650 likes | 785 Views
Modelo de Gestión de TI. Ing. Víctor Manuel Montaño Ardila. RECORDEMOS.
E N D
Modelo de Gestión de TI Ing. Víctor Manuel Montaño Ardila
RECORDEMOS • Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. Ing. Víctor Manuel Montaño Ardila
RECORDEMOS • Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. Ing. Víctor Manuel Montaño Ardila
RECORDEMOS • El Gobierno De TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. Ing. Víctor Manuel Montaño Ardila
RECORDEMOS • Más aún, el gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Ing. Víctor Manuel Montaño Ardila
RECORDEMOS • Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: • Estableciendo un vínculo con los requerimientos del negocio • Organizando las actividades de TI en un modelo de procesos generalmente aceptado • Identificando los principales recursos de TI a ser utilizados • Definiendo los objetivos de control gerenciales a ser considerados Ing. Víctor Manuel Montaño Ardila
Modelo COBITMejores prácticas para Gestión de Tecnologías Informáticas Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS MODELO COBIT (Control Objectives for Information Systems and related Technology) Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT): Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association “ISACA”. Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT). El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial. Ing. Víctor Manuel Montaño Ardila
LEGISLADORES / REGULADORES USUARIOS PRESTADORES DE SERVICIOS Modelo COBIT Origen CONCEPTO BÁSICOS • MARCO UNICO • REFERENCIA • PRACTICAS • SEGURIDAD • Y CONTROL USUARIOS DE TI ALTA GERENCIA • INVERSION CONTROL TI • BALANCE RIESGO/CONTROL • BASE BENCHMARKING • ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS • CONFUSIÓN ESTANDARES • DESGASTE • OPINION V.S. • ALTA GCIA. • CONSULTORES EN CONTROL/SEG. • TI AUDITORES Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS • Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI • Consolidar y armonizar estándares originados en diferentes países desarrollados. • Concientizar a la comunidad sobre importancia del control y la auditoría de TI. • Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito • Aplica a todo tipo de organizaciones independiente de sus plataformas de TI • Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa O b j e t i v o s y B e n e f i c i o s Ing. Víctor Manuel Montaño Ardila
ISACA - 95 paises 20.000 miembros COBIT Representatividad CONCEPTO BÁSICOS Investigación: E.U-Europa-Australia-Japón COSO : (Committe Of SponsoringOrg. of theTreadwayCommission) OECD :(OrganizarionforEconomicCooperation and Development) ISO 9003 : (International StandarsOrganization) NIST : (NationalInstitute of Standars and Technology) DTI :(Departament of Trade and Industry of the U.K´) ITSEC : (InformationTechnology Security EvaluationCriteria - Europa) TCSEC :(TrustedComputer Evaluación Criteria - Orange Book- E.U) IIA SAC :(Institute of InternalAuditors - SystemsAuditability and Control) IS :AuditingStandarsJapón Consolidación y armonización 18 estándares Ing. Víctor Manuel Montaño Ardila
Calidad • Costo • Entrega Requerimientos de calidad (ISO 9000-3) CONCEPTO BÁSICOS Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS • Eficacia y eficiencia • Confiabilidad de la información • Cumplimiento con leyes y reglamentaciones Requerimientos fiduciarios (informe COSO) • Disponibilidad • Integridad • Confidencialidad Requerimientos de seguridad (libro rojo, naranja, ISO 17799 y otros) Ing. Víctor Manuel Montaño Ardila
REGLA DE ORO DEL COBIT A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada. Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT? La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : “ A mi no me va pasar..” Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT? Gobierno de Tecnología de InformaciónEl rol de la Dirección La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Ing. Víctor Manuel Montaño Ardila
QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS? • Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas. • Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible • El Auditor para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio Ing. Víctor Manuel Montaño Ardila
ADEMÁS... • El Área usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos • El Gerente de Tecnología para definir un acuerdo de servicios y justificar su inversión • Los Organismos estatales de control, para saber que es lo mínimo que pueden exigir. Ing. Víctor Manuel Montaño Ardila
ORIENTACIÓN DE COBIT Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. “ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.” Ing. Víctor Manuel Montaño Ardila
Las Pólíticas, Procedimientos, Prácticas y Estructuras Organizacionales, diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos. CONTROL Son declaraciones del resultado esperado o del propósito a lograr mediante la implementación de los controles en una actividad de IT específica. Objetivos de Control de IT DEFINICIONES Ing. Víctor Manuel Montaño Ardila
Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Confidencialidad Relativa a la protección de la información sensitiva de su revelación no autorizada. Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad PRINCIPIOS Ing. Víctor Manuel Montaño Ardila
Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad PRINCIPIOS Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS DE TI Los 7 retos: • Qué no se interrumpa el servicio • Qué aporte valor • Administrar los costos • Dominar la complejidad • Alineación con el Negocio • Cumplimiento de Regulaciones • Seguridad. Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas … • Dirigir y controlar • Con responsabilidad • Con imputabilidad (Accountability) • Mediante actividades (Procesos) Los 4 principios: Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS DE TI Principios, participantes, ámbito, ventajas … Los participantes (stakeholders): • Internos • Externos Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas … Las 5 áreas: • Alineación estratégica • Aportación de Valor • Gestión de Riesgos • Gestión de Recursos • Medidas de Rendimiento Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas … Las 5 ventajas: • Confianza de la Alta Dirección • TI es co-responsable al negocio • Retorno de Inversión Superior • Servicios más confiables • Mayor transparencia Ing. Víctor Manuel Montaño Ardila
MARCOS DE BUEN GOBIERNO Y DE TI Las 5 características generales de un buen marco: • Enfocado al Negocio • Orientado a Procesos • Generalmente aceptado • Utilice un lenguaje común • Cumpla con los requisitos regulatorios Ing. Víctor Manuel Montaño Ardila
Propuesta de Solución Expectativas sobre COBIT (1) Alta Gerencia: Utilizar los procesos de COBIT para lograr un lenguaje común entre el negocio y TI y asignar responsabilidades claras Gerencias Usuarias: Utilizar los objetivos de control de COBIT para determinar las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio Ing. Víctor Manuel Montaño Ardila
Propuesta de Solución Expectativas sobre COBIT (2) Auditoría Interna: Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar Gerente TI: Utilizar los objetivos de control de COBIT para: • Estructurar los procesos • Establecer objetivos de los procesos • Medir el desempeño de los procesos / gestión • Generar políticas y procedimientos Ing. Víctor Manuel Montaño Ardila
Fase 1 Levantamiento de procesos actuales Recursos de TI Criterios de Información Procesos de trabajo • Datos • Sistemas de Aplicación • Infraestructura Tecnológica • Instalaciones Físicas • Recursos humanos • Planeación y organización • Adquisición e implantación de soluciones • Entrega de servicio y soporte • Monitoreo • Efectividad • Eficiencia • Confidencialidad • Integridad • Disponibilidad • Cumplimiento • Confiabilidad Ing. Víctor Manuel Montaño Ardila
Fase 1 Recursos de TI Criterios de Información Procesos de trabajo Levantamiento de procesos actuales Recursos de TI • Objetivos de Control • Factores Críticos de Éxito • Indicadores de Resultados • Indicadores de Desempeño Ing. Víctor Manuel Montaño Ardila
OBJETIVOS DE NEGOCIO Drivers de Gobernabilidad Criterios de Información Resultados de Negocio Infraestructura Recursos de TI Aplicaciones Información Gente Indicadores clave de Rendiemiento Procesos de TI Procesos de TI Indicadores clave de Objetivos Objetivos de Control de Alto Nivel Objetivos de TI Administración, Control, Alineación y Monitoreo de Cobit. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT Ing. Víctor Manuel Montaño Ardila
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Criterios de Información Integridad Cumplimiento Efectividad Disponibilidad Confidencialidad Eficiencia Confiabilidad Dominios Dominios Información Infraestructura Procesos y Objetivos de Control de TI Aplicaciones Procesos Procesos Personas Actividades Actividades Recursos TI Ing. Víctor Manuel Montaño Ardila
CLASIFICACIÓN Dominios • Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnología de Información. • Una serie de actividades o tareas vinculadas con cortes (de control) naturales. • Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. Procesos Actividades o tareas Ing. Víctor Manuel Montaño Ardila
CobiT: enfoque e implementación Resumen Ejecutivo Herramientas de implementación • Resumen Ejecutivo • Casos de Estudio • Preguntas Frecuentes • Presentaciones Power Point • Guías de Implementación • Diagnóstico Conciencia Administrativa • Diagnóstico Control de TI Marco Referencial-Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Prácticas de Control Modelos de Madurez Factores Críticos de Exito Indicadores Clave de Rendimiento Indicadores Clave de Logros Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT Planeación y Organización • Abarca aspectos estratégicos y tácticos • Se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. • Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Ing. Víctor Manuel Montaño Ardila
DOMINIOPlanificación y Organización Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arquitectura de la información Proceso: PO3 Determinación de la dirección tecnológica Proceso: PO4 Definición de la organización y el relacionamiento en TI Proceso: PO5 Administración de la inversión en TI Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia Proceso: PO7 Administración de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluación de riesgos Proceso: PO10 Administración de proyectos Proceso: PO11 Administración de la calidad Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT Adquisición e Implementación • Identificación, desarrollo o adquisición de soluciones de Ti • Implantación e integración en el proceso de negocio. • Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. Ing. Víctor Manuel Montaño Ardila
DOMINIOAdquisición e Implementación Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento de software de aplicación Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalación y certificación de sistemas Proceso: AI17 Administración de cambios Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT Entrega y Soporte • Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. • Procesos de soporte necesarios. • Procesamiento real de los datos por los sistemas de aplicación. Ing. Víctor Manuel Montaño Ardila
DOMINIOEntrega y Soporte Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servicios prestados terceros Proceso: DS20 Administración de la capacidad y del desempeño del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificación e imputación de costos Ing. Víctor Manuel Montaño Ardila
DOMINIOEntrega y Soporte Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administración de la configuración Proceso: DS27 Administración de problemas e incidentes Proceso: DS28 Administración de datos Proceso: DS29 Administración de instalaciones Proceso: DS30 Administración de las operaciones Ing. Víctor Manuel Montaño Ardila
DOMINIOS DE COBIT Monitoreo • Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. • Seguimiento de la gerencia sobre los procesos de control de la organización • Garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas. Ing. Víctor Manuel Montaño Ardila
DOMINIOMonitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluación de la adecuación del control interno Proceso: ME33 Obtención de aseguramiento independiente Proceso: ME34 Provisión de auditoria independiente Ing. Víctor Manuel Montaño Ardila
COBIT Navegación (Matriz) DOMINIO AI: Adquisición e Implementación PROCESOS CONFIDENCIALIDAD DISPONIBILIDAD APLICACIONES CONFIABILIDAD TECNOCLOGÍA CUMPLIMIENTO FACILIDADES EFECTIVIDAD INTEGRIDAD PERSONAS EFICIENCIA DATOS S P Identificar soluciones de IT AI1 P S P S S AI2 Adquirir y mantener software aplicativo P S P AI3 Adquirir y mantener arquitectura tecnológica P S P S S AI4 Desarrollar y mantener procedimientos de IT AI5 Instalar y acreditar sistemas S S P P P P P S AI6 Administrar los cambios CRITERIOS RECURSOS Ing. Víctor Manuel Montaño Ardila