IT Governance
Bibliografía:
Harris, M. - Herron, D. - Iwanicki, S. - The
Business Value of IT - CRC Press – 2008.
Documento Cobit 4.1
1
COBIT
• Control OBjectives for Information and related Technology
• Mission: “to research, develop, publicize and promote an authoritative,
up-to-date, international set of generally accepted information
technology control objectives for day-to-day use by business managers
and auditors.”
• Cobit es un marco de referencia y un juego de herramientas que
permiten a la gerencia cerrar la brecha con respecto a los
requerimientos de control, temas técnicos y riesgos de negocio, y
comunicar ese nivel de control a los interesados.
• Cobit permite el desarrollo de políticas claras y de buenas prácticas
para control de TI en de las organizaciones. Además siempre se
actualiza y armoniza con otros estándares.
2
COBIT – Principios básicos
3
COBIT - Definición Objetivos y Arquitectura
para IT
4
COBIT - Organización
• 34 high level processes
• 210 control objectives
• 4 domains:
– Planning and Organization (PO)
– Acquisition and Implementation (AI)
– Delivery and Support (DS)
– Monitoring and Evaluation (ME).
5
COBIT – Dominios interrelacionados
6
COBIT - PO
• PO1 -Define a Strategic IT Plan and direction
• PO2 -Define the Information Architecture
• PO3 -Determine Technological Direction
• PO4 -Define the IT Processes, Organization and Relationships
• PO5 -Manage the IT Investment
• PO6 -Communicate Management Aims and Direction
• PO7 -Manage IT Human Resources
• PO8 -Manage Quality
• PO9 -Assess and Manage IT Risks
• PO10 -Manage Projects
7
COBIT - AI
• AI1 -Identify Automated Solutions
• AI2 -Acquire and Maintain Application Software
• AI3 -Acquire and Maintain Technology Infrastructure
• AI4 -Enable Operation and Use
• AI5 -Procure IT Resources
• AI6 -Manage Changes
• AI7 -Install and Accredit Solutions and Changes
8
COBIT - DS
• DS1 -Define and Manage Service Levels
• DS2 -Manage Third-party Services
• DS3 -Manage Performance and Capacity
• DS4 -Ensure Continuous Service
• DS5 -Ensure Systems Security
• DS6 -Identify and Allocate Costs
• DS7 -Educate and Train Users
• DS8 -Manage Service Desk and Incidents
• DS9 -Manage the Configuration
• Ds10 -Manage Problems
• DS11-Manage Data
• DS12-Manage the physical enviroment
• DS13 -Manage Operations
9
COBIT - ME
• ME1 -Monitor and Evaluate IT Processes
• ME2 -Monitor and Evaluate Internal Control
• ME3 -Ensure Regulatory Compliance
• ME4 -Provide IT Governance
10
COBIT
• Ejemplo con documento
11
COBIT - Beneficios
Algunos beneficios de implementar COBIT en organizaciones:
• Mejor alineación entre TI y el negocio
• Visión entendible de lo que hace TI
• Propiedad y responsabilidades claras
• Aceptación general de terceros y reguladores
• Entendimiento compartido entre todos los interesados
12
ITIL - Information Technology Infraestructure
Library
• Biblioteca de Infraestructura de IT
• Conjunto de buenas prácticas.
• Proponen una forma de resolver las necesidades del
negocio, administrar activos tecnológicos, manejar los
cambios y la seguridad.
• Es un conjunto de libros que describen cómo los procesos,
pueden ser optimizados, y cómo la coordinación entre ellos
puede ser mejorada.
13
ITIL
• Soporte del Servicio
– Todos los aspectos que garanticen continuidad, disponibilidad y
calidad del servicio prestado al usuario.
– Procesos:
1. Función Service desk.
2. Gestión de Incidentes.
3. Gestión de Problemas.
4. Gestión de Cambios.
5. Gestión de Configuraciones.
6. Gestión de Entregas.
14
ITIL – Función Service Desk
• Representa al proveedor del servicio IT ante el Cliente o el
Usuario
• Opera sobre el principio de que la satisfacción y la
percepción del Cliente son críticas.
• Debe conjugar personas, procesos y tecnología.
15
ITIL – Gestión de Incidentes
• Incidente: “Cualquier suceso que no forme parte del
funcionamiento estándar de un servicio y que cause, una
interrupción o una reducción de la calidad de este servicio”.
• Componentes:
–
–
–
–
–
–
Detección y registro del Incidente
Clasificación y soporte inicial
Investigación y diagnóstico
Resolución y restauración
Cierre del Incidente
Titularidad, monitorización, seguimiento y comunicación del
incidente.
16
ITIL – Gestión de Incidentes
• Objetivo: Restaurar el funcionamiento normal del servicio
tan rápido como sea posible y minimizar el impacto negativo
sobre el negocio, garantizando, de este modo, que se
mantiene el más alto nivel de calidad y disponibilidad del
servicio.
• El “funcionamiento normal del servicio” se define aquí como
funcionamiento del servicio dentro de los límites del
Acuerdo de Nivel de Servicio (SLA).
17
ITIL – Gestión de Problemas
• Un “Problema” es la causa desconocida que subyace a uno
o más Incidentes, y un “error conocido” es un Problema que
ha sido diagnosticado con éxito y para el cual se ha
identificado una “solución temporal”
• Objetivo: Minimizar el impacto negativo que tienen sobre el
negocio los Incidentes y Problemas causados por errores
en la infraestructura IT, y prevenir la recurrencia de
Incidentes relacionados con esos errores.
18
ITIL – Gestión de Problemas
• El proceso de Gestión de Problemas trata de 2 aspectos:
– Reactivo: solucionar Problemas como respuesta a uno o más
Incidentes.
– Proactivo: identificar y solucionar Problemas y errores
conocidos antes de que ocurran los Incidentes.
19
ITIL – Gestión de Cambios
• Los cambios surgen
en general como resultado de
problemas, pero muchos cambios pueden ser resultado de
buscar ventajas de manera proactiva, como reducir costos o
mejorar los servicios.
• Objetivo: El objetivo del proceso de Gestión de Cambios es
minimizar el impacto sobre la calidad del servicio
producidos por los incidentes derivados de los cambios y,
por consiguiente, mejorar el funcionamiento diario de la
organización.
20
ITIL – Gestión de Cambios
• La Gestión de Cambios es responsable de gestionar los
procesos de Cambio que impliquen:
– Hardware
– Software y equipos de comunicaciones
– Sistemas de software
– Aplicaciones software en producción
– Documentación y procedimientos asociados con la ejecución,
soporte y mantenimiento de los sistemas en producción.
21
ITIL – Gestión de Configuraciones
• Los negocios necesitan que los servicios IT suministrados
sean de calidad y económicos.
• La Gestión de Configuraciones ofrece un modelo lógico de
la Infraestructura o del servicio mediante la identificación,
control, mantenimiento y verificación de las versiones de los
Elementos de Configuración (CIs) existentes.
22
ITIL – Gestión de Configuraciones
• Actividades básicas:
– Planificación: planificación y definición de los propósitos,
ámbito, objetivos, políticas y procedimientos de la Gestión de
Configuraciones.
– Identificación: identificación de las estructuras de
configuración de todos los elementos de configuración (CIs)
de la infraestructura IT, incluyendo titular, relaciones y
documentación de la configuración.
23
ITIL – Gestión de Configuraciones
• Actividades básicas:
– Control: asegurarse de que sólo se aceptan y registran los CIs
autorizados e identificables. Garantizar que no se añade,
modifica, cambia o elimina ningún CI sin la documentación de
control apropiada.
–
Informe de estado: informar todos los datos actuales e
históricos relacionados con cada CI.
–
Verificación y auditoria: realizar revisiones e inspecciones
para verificar la existencia física de los CIs y comprobar que
estén registrados correctamente en el sistema de Gestión de
Config.
24
ITIL – Gestión de Entregas
• En un entorno distribuido pueden estar implicados en la Entrega
de software y hardware, muchos proveedores y suministradores
de servicios.
• La Gestión de la Entrega debe asegurarse de que se analizan
globalmente todos los aspectos, tanto técnicos como no técnicos,
que afecten a una Entrega.
• Objetivos:
– Planificar y supervisar el paso a producción con éxito del SW
y HW relacionado
– Diseñar e implementar procedimientos eficientes para la
distribución e instalación de los Cambios en los sistemas IT
25
ITIL – Gestión de Entregas
• Objetivos: (cont)
– Asegurarse de que los cambios en el software y el hardware se registran,
son seguros y que sólo se instalan versiones correctas, autorizadas y
probadas
– Comunicarse con el Cliente y gestionar sus expectativas
– Asegurarse de que las copias originales de todo el software están seguras
en la Biblioteca de Software Definitivo (DSL) y de que se actualice la Base
de Datos de la Gestión de Configuraciones (CMDB)
– Asegurarse de que todo el hardware puesto en producción o modificado, es
seguro y puede ser seguido, utilizando los servicios de Gestión de la
Configuración.
26
Descargar

IT Governance - Centro Ing. Roberto Herrera