Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Welcome!
MBA ING. YSABEL ROJAS SOLIS
Especialista en Gestin de Proyectos TIC y Mejora de Procesos
rojasysabel@gmail.com
Temario
1. 2. 3. 4.
5. 7. 8. 9. 11. 12. 13. 14.
Sesin Introductoria : La Organizacin y los procesos Aseguramiento de Calidad y Control de Calidad Estndares de calidad ISO 9001-2008 Estndares de calidad NTP ISO IEC12207 /Modelo de Ev. SPICE
Modelo Integrado de madurez de la capacidad (CMMI V 1.2) ITIL V3 la Gestin de Procesos de servicio Seminario de Gestin de Proyectos TIC - EXAMEN PARCIAL SIX-SIGMA Sistema de Gestin Ambiental ISO 14001:2004 Integracin de Trabajos de Proyectos Grupales ISO 27001 Sistema de gestin de la seguridad de la informacin Seminario de Integracin del Curso - EXAMEN FINAL
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
TI ha estado corriendo por un largo tiempo desatendiendo en los ltimos 30 aos el negocio
J. Welch 1997
COBIT
TM
Alcances y objetivos:
Estndares generalmente aplicados y aceptados para las buenas prcticas de control en TI (Tecnologas de la Informacin) Para Sistemas de Informacin de la Organizacin Fundamentado en una estructura de control de las TI Basado en los Objetivos de Control de ISACF. ISACF.
Antecedentes
En 1992, comenz la actualizacin de los objetivos de control de ISACA En 1996, ISACA public para los profesionales de TI un marco de prcticas control de la TI generalmente aplicables y aceptadas
Objetivos de Control
para Informacin y
Tecnologas Relacionadas
Antecedentes
En 1998 fue actualizado y se public una segunda versin a la que se le incorpor las Herramientas de implantacin y CD. En 1999 se publicaron los Objetivos de Control para redes En septiembre del 2000 se public la 3ra. Edicin Actualmente la version 4.1
Misin
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.
Usuarios
La Gerencia: apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible Los Usuarios Finales: obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Organismos estatales de control: para saber que es lo mnimo que pueden exigir.
Orientacin al negocio
Vincula metas de negocio con metas de TI Brinda metricas Brinda Modelos de madurez Identifica la responsabilidad de los propietarios de negocio y de TI
Proceso Cobit
Caractersticas
Orientado al negocio Alineado con estndares y regulaciones de facto Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditora (COSO, IFAC, IIA, ISACA, AICPA)
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
Qu es Governance?
Gobierno Adecuada Direccin
Capacidad Logros Responsabilidad Diligencia Conocimiento Calidad - necesidad de control Medicin suministro de informacin
Alineamiento
Recursos apoyando el cumplimiento de objetivos
Niveles de Governance
Corporate Governance Enterprise Governance IT Governance Informaction Security Governance
Corporate Governance Center for Central Banking Studies - Bank of England - CCBS BoE
La forma en que la organizacin est alcanzando efectividad, eficiencia tica, valores, estndares ticos A nivel de compaa Tratamiento de accionistas minoritarios Independencia de la Junta Divulgacin de informacin Mejores prcticas de negocio A nivel pas Ambiente regulatorio y legal exigencias legales Impulso a la inversin
Si un pas no tiene reputacin de aplicar buenas prcticas de gobierno corporativo, el capital se ir. Si los inversionistas no estn contentos con el nivel de confidencialidad, el capital se ir. S un pas opta por estndares contables y de reporte laxos, el capital se ir
Uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos del negocio
IT / Governance
Es el proceso de administracin que asegura la obtencin de los beneficios esperados de la tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenido de una empresa a largo plazo
IT Governance Roundtable Sponsored by the IT Governance Institute 27 March 2000; Oslo, Norway
IT Governance
Por qu IT Governance
Debida diligencia Criticidad Importancia estratgica
Qu deben hacer?
Junta Gerencia Auditores
IT Governance
como elemento estratgico de la empresa
Corporate Governance
Direcciona y establece
IT Governance
Rol de la Junta
Orientar TI a dar valor a los interesados Adoptar un framework de IT Governance Realizar las preguntas correctas Enfocarse en
El alineamiento de TI con el negocio Entregar valor Administrar riesgos
Medir resultados
Rol de la Gerencia
Alinear la estrategia de TI con los objetivos de negocio Aterrizar en la organizacin las estrategias y objetivos Definir estructuras organizacionales que faciliten la implementacin de la estrategia Adoptar un framework de riesgo, control y gobierno Proveer la infraestructura de TI que facilite la creacin y el compartir informacin del negocio Asignar responsables de la gestin de riesgos en la organizacin Enfocarse en los procesos importantes de TI y en su apoyo a las competencias del negocio Medir el desempeo (Balance Scorecard)
Rol de la Auditoria
Obtener un entendimiento de IT Governance Apoyar a la Junta y a la Gerencia en sus roles Recomendar la adopcin de un framework de control y gobierno de TI Definir estructuras organizacionales en sus reas que faciliten una implementacin estratgica de ese framework Medir su propio desempeo (Balance Scorecard)
IT Governance
como elemento estratgico de la empresa
Corporate Governance Actividades de la empresa
Direcciona y establece
Requieren informacin de
IT Governance
Actividades de IT
Actividades de TI
Planeacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo
Sobre Recursos (Datos, SW, Tecnologa, Gente, Instalaciones)
Buscando efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, confiabilidad
Responsabilidades Administrativas TI
Salvaguardar Activos La Informacin como el ACTIVO ms importante
Estructura Conceptual
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
Recursos de TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o n, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
CICLO PHVA
CobiT
Seguimiento
Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeacin y Organizacin
1.Definicin del nivel de servicio 2.Admistracin del servicio de terceros 3.Admon de la capacidad y el desempeo 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificacin y asignacin de costos 7.Capacitacin de usuarios 8.Soporte a los clientes de TI 9.Admistracin de la configuracin 10.Administracin de problemas e incidentes 11.Administracin de datos 12.Administracin de Instalaciones 13.Administracin de Operaciones
Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano
Adquisicin e Implementacin
1. Identificacin de soluciones 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalacin y Acreditacin de sistemas 6. Administracin de Cambios
Dominios de TI
Planeacin y Organizacin (Planning and Organization) Adquisicin e implementacin (Acquisition and Implementation) Prestacin de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
Dominios de TI
Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir la manera ms adecuada con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.
Procesos de TI
Planeacin y Organizacin 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplimiento d requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad
Dominios de TI
Para realizar la estrategia TI, se deben identificar, Adquisicin Implementacin desarrollar o adquirir las necesidades TI, as como e implementarlas e incorporarlas a los procesos de negocios. Adems, los cambios en y la mantencin de sistemas existentes son cubiertas por ste dominio, para asegurarse que el ciclo de vida til es continuo para estos sistemas.
Dominios de TI
Adquisicin e Implementacin Identificacin, desarrollo o adquisicin de soluciones de TI. Implantacin e integracin en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
Procesos de TI
Adquisicin e Implementacin 1. 2. 3. 4. 5. 6. Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Certificacin de sistemas Administracin de Cambios
Dominios de TI
Prestacin de servicios y soporte Procedimientos manuales y programados. real de servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitacin. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a menudo clasificados bajo controles de aplicaciones. . .
Dominios de TI
Prestacin de Servicios y Soporte Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin. Procesos de soporte necesarios. Procesamiento real de los datos por los sistemas de aplicacin.
Procesos de TI
Prestacin de Servicio y Soporte
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones
Dominios de TI
Monitoreo Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda la supervisin por parte de la gerencia del proceso de control de la organizacin y la garanta independiente proporcionada por auditora interna y externa, o se obtiene de fuentes alternativas.
Dominios de TI
Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organizacin. Garanta independiente provista por la auditora interna y externa u obtenida de fuentes alternas.
Procesos de TI
Monitoreo / Seguimiento 1. 2. 3. 4. Seguimiento de los procesos Evaluacin de lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente
promocin
de
Polticas de reclutamiento y promocin del personal. Proceso formal de reclutamiento y promocin del personal. Aspectos a considerar como la educacin, experiencia y responsabilidad.
cruzado
respaldo
de
Identificacin de los puestos claves. Programa de entrenamiento cruzado (puestos claves). Programa de vacaciones/control de cumplimiento.
de
acreditacin
del
Procedimiento de verificacin de antecedentes del personal previo a su contratacin o cambio. Consideracin en el procedimiento de su situacin financiera.
desempeo
de
los
Pauta de evaluacin del desempeo de los empleados. Consideracin de estndares y responsabilidades del cargo que ocupa el empleado. Procedimiento formal de aplicacin peridica de dicha pauta. Procedimiento formal de entrega de resultados al empleado.
Eficiencia
Trata con informacin que es relevante y pertinente al proceso de negocio, adems de ser entregada de una manera oportuna, correcta, consistente y utilizable. Se relaciona con la provisin de informacin a travs del ptimo (ms productivo y econmico ) uso de recursos. Se relaciona con la proteccin de informacin sensible a divulgacin No autorizada. Se relaciona con la exactitud e integridad de informacin as como tambin con su validez en conformidad con valores y expectativas del NEGOCIO.
Confidencialidad
Integridad
Se relaciona con informacin disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas. Trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales est sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente. Se relaciona con la provisin de informacin apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.
Cumplimiento
Confiabilidad de Informacin
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
* * * *
Resumen ejecutivo -- Hay un metodo... Marco -- El metodo es... Objetivos de Control -- Minimos Controles son... Guia de Implementacion -- Aqui esta como Implementar... * Guias administrativas -- Aqui esta como medir... * Guias de auditoria -- Aqui esta como auditar...
Resumen Ejecutivo
Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura bsica de COBIT. Describe de manera general los procesos, los recursos y los criterios de informacin, los cuales conforman la Columna Vertebral de COBIT.
Marco de Referencia
Incluye la introduccin contenida en el resumen ejecutivo Presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT. Hace una presentacin detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control
Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 318 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
Guas de Auditora
Se hace una presentacin del proceso de auditora generalmente aceptado (relevamiento de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin de los riesgos). Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guas de Administracin
Se enfoca de manera similar a los otros productos Integra los principios del Balanced Business Scorecard. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control, integra los conceptos de:
Modelo de madurez CMM (prcticas de Control) Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI. Indicadores claves de logro en los procesos de TI Indicadores claves de Desempeo de los procesos de TI
Complementos de COBIT
Information Technology Strategic Committee Balance Scorecard COBIT on-line COBIT Quickstart
Clientes
BSC para TI
Valor de negocio derivado de proyectos de TI Logros de sinergia Inversiones en TI Contribucin estratgica Contribucin corporativa Alianzas de TI/Negocio Satisfaccin del cliente Desempeo de entrega de aplicaciones Desempeo de niveles de servicio Orientacin al usuario de TI
BSC para TI
Excelencia operacional Productividad, eficiencia y calidad Oportunidad de respuesta Costo interno de calidad Seguridad Administracin de rezagos Orientacin futura Capacidad de mejora de servicios Evolucin de arquitecturas Investigacin de tecnologa Administracin del conocimiento
Financieros Presupuesto operativo de TI Presupuesto de capital de TI Administracin de activos de TI Administracin de contratos de TI Allocation y planeacin de recursos de TI
Frameworks de Control Polticas Gerenciales de Informacin Corporativa privacidad, propietarios de procesos de negocio, retencin de registros Departamento de TI CVDS, seguridad Estndares COBIT, ITIL, ISO, SAS70 Prcticas y procedimientos Administracin de la documentacin del sistema Aseguramiento de calidad Cumplimiento regulatorio Procedimientos de escalamiento Procedimientos de divulgacin Administracin de contratos y de vendedores
Principles of IT Governance, Stacey Hamaker, Information Systems Control Journal, Volume 2, 2004
Antecedentes Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos Elementos y Complementos Cobit Modelo de madurez e Indicadores
Modelo de Madurez
El Modelo de Madurez es una forma de medir el grado de desarrollo de los procesos de la organizacin. Este modelo define perfiles de organizaciones, en relacin a los progresos en el gobierno de TI de cada una de ellas. Atiende aspectos tales como :
el grado de formalidad con que se cumplen los procesos el reconocimiento de que existen problemas las posibilidades de entrenamiento y capacitacin el grado de automatizacin de los procesos el nivel de avance de la organizacin en materia de administracin del conocimiento relativo a buenas prcticas en TI.
Modelo de Madurez
Medicin de procesos
Key Success Factors (KSF) Factores crticos de xito (clave)
Aspectos que son indispensables para el adecuado funcionamiento de un proceso
Balance Scorcard
Muchas Gracias!!
La Poste Tunisienne