Alineamientos marcos
de control y gestion
Tomás Arroyo Salido - CISA
Correo - [email protected]
[email protected]
© 2007 Copyright - Tomás Arroyo
Quien es quien?
ITIL estandariza procesos
con un claro enfoque a la Gestión del Servicio –
Entregables.
ISO 17799 – Normativa – estándar de SEGURIDAD
DE LA
INFORMACIÓN
COBIT Proporciona un Enlace Claro entre los
Requerimientos del Gobierno de TI, los Procesos de TI
y los Controles de TI
© 2007 Copyright - Tomás Arroyo
ITIL estandariza procesos
con un claro enfoque a la Gestión del
Servicio – Entregables.
ITIL 10 procesos,
Procesos de soporte
1.
2.
3.
4.
5.
Gestión
Gestión
Gestión
Gestión
Gestión
de
de
de
de
de
la Configuración (Configuration Management).
Incidencias (Incident Management).Service Desk
Problemas (Problem Management).
Cambios (Change Management).
la Distribución (Release Management).
Procesos de entrega de servicios
6. Gestión de la Capacidad (Capacity Management).
7. Gestión de la Disponibilidad (Availability Management).
8. Gestión de la Continuidad (Continuity Management).
9. Gestión Financiera (Financial Management).
10. Gestión del Nivel de Servicio (Service Level Management).
© 2007 Copyright - Tomás Arroyo
ISO 17799 – Normativa - estandard
SEGURIDAD DE LA INFORMACIÓN
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
© 2007 Copyright - Tomás Arroyo
COBIT Proporciona un Enlace Claro entre los
Requerimientos del Gobierno de TI, los
Procesos de TI y los Controles de TI
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
ME1
ME2
ME3
ME4
Monitorear y Evaluar el
desempeño de TI.
Monitorear y Evaluar el
control interno.
Garantizar el
cumplimiento
regulatorio.
Proveer Gobierno de TI.
MARCO DE REFERENCIA
C
O B I
T
INFORMACION
Integridad
Eficiencia
Efectividad
Cumplimiento
Disponibilidad
Confidencialidad
Confiabilidad
DS1 Definir y administrar niveles
de servicio.
DS2 Administrar servicios de
terceros.
DS3 Administrar desempeño y
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de
apoyo e incidentes.
DS9 Administrar la configuración.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente
físico.
DS13 Administrar operaciones.
© 2007 Copyright - Tomás Arroyo
MONITOREAR
Y
EVALUAR
PLANEACIÓN
Y
ORGANIZACIÓN
RECURSOS
DE
TI
Aplicaciones
Información
Infraestructura
Personas
ENTREGA
Y
SOPORTE
ADQUISICIÓN
E
IMPLEMENTACIÓN
PO1 Definir un plan estratégico
de TI.
PO2 Definir la arquitectura de
información.
PO3 Determinar la dirección
tecnológica.
PO4 Definir los procesos de TI,
la organización y sus
relaciones.
PO5 Administrar las inversiones
en TI.
PO6 Comunicar la dirección y
objetivos de la gerencia.
PO7 Administrar los recursos
humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar
riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de
automatización.
AI2 Adquirir y mantener
software de aplicación.
AI3 Adquirir y mantener la
infraestructura tecnológica.
AI4 Permitir la operación y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar
soluciones y cambios.
¿Qué entendemos por Control?
Definición
Conjunto de estructuras, políticas y procedimientos
que permiten:
Definición
de control
© 2007 Copyright - Tomás Arroyo
• Verificar el cumplimiento de los objetivos y
estrategias de gestión fijados por la Dirección
• Conocer y gestionar los riesgos a los que está
expuesta la entidad
Entorno y Objetivos de Control
Control
Se define como las políticas, procedimientos, prácticas e infraestructuras organizativas,
diseñadas para garantizar razonablemente, que los objetivos de negocio se llevarán a cabo,
y que las incidencias no deseadas se pueden prevenir o detectar y corregir. (COSO 1992)
Objetivo de control de TI
Se define como el propósito o resultado que se desea alcanzar, mediante la implantación
de procedimientos de control para una actividad de TI específica.
© 2007 Copyright - Tomás Arroyo
Definición
COBIT, ITIL e ISO 17799 son normativas valiosas
para el crecimiento y éxito de una organización
por las siguientes razones:
© 2007 Copyright - Tomás Arroyo
Definición
-- Los directivos empresariales y los consejos de
administración exigen mejores beneficios de las
inversiones en TI.
-- Las mejores prácticas ayudan a cumplir los
requisitos reglamentarios de los controles de las TI
en áreas como la confidencialidad y la preparación
de informes financieros.
-- Las organizaciones se enfrentan a riesgos
relacionados con las TI, tales como la seguridad de
la red.
-- Las organizaciones pueden optimizar los costes
siguiendo enfoques normalizados.
© 2007 Copyright - Tomás Arroyo
Como las normas trabajan conjuntamente
Definición
-- Las mejores prácticas ayudan a las
organizaciones a evaluar su rendimiento en
comparación con normas aceptadas generalmente
y por sus compañeros.
-- Utilizando COBIT como un marco de control
general para la gestión de las TI, e ITIL e ISO
17799 proporcionan procesos normalizados
pormenorizados.
Los 34 procesos de TI de COBIT y los objetivos de
control de alto nivel se mapean en secciones de
ITIL y de ISO 17799.
© 2007 Copyright - Tomás Arroyo
Informe COSO, notas
Control interno, es una expresión que utilizamos con el fin de describir las acciones adoptadas por los
directores de entidades, gerentes o administradores, para evaluar y monitorear las operaciones en sus
entidades. Por ello, a fin de lograr una adecuada comprensión de su naturaleza y alcance.
Definición de control interno
Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la entidad, para
proporcionar seguridad razonable, respecto a sí están lográndose los objetivos siguientes:
•Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios
•Proteger y conservar los recursos contra cualquier pérdida, despilfarro, uso indebido, irregularidad
o acto ilegal;
•·Cumplir las leyes, reglamentos y otras normas gubernamentales,
•· Elaborar información financiera válida y confiable, presentada con oportunidad;
•· Promoción de la efectividad, eficiencia y economía en las operaciones y la calidad en los
servicios.
Este objetivo se refiere a los controles internos que adopta la administración para asegurar que se
ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia y economía. Tales controles
comprenden los procesos de planificación, organización, dirección y control de las operaciones en los
programas, así como sistemas para medir el rendimiento y monitorizar las actividades ejecutadas.
La efectividad tiene relación directa con el logro de los objetivos y metas programados, en tanto que la
eficiencia se refiere a la relación existente entre los bienes y servicios producidos y recursos utilizados
para producirlos y su comparación con un estándar de desempeño establecido. La economía, se
relaciona con la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y
oportuna entrega, al mínimo costo posible.
© 2007 Copyright - Tomás Arroyo
COBIT proporciona un marco de referencia
para el Gobierno de TI
COBIT ayuda a salvar las brechas entre los riesgos del negocio, las
necesidades de control y los asuntos técnicos. Provee buenas
prácticas a través de un marco de referencia de dominios y procesos y
presenta actividades en una estructura administrable y lógica.
COBIT:
 Parte de los requerimientos del negocio
 Es orientado a procesos, y organiza las actividades de TI en un modelo de
procesos generalmente aceptado
 Identifica los principales recursos de TI que deben ser potencializados
 Define los objetivos de control administrativos a ser considerados
 Incorpora los principales estándares internacionales
 Se ha convertido en el estándar de facto para el control general de TI
Los recursos de TI necesitan ser administrados por un conjunto de
procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
© 2007 Copyright - Tomás Arroyo
Cómo ayuda COBIT a implementar un
Gobierno de TI Efectivo?
 Posibilita mapear las metas de TI a las metas
del negocio y viceversa
 Mejor alineación, basada en un enfoque del
negocio
 Una visión, comprensible para la
administración, de lo que es TI
 Claridad en la propiedad y responsabilidades,
basada en una orientación a procesos
 Aceptabilidad general con terceras partes y
reguladores
 Entendimiento compartido entre todos los
involucrados, basado en un lenguaje común
 Cumplimiento de los requerimientos de COSO
para el ambiente de control de TI
© 2007 Copyright - Tomás Arroyo
COBIT y otros Marcos de Referencia de
Administración de TI
Las organizaciones deberán considerar y usar una variedad de modelos,
estándares y mejores practicas de TI – por lo tanto asegúrese de que entiende
esto con el fin de considerar como pueden usarse juntos, con COBIT
actuando como consolidador (“Sombrilla”) e.g.
COSO
COBIT
QUE
ISO 9000
ISO 17799
ITIL
CAMPO DE COBERTURA
© 2007 Copyright - Tomás Arroyo
COMO
Dónde encajar
Directrices
“Gobierno Corporativo”
Balanced Scorecard
Procesos y Procedimientos
© 2007 Copyright - Tomás Arroyo
COSO
COBIT
“Gobierno de TI”
Estándares de mejores prácticas
CONFORMIDAD
Basilea II, SarbanesOxley Act, etc
DESEMPEÑO:
Metas del negocio
ISO
9001:2000
Procedimientos
de QA
ISO
17799
ISO
20000
Principios
de
Seguridad
ITIL
Adoptando el marco de referencia de COBIT
COBIT se usa mejor como un marco de referencia amplio
de TI y como un conjunto de mejores prácticas y recursos
de alto nivel
Otros estándares y mejores prácticas complementan
COBIT y pueden trabajar con COBIT
Es mejor tener una directriz rectora del negocio y la
administración para un efectivo Gobierno de TI y una
administración de TI que sólo tener COBIT por si mismo.
COBIT es un “toolkit” facilitador
© 2007 Copyright - Tomás Arroyo
Como las normas trabajan conjuntamente
Definición
ITIL® es un conjunto de buenas prácticas más aceptado
y utilizado en el mundo, extraido de organismos del
sector público y privado que están a la vanguardia
tecnológica a nivel internacional. ITIL® es aplicable a
todo tipo de organización en todo el mundo debido a que
han experimentado una creciente dependencia en los
servicios informaticos de calidad.
Fue desarrollado por la actual Office of Government
Comerce (OGC) del gobierno británico durante los años
ochenta, ITIL® propone una terminología éstandar
independiente de la industria y la tecnología, que nos
define "que hacer" y "que no hacer" al interior de una
organización que aplica la administración de servicios de
la TI.
© 2007 Copyright - Tomás Arroyo
Como las normas trabajan conjuntamente
Definición
ITIL es para certificar personas, no organizaciones.
ITIL certifica a directores y profesionales.
No se puede hablar de un producto con certificación
ITIL ni de conformidad con ITIL.
Sin embargo, lo que se dice es que si una
organización quiere alcanzar un estándar, es más
fácil hacerlo con ITIL.
ITIL tiene que ver con la implementación de un
cambio cultural. Se implementa una nueva manera
de hacer negocios. No es un producto ni paquete
sw.
ITIL y Cobit en conjunto, es un gran paso hacia la
conformidad con Sarbanes-Oxley y Basilea II. Pero,
nuevamente, ITIL no arreglará los problemas ni
garantizará esa conformidad. Se necesita una
auditoria externa para eso, pero es un gran paso
adelante.
© 2007 Copyright - Tomás Arroyo
Como las normas trabajan conjuntamente
Definición
“COBIT e ITIL no son mútuamente excluyentes y
pueden ser combinados para proporcionar un sólido
framework de gobierno TI y de control y mejores
prácticas en gestión de servicios TI. Empresas que
deseen colocar su programa ITIL en un contexto más
amplio de un framework de control y gobierno deberían
utilizar COBIT.”
Gartner research note, Junio 2002
© 2007 Copyright - Tomás Arroyo
Introducción
DEFINICIÓN
CONTROL
Cualquier actividad, tarea o procedimiento que
permite conocer, gestionar, seguir, reducir y/o
mitigar el riesgo al cual está expuesta la entidad
IMPORTANTE
Los controles están integrados dentro de la operativa y
procesos diarios desarrollados por la entidad, por eso es
importante, abstraerse de esta operativa y poder pensar de
forma global para poder reconocer los controles de la
entidad
© 2007 Copyright - Tomás Arroyo
Enlaces de interés
Enlaces de interés
Podréis encontrar información adicional en:
http://www.itil.co.uk -El Sitio Oficial de ITIL
http://www.exin.nl -Organismo de Certificación
http://www.itsmf.com -Forum Internacional de Gestión de
Servicios TI
http://www.isaca.org – El sitio oficial de ISACA
http://itsmf.es - Forum
http://www.itgi.org
http://www.ogc.gov.uk
y en google……..
© 2007 Copyright - Tomás Arroyo
ESTÁNDARES
• Despegar es opcional
•Despegamos con …..
•COBIT
•ITIL
•BS - ISO 17799
•ISO- 2700x
•UNE…….
•CMM…..
•Aterrizar es Obligatorio,
•Aterrizamos con…..
•RD-994/1999
•la norma elevada a rango legal
© 2007 Copyright - Tomás Arroyo
Preguntas
GRACIAS
POR SU
ATENCIÓN
[email protected]
© 2007 Copyright - Tomás Arroyo
Descargar

Asesoramiento y Asistencia Metodológica al Grupo