse desde diferentes perspectivas.
Es necesario establecer una organización e infraestructura tecnológica apropiada.
Para llevar a cabo la estrategia de TI, éstas deben identificarse, construirse o adquirirse, implantándose e integrándose en el proceso de la Organización.
Contempla, asimismo, los cambios y mantenimiento de sistemas existentes, para garantizar su continuidad.
PLANIFICARY
ORGANIZAR
Fiabilidad
Página 29 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.029
Objetivos de Control. Repositorio de Procesos de TI
02/ ALCANCE DE CobiT®
OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
PersonasAplicaciones
InfraestructuraInformación
ENTREGARY
SOPORTAR
MONITORIZARY
EVALUAR
ADQUIRIRE
IMPLANTAR
INFORMACION
RECURSOSDETI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de
apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente
físico. DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el desempeño de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos de TI, la organización y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la dirección y objetivos de la gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.PO9 Evaluar y administrar
riesgos de TI.PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de aplicación.
AI3 Adquirir y mantener la infraestructura tecnológica.
AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar
soluciones y cambios.
PLANIFICARY
ORGANIZAR
Fiabilidad
Página 30 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.030
Objetivos de Control. De alto nivel
02/ ALCANCE DE CobiT®
Descripción del
proceso
Dominio de TI y
Criterios de Información
Meta de TI
Metas del proceso
Prácticas clave
Métricas clave
Gobernanza de TI y
Recursos de TI
Página 31 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.031
Objetivos de Control. Detallados
02/ ALCANCE DE CobiT®
210 Objetivos de Control Detallados
Página 32 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.032
Contenido nuclear de CobiT® 4/4.1
02/ ALCANCE DE CobiT®
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Framework
Control
Objectives
Management
Guidelines
Maturity
Models
Framework
ControlObjectives
ManagementGuidelines
MaturityModels
Directrices
de
Gestión
Objetivos
de
Control
Marco de Referencia
Página 33 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.033
Directrices de Gestión
02/ ALCANCE DE CobiT®
Entradas y Salidas del Proceso
Actividades y Matriz RACI
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
KGI - Indicadores clave de objetivos
KPI - Indicadores clave de rendimiento
Página 34 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.034
Directrices de Gestión. Objetivos e indicadores: KGI y KPI
02/ ALCANCE DE CobiT®
KGI
Hacer el trabajo
Objetivo
KPI
Actuar
¿Lo Alcanzaremos?
¿Lo hemosalcanzamos?
Página 35 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.035
Directrices de Gestión. Modelos de madurez
02/ ALCANCE DE CobiT®
Página 36 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.036
Un ejemplo
02/ ALCANCE DE CobiT®
Meta de la Entidad 19
Obtener información fiable y útil para la toma de decisiones estratégicas
Página 37 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.037
Un ejemplo
02/ ALCANCE DE CobiT®
Meta de la Entidad
19
Obtener información
fiable y útil para la
toma de decisiones
estratégicas
Página 38 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.038
Un ejemplo
02/ ALCANCE DE CobiT®
OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
PersonasAplicaciones
InfraestructuraInformación
ENTREGARY
SOPORTAR
MONITORIZARY
EVALUAR
ADQUIRIRE
IMPLANTAR
INFORMACION
RECURSOSDETI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de
apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente
físico. DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el desempeño de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos de TI, la organización y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la dirección y objetivos de la gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.PO9 Evaluar y administrar
riesgos de TI.PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de aplicación.
AI3 Adquirir y mantener la infraestructura tecnológica.
AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar
soluciones y cambios.
PLANIFICARY
ORGANIZAR
Fiabilidad
Meta de TI 26
Mantener integridad y procesamientos
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
03/ GOBERNANZA DE TI
Página 40 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.040
La triste realidad …
03/ GOBERNANZA DE TI
Página 41 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.041
¡¡DESGOBIERNO!!
La triste realidad …
03/ GOBERNANZA DE TI
Página 42 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.042
»¿Formarán las TI parte de la agenda de las reuniones del Consejo?
»De ser así, ¿Lo serán de una forma estructurada?
»¿Revisará e, incluso, aprobará el Consejo la estrategia con respecto a las TI?
»¿Tendrá el Consejo una perspectiva clara de la cartera total de inversiones en TI, desde el
punto de vista del riesgo y del retorno de tales inversiones?
»¿Recibirá el Consejo, de forma regular, informes de progreso de los principales proyectos de
TI?
»¿Será informado el Consejo, periódicamente, de los riesgos de carácter tecnológico a los que
la Organización está expuesta?
»¿Estará el Consejo obteniendo garantía independiente de que se están alcanzando los
objetivos definidos para las TI y de que se están mitigando los riesgos?
… o de ¿cuál es al actitud de la Alta Dirección con respecto a
las TI de la Organización?
03/ GOBERNANZA DE TI
Página 43 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.043
… lleva a una imperiosa necesidad: Gobernanza
03/ GOBERNANZA DE TI
Página 44 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.044
Niveles de Gobernanza
La provisión de la estructura que permita determinar los objetivos de la
Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza corporativa
La especificación del marco de derechos a la toma de decisiones y la alta
responsabilidad para favorecer un comportamiento deseable en el uso de las TI.
MIT/Sloan School of Management (2004)
No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas -
eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo
se toman.
Gobernanza de la Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las
estrategias de seguridad de la información están alineadas con los objetivos del
negocio y son conformes a las leyes y regulaciones aplicables
ISACA/CISM BoK (2002)
Gobernanza de la Seguridad de la Información y Tecnologías afinesGobernanza
Corporativa
Gobernanza de TI
Gobernanza de SI
Niveles de gobernanza
03/ GOBERNANZA DE TI
Página 45 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.045
ISBN: 1-59139-253-5
“… [dados los mismos objetivos estratégicos] las
compañías con una Gobernanza de TI superior tienen, al
menos, unos beneficios un 20% más altos que aquellas
otras que cuentan con una Gobernanza más pobre…”
IT Governance. Weill P. & J.W.Ross. MIT/Sloan School of Management
(2004)
Los datos
03/ GOBERNANZA DE TI
Página 46 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.046
Dimensiones de la Gobernanza de TI
Se orienta a asegurar el vínculo entre los planes de negocio y los de TI; a definir,
mantener y validar la propuesta de valor de las TI; y a alinear las operaciones de TI,
con las operaciones de la Entidad.
Alineamiento estratégico
Guarda relación con la ejecución de la propuesta de valor a través de un ciclo de
entrega; garantizando que las TI ofrecen los beneficios esperados, con respecto a la
estrategia marcada; y ello, concentrándose en optimizar los costes y probando el valor
intrínseco de las TI.
Aporte de valor
Hace referencia a la inversión óptima, y la gestión apropiada, de los recursos críticos
de TI: aplicaciones, información, infraestructura y personas. Los temas clave tienen
que ven con la optimización del conocimiento y la infraestructura.
Gestión de recursos
Requiere la concienciación de la Alta Dirección; un claro entendimiento del apetito de
la Entidad por el riesgo; comprensión de los requisitos de conformidad normativa;
transparencia sobre los riesgos significativos para la Empresa; y la incorporación de
responsabilidades de gestión de riesgos dentro de la Organización.
Gestión del riesgo
Sigue y supervisa la puesta en marcha de la estrategia, la finalización de los
proyectos, el empleo de recursos, el rendimiento de los procesos y la entrega de
servicios, empleado, por ejemplo, cuadros de mando integral que traducen la
estrategia en acciones para para alcanzar resultados medibles, más allá de la simple
contabilización.
Medida del rendimiento
03/ GOBERNANZA DE TI
Página 47 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.047
» Es una responsabilidad de la Junta Directiva y de la Alta Dirección
» Una parte integral de la Gobernanza Corporativa
» Consta de liderazgo, estructuras, organizaciones y procesos que garantizan
que las TI soportan y extienden las estrategias y objetivos de la Entidad
Gobernanza de la Información y Tecnologías afines
03/ GOBERNANZA DE TI
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Página 49 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.049
Los derechohabientes (stakeholders) en la Gobernanza de TI
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Gerencia de
Negocios
Fijan la dirección de TI, monitorean los resultados e insisten en las medidas correctivas
Define los requerimientos del negocio para TI y
garantiza que se agrega valor y que los riesgos
son administrados
Entrega y mejora los servicios de TI tal como los requiere el negocio
Proporciona garantía independiente de que TI entrega lo que se necesita
Mide que las políticas obedecen a y están
enfocadas en alertar nuevos riesgos
Gerencia de
Riesgo y cumplimiento
Auditoría de TI
Gerencia de TI
Junta y
ejecutivos
Página 50 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.050
¿Qué necesitan los derechohabientes (stakeholders)?
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Junta
▶ Información total sobre conformidad y desempeño de TI
Gerencia Ejecutiva
▶ Obtener valor a partir de las inversiones de TI
▶ Balancear el riesgo y el control de la inversión en un ambiente de TI que
frecuentemente es impredecible
▶ Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros
▶ Ayudar a dar respuesta a los crecientes requerimientos regulatorios
Gerencia de Riesgo y Cumplimiento
▶ Validar que tanto el negocio como TI cumplan con los requerimientos internos y
externos
Gerencia de Negocios
▶ Obtener garantías sobre la seguridad y los controles de los productos y servicios
provistos internamente y por terceras partes
Auditores de TI
▶ Confirmar opiniones a la administración sobre los controles internos
▶ Responder a la pregunta: Qué controles mínimos son necesarios?
Página 51 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.051
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Parte de los requerimientos del negocio
Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente
aceptado
Identifica los principales recursos de TI que deben ser potenciados
Define los objetivos de control administrativos a ser considerados
Incorpora los principales estándares internacionales
Se ha convertido en el estándar de facto para el control general de TI
Objetivo:
- Salvar las brechas entre los RIESGOS del negocio, las necesidades de CONTROL y
los procesos TÉCNICOS.
-Provee buenas prácticas a través de un marco de referencia de dominios y procesos
- Presenta actividades en una estructura administrable y lógica.
Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
Página 52 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.052
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
» Posibilita mapear las metas de TI a las metas del negocio y viceversa
» Mejor alineación, basada en un enfoque del negocio
» Una visión, comprensible para la administración, de lo que es TI
» Claridad en la propiedad y responsabilidades, basada en una orientación a procesos
» Aceptabilidad general con terceras partes y reguladores
» Entendimiento compartido entre todos los involucrados, basado en un lenguaje
común
» Cumplimiento de los requerimientos de COSO para el ambiente de control de TI
Página 53 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.053
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
DESEMPEÑO: Metas del negocio
CONFORMIDADBasilea II, Sarbanes-
Oxley Act, etc
“Gobierno Corporativo”
“Gobierno de TI”
ISO 15504
ISO27000
ISO 20000Estándares de mejores prácticas
Procedimientos Desarrollo Software
Procesos y Procedimientos
Directrices
ISO38500 /COBIT / Val IT
COSO
Principios de
Seguridad
ITIL
Balanced Scorecard
Página 54 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.054
Camino hacia la implantación
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Una secuencia de actividades para
construir un Gobierno de TI
sostenible en la Organización
Nada
Concienci-
ación
Análisis de
Necesidades
Análisis
de
Brechas
Proyectos deMejoramiento
Evaluación
Desarrollar
organización
de Gobierno
de TI
Actividad
Normal del
Negocio
Un mapa de ruta genérico ayuda a las
organizaciones a diseñar los
esfuerzos de implementación del
Gobierno de TI ……
Página 55 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.055
Camino hacia la implantación (y II)
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
Una secuencia de actividades para
construir un Gobierno de TI
sostenible en la Organización
Qué debe
Entregar TI?
Existen
problemas?
Qué es
critico?
Qué se
está
olvidando?
Qué lograr?
Ya lo hemos
arreglado?
Cómo podemos
mantener el
control?
Éxito
Un mapa de ruta genérico ayuda a las
organizaciones a diseñar los esfuerzos de
implementación del Gobierno de TI ……
Página 56 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.056
Mapa de ruta
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE
GOBERNANZA DE TI
IMPLEMENTAR LASOLUCIÓN
PLANEAR LA SOLUCIÓN
PREVER LA SOLUCIÓN
IDENTIFICAR NECESIDADES
Fomentar la conciencia y
obtenercompromiso
Analizar metas del negocio &
TI
Seleccionar procesos y controles
Definir el desempeño
actual
Definir objetivos de
mejora
Analizar inconsistencias
e identificar mejoras
Definir proyectos
Desarrollar un plan de
mejora
Implementar las mejoras
Integrar medidas en
el ITBSC
Revisión Post
implementación
Analizar riesgos
CONSTRUIRSOSTENIBILIDAD
Definir el Alcance
Desarrollar Estructura & Procesos del
Gobierno de TI
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN
ACTIVIDADES APOYADAS EN TI
Página 58 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.058
Val IT™: Basado en CobiT®
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
Página 59 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.059
Val IT™. Un nuevo miembro en la familia CobiT®
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
“Val IT™ - Enterprise Value:
Governance of IT investments”
Marzo 2006
Página 60 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.060
Presentación
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
Página 61 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.061
La paradoja de la información
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
El VALOR de las TI está siendo cada vez más cuestionado …
… mientras las organizaciones continúan gastando más y más en tecnología
Página 62 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.062
El dato
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
Más de 600.000 millones de dólares tirados
cada año en proyectos de TI, mal concebidos
o mal ejecutados.
Fuente: Gartner
Página 63 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.063
La cuestión fundamental
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
¿Estamos gestionando nuestras inversiones en TI, de forma tal, que:
▶ … obtenemos el nivel óptimo de valor;
▶ … a un coste razonable; y,
▶ … con un aceptable nivel de riesgo?
Página 64 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.064
Procesos y prácticas clave de gestión
05 Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
Val IT consta de tres (3) PROCESOS,
soportados en un total de cuarenta (40) PRÁCTICAS clave de gestión
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
06/ MODELOS y MAPPING
Página 66 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.066
06/ OTROS MODELOS
~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios
de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.
COSO
OCDE
DTI
ISO 9000-3
NIST SP 800-12
ITIL
IBAG
NSW
DCB
EDPAF/Monográfico 7
PCIE
JISAS
EDPAF/Objetivos de Control
CISA
IFAC
NIST SP 500-153
GAO/GAS
SPICE
ISAA (Dinamarca)
DRI International
IIA/SAC
IIA/PPP 97-1
E&Y/TRS
C&L/Audit Guide SAP R/3
ISO IEC JTC1-SC27
ISO IEC JTC1-SC7
ISO TC68-SC2-WG4
Criterios Comunes
EDIFACT
TickIT
ESF/Comunicaciones
ESF/Microordenadores
EDPAF/CISAM
GAO/AIMD-00-21.3.1
NIST SP 800-18
GAO/FISCAM
BS7799
CICA
ISO IEC 13335-n (1..5)
SysTrustTM
Página 67 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.067
06/ OTROS MODELOS
Committee of Sponsoring Organisations of the Treadway Commission (COSO)
Internal Control – Integrated Framework, 1994
Enterprise Risk Management – Integrated Framework, 2004
Office of Government Commerce (OGC®)
IT Infrastructure Library® (ITIL®), 1999-2004
Internation Organisation for Standardization
ISO/IEC 17799:2005, Code of Practice for Information Security Management
Software Engineering Institute (SEI®)
SEI Capability Maturity Model (CMM®), 1993
SEI Capability Maturity Model Integration (CMMI®), 2000
Project Management Institute (PMI®)
Project Management Professional Body of Knowledge (PMBOK®), 2000
Information Security Forum (ISF)
The Standard of Good Practice for Information Security, 2003
Página 69 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.069
06/ OTROS MODELOS
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
COSO Internal Control -
Integrated Framework
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and OrganizeA
cqu
ire and
Main
tain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
FIPS PUB 200
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
ISO/IEC TR 13335
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and SupportM
onit
or a
nd
Eva
luat
e
CobiT 4.0 processes addressed by
ISO/IEC 15408:2005
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
TickIT
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acq
uire an
d M
aintain
Deliver and Support
Mon
itor
an
d E
valu
ate
CobiT 4.0 processes addressed by
NIST 800-14
Página 70 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.070
06/ OTROS MODELOS
Figura 2- Relación de ITGI Productos e ISO / IEC 38500
ISO / IEC 38500 de Áreas
ITGI Producto
Res
po
nsa
bil
idad
es
Est
rate
gia
s
Ad
quis
ició
n
Funci
on
am
ien
to
Co
nfo
rmid
ad
Co
mp
ort
am
ien
to
hum
an
o
Eval
uar
Dir
igir
nit
ori
zar
Reunión informativa sobre la Junta de
Gobierno de TI, 2 ª edición
√ √ √ √ √ √
Desbloqueo de Valor: El Primer Ejecutivo
sobre
√ √ √ √ √ √
el papel fundamental de Gobierno de TI
COBIT ® √ √ √ √ √ √ √ √ √
Val de TI ™ √ √ √ √ √ √ √ √ √
Guía para la implementación de Gobierno de
TI: Uso de ® COBIT y Val IT, 2da Edicin
√ √ √
Guía de Aseguramiento de TI: Uso de COBIT
®
√ √ √ √
COBIT ® Quickstart ™, 2a Edición √ √
Valor de empresa: la gobernanza de la TI √
Inversiones, Primeros pasos con Valor
Gestión
COBIT ® ™ Seguridad de referencia, 2 ª
edición
√ √ √
Valor de empresa: la gobernanza de la TI √ √ √ √ √
Inversiones, el asunto de Negocios
Página 71 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.071
El efecto “sombrilla” de CobiT®
06/ CobiT® Y OTROS MODELOS
ISO38500 / COBIT / Val ITIS
O 1
55
04
ISO 27000
ISO20000
COSO
QUE COMO
CAMPO DE COBERTURA
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
07/ CERTIFICACIÓN ISO38500
Página 74 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.074
07/ CERTIFICACIÓN ISO38500
ISO 38500
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologías de la información de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores,
socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organización.
Informar y guiar a la alta dirección en el gobierno TIC en su organización.
Proveer de bases para la evaluación objetiva del Gobierno Corporativo TIC
Página 75 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.075
07/ CERTIFICACIÓN ISO38500
Adecuada aplicación y operación de activos de TIC.
Asignación de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineación de TIC con los objetivos del negocio.
Asignación eficiente de recursos.
Innovación en los servicios, los mercados y las empresas.
Mejora de imagen y reputación en el mercado frente a los reguladores, y con los stakeholders.
Optimización en los costes de una organización
Inversión efectiva en TIC.
Cumplimiento legal.
BENEFICIOS DE LA IMPLANTACIÓN DEL ESTÁNDAR:
Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y
rentabilidad de la entidad y prevenir la pérdida de recursos.
Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y
normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias
derivadas.
Página 76 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.076
07/ CERTIFICACIÓN ISO38500
ISO 38500
Página 77 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.077
07/ CERTIFICACIÓN ISO38500
MODELO:
La Norma establece los principios para el buen gobierno corporativo de TIC:
Responsabilidad
Estrategia
Inversión
Rendición de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar tres tareas principales:
EVALUAR el uso actual y futuro de las TIC.
DIRIGIR la preparación y ejecución de planes y políticas para garantizar que el uso de
TIC cumple los objetivos empresariales.
MONITORIZAR la conformidad con las políticas, y los resultados de los planes.
Página 78 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.078
07/ CERTIFICACIÓN ISO38500
◊ Claro establecimiento de responsabilidades sobre las TIC
◊ Planificación de las TIC para un mejor soporte de la organización
◊ Adquisición de TIC de forma válida
◊ Garantía de unas TIC que funcionan bien y cuando son requeridas
◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
◊ Garantía de unas TIC cuyo uso respeta los factores humanos
PRINCIPIOS:
Página 79 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.079
79
◊ Independencia de las herramientas
◊ Definición clara del concepto y sus límites
◊ Identificación de los destinatarios del mensaje
◊ Sencillez del propio mensaje a través de la
proclamación de unos principios
07/ CERTIFICACIÓN ISO38500
Página 80 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.080
80
◊ Claro establecimiento de responsabilidades sobre las TIC
◊ Planificación de las TIC para un mejor soporte de la
organización
◊ Adquisición de TIC de forma válida
◊ Garantía de unas TIC que funcionan bien y cuando son
requeridas
◊ Garantía de unas TIC que cumplen (y ayudan a cumplir)
con la normativa formalmente establecida
◊ Garantía de unas TIC cuyo uso respeta los factores
humanos
07/ CERTIFICACIÓN ISO38500
Página 81 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.081
81
◊ ¿Los individuos de su organización entienden y aceptan su
responsabilidad sobre las TIC?
◊ ¿Sus planes tecnológicos soportan los planes corporativos de su
organización y cubren las necesidades presentes y futuras de la
misma?
◊ ¿Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
◊ ¿Su marco TIC garantiza adecuadamente la continuidad y
sostenibilidad de su organización?
◊ ¿Su marco TIC es conforme a regulaciones externas y/o internas?
◊ ¿Su entorno TIC cumple con las necesidades de la “gente
involucrada en el proceso”?
07/ CERTIFICACIÓN ISO38500
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
DEBATE
Página 83 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.083
DEBATE
Discusiones,
Preguntas y
Respuestas
Página 84 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.084
Reflexión Final
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS
Santiago Ramón y Cajal (1854-1934)
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
21 de abril de 2006 | Nº oferta | v1.0
© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
Muchas gracias por contribuir al éxito de la sesión