Cobit, Itil, Iso 20000

TITULO
Integrando Temas
ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI
Roberto C. Arbelez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com

XXVI Saln de La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
INFORMTICA
Temario
1. Reflexiones sobre el gobierno de TI 2. Introduccin a los estndares y mejores prcticas
ITIL COBIT ISO 17799 / 27002
3. Como articular los estndares para definir un marco de trabajo de gobierno y control
XXVI Saln de INFORMTICA
La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI
Reflexiones sobre el Gobierno de TI

Governance: Gobierno o Gobernabilidad?

Governance: Se traduce como Forma de Gobierno o simplemente como Gobierno Governability: Se traduce como Gobernabilidad, y se refiere a la capacidad de gobernar Governance Gobernabilidad
http://translation2.paralink.com http://babelfish.altavista.com http://www.online-translator.com XXVI Saln de INFORMTICA

Gobierno de TI
El gobierno de TI es el grupo de liderazgo, las estructuras y los procesos organizacionales que aseguran que las TIs de la organizacin soportan y extienden las estrategias y los objetivos organizacionales (Fuente: IT Governance Institute)

Los pilares del Gobierno de TI
Gobierno de TI
Estructuras Organizacionales Equipo de Liderazgo Procesos y Procedimientos

El Gobierno de TI como parte de un marco de Gobierno Corporativo
Gobierno Corporativo
Gobierno de TI
Gobierno de Seguridad de TI

Alineacin de las TIs y los objetivos del negocio

El Gobierno de TI permite asegurar que las TIs estn alineadas con los objetivos y las metas organizacionales

Actores primarios y secundarios en el Gobierno de TI

Accionistas Ejecutivos y Alta Gerencia Corporativa
Clientes
IT Vendors
Gerentes del Negocio
Gerentes de Tecnologa
Proveedores

Gobierno de TI vs. Gestin de TI

Entorno Organizacional
Externo
Gobierno de TI
Gestin de TI
Interno
Tiempo
Presente Futuro

El Gobierno de TI depende de unas buenas prcticas de Gestin de TI
Buenas Prcticas de Gestin de TI
PREREQUISITO
Gobierno de TI adecuado

La Gestin de TI
Busca prestar servicios de tecnologa seguros, confiables, predecibles, sostenibles y costoefectivos, con un nivel de servicio adecuado a las necesidades del negocio y un nivel de riesgo razonable para el negocio Se basa en construir y mantener tres pilares:
Optimizacin de Infraestructura Operaciones de TI adecuadas Seguridad de TI adecuada
Requerimientos del Negocio IT Service Delivery

Operaciones Seguridad Optimizacin de Infraestructura

Los pilares de una gestin exitosa de TI
Operaciones

Seguridad
Optimizacin de Infraestructura
Adquirir la infraestructura ptima para las necesidades de la organizacin Utilizar de manera ptima los recursos computacionales de la organizacin de manera que le agreguen valor a las operaciones del negocio
Incrementar la integracin, el intercambio de informacin y la utilizacin compartida de recursos Mejorar la eficiencia, eliminar la redundancia y aumentar la automatizacin

Operaciones de TI
Administrar, Gestionar y Operar adecuadamente un sistema de informacin y todos sus componentes: Infraestructura computacional y de comunicaciones Procesos y procedimientos Personas Mantener niveles de servicio adecuados a las necesidades del negocio

Operaciones
Seguridad Informtica
Asegurar y mantener seguros todos los componentes del sistema de informacin Mantener la confidencialidad, integridad y disponibilidad de la informacin Garantizar la continuidad del servicio Disear elementos de control que garanticen el acceso controlado a los recursos del sistema

Seguridad
Relaciones
TIs: La herramienta Operaciones de TI: Especifica la forma adecuada (ptima) de utilizar la herramienta Seguridad de TI: Especifica la forma segura de utilizar la herramienta Gobierno de TI: Es la forma de garantizar que la herramienta se utilice para lograr los objetivos de la organizacin
Introduccin a los Estndares y Mejores Prcticas

Los Estndares y Mejores Prcticas
Es Y tnd M a Pr ejo res c re tic s as

COBIT
Control Objectives for Information and related Technology (Objetivos de Control para la informacin y tecnologas relacionadas) Fu publicado inicialmente en 1996 por la ISACF (Information Systems Audit and Control Foundation), Hoy en dia ISACA (Information Systems Audit and Control Association) Hoy es mantenida por el IT Governance Institute Su versin actual es la 4.0 Est compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de control detallados, diseados para ayudar a las organizaciones a mantener un control efectivo sobre sus TICs

COBIT
Es un estndar muy bien construdo, ampliamente reconocido y aceptado. Toda la documentacin de COBIT se encuentra en lnea incluyendo su resumen ejecutivo, el marco de trabajo (framework), los objetivos de control, las guas de auditora, gestin e implementacin. La versin "QuickStart" de COBIT para organizaciones pequeas y medianas contiene un subconjunto de COBIT enfocado a los elementos ms crticos para organizaciones que no tienen los recursos para buscar una implantacin completa del estndar. COBIT tiene 4 dominios:
PO: Planning & Organizing AI: Acquisition & Implementation DS: Delivery & Support M: Monitoring

COBIT
Critical Success Factors Provee a la gerencia con guas para implementar controles sobre TI y procesos de TI de manera exitosa Key Goal Indicators Representan los objetivos de los procesos. Son la medida de lo que se debe lograr, la meta a lograr. Key Performance Indicators Son medidas que le indican a la gerencia si un proceso de TI esta logrando sus objetivos, a travs del monitoreo del desempeo del proceso. Esta relacionado con el cmo se realiza el proceso.
ITIL / ISO 20000

Information Technology Infrastructure library Compendio de publicaciones de mejores prcticas de TI Su foco central es la entrega (delivery) y el soporte (support) de servicios de TI alineados con las necesidades de la organizacin Los procesos de gestin de servicio de ITIL buscan soportar (no dictar) los procesos de negocios de una organizacin. Los procesos genricos descritos en ITIL promueven mejores prcticas Los procesos ms conocidos de la gestin de servicio de ITIL se describen en dos publicaciones: Service Support (Soporte de servicio) y Service Delivery (entrega de servicio).

ITIL / ISO 20000

Los procesos de soporte de servicio son:
Administracin de Incidentes Admiistracin de Pfroblemas Administracinde Configuraciones Administracin del Cambio Administracin de Liberaciones Mesa de Ayuda (Service desk) Administracin de Capacidad Administracin de Disponibilidad Administracin Financiera de Servicios de TI Administracin de Nivel de Servicio Administracin de la continuidad de servicio de TI
Los procesos de entrega de servicio son:

ITIL / ISO 20000

Dos conceptos principales caracterizan la lnea de pensamiento de ITIL
Administracin de Servicios (y gerentes de servicios) Holisticos: Orientacin al cliente Los servicios de TI se deben proveer en un nivel de calidad que el negocio pueda depender continuamente de ellos
ITIL / ISO 20000

Otras publicaciones que conforman ITIL trascienden la entrega y el soporte de servicio, y buscan cubrir las actividades principales necesarias para definir y desarrollar procesos efectivos de TI incluyendo:
El desarrollo de sistemas nuevos El diseo y la planeacin de infraestructura de TICs (tecnologas de informacin y comunicaciones La operacin y el mantenimiento de sistemas existentes El ajuste de la entrega de servicio a la evolucin de los requerimientos del negocio
Otros libros que conforman ITIL

Planning to Implement Service Management ICT Infrastructure Management Applications Management ITIL Security Management

ISO 17799 / 27002

El ISO/IEC 17799 es un conjunto completo de controles que comprende las mejores prcticas en seguridad informtica, siendo un estndar genrico ampliamente reconocido internacionalmente El ISO / IEC 17799 tiene como objetivos dar recomendaciones para la administracin de la seguridad informtica para que sean usadas por aquellos que son responsables de iniciar, implementar, o mantener la seguridad en su organizacin. Aunque est diseado para ayudar a optimizar la seguridad informtica, tambin es ideal para ayudar al diagnstico del sistema de seguridad desde una perspectiva netamente operativa, aplicando la metodologa de evaluacin anteriormente propuesta.
ISO 17799 / 27002

Inicialmente, este estndar se origin como el estndar britnico (British Standard) BS7799 en febrero de 1995, y tras una revisin exhaustiva en 1999, fue adoptado por la ISO en el 2000, siendo publicada una segunda parte en el 2002. ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Es la sustituta de la ISO17799:2005, que es la que actualmente est en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 clusulas. La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.
Estndares y Mejores Prcticas

Operaciones de Tecnologa : ITIL (ISO/IEC20000)
Seguridad, Continuidad del Negocio , Administracin de Riesgos: ISO/IEC17799 (ISO/IEC27002)
Gobierno, Control y Auditabilidad : COBIT

Como articular los estndares para definir un marco de trabajo de gobierno y control

Qu es un marco de trabajo de Gobierno de TI?

Es un sistema de control Es una estrategia completa explcitamente ligada con las TIs y los objetivos organizacionales. Permite que las organizaciones puedan asegurarse de que sus TIs estn alineadas con los objetivos organizacionales Esto permite maximizar los beneficios recibidos por las TIs, garantizar que estas sean usadas eficientemente y que los riesgos sean manejados de manera adecuada Adems, un marco de trabajo de Goberno de TI debe permitir medir el desempeo!
Cmo soportan los estndares/mejores

prcticas el Gobierno de TI?
Proveen un marco de polticas de gestin y control Permiten que las personas se puedan aduear de los procesos, estableciendo responsabilidad (accountability) sobre las actividades de TI Alinean los objetivos de TI con los objetivos del negocio, definiendo prioridades y asignando recursos Aseguran el retorno a la inversin y la optimizacin de costos
Cmo soportan los estndares/mejores

prcticas el Gobierno de TI? (2)
Permiten asegurarse de que los riesgos significativos han sido identificados y son visibles para la gerencia, que la responsabilidad de la administracin de riesgos ha sido asignada y embebida en la organizacin y que se han implementado controles adecuados para manejarlos Aseguran que los recursos han sido eficientemente organizados y que existe una capacidad suficiente (tcnica, de procesos, de habilidades y de competencias) para asegurar la ejecucin de la estrategia de TI. Permiten asegurar que las actividades crticas de TI sean monitoreadas y medidas, de manera que se puedan identificar los problemas y se puedan emprender acciones correctivas
Funciones Primarias del Gobierno de TI (y los estndares que las soportan)

Planeacin y Alineamiento Estratgico (ITIL, COBIT) Operaciones de TI (ITIL, ISO/IEC 27002) Manejo Financiero (ITIL) Marcos de Control (COBIT, ISO/IEC 27002)

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI

ISO/IEC 27002 COBIT Qu se debe hacer
ITIL
Cmo se debe hacer

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI (2)

COBIT es usado como el estndar principal, proveyendo un marco de control y gobierno basado en modelos de procesos de TI genricos aplicables a cualquier organizacin. Los Estndares y mejores prcticas como ITIL e ISO 17799/27002 cubren reas especficas, y pueden ser mapeados al marco de trabajo de COBIT.

Proceso de Articulacin de un marco de Gobierno de TI

1. Definir un marco organizacional (como parte de una iniciativa de gobierno de TI) con responsabilidades y objetivos claros, y la participacin de todos los actores interesados, que lidere la implementacin y se aduee (y se haga responsable) de ella. 2. Alinear la estrategia de TI con los objetivos del negocio.
En cules objetivos de negocios contribuyen las TIs de manera significativa? Se debe lograr un entendimiento adecuado del entorno de negocios, los riesgos (y la tolerancia corporativa frente al riesgo), y la estrategia de negocios (y cmo se relaciona con las TIs). Las guas de gestin de COBIT (especficamente los KGIs) y los criterios de informacin del marco de COBIT ayudan a definir los objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles de servicio y estructurando Acuerdos de Nivel de Servicio (Service Level Agreements - SLAs), ajustandose a las necesidades del cliente.

Proceso de Articulacin de un marco de Gobierno de TI (2)

3. Entender y definir los riesgos. Dados los objetivos de negocio, cuales son los riesgos que afectan la capacidad de las TIs de proveer un servicio adecuado? El proceso de COBIT para la administracin del riesgo (PO9) y la aplicacin del marco de control y de los criterios de informacin ayudan a asegurar que los riesgos sean identificados y que se les asigne un dueo. ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los riesgos de seguridad. Delimitar las reas a optimizar, y en ellas, identificar los procesos de TI que son crticos para administrar adecuadamente los diferentes riesgos. El marco de Procesos de COBIT puede ser usado como la base, apoyado en la definicin de procesos de entrega de servicios crticos (key service delivery processes) de ITIL y los objetivos de seguridad de ISO 17799.
4.


5. Analizar la capacidad actual de prestacin de servicios de TI respecto a las necesidades del negocio, e identificar las brechas. Llevar a cabo un anlisis de capacidad de madurez (maturity capability assessment) para identificar en dnde se necesitan ms urgentemente mejoras (puede usarse el modelo de madurez de COBIT, o el de ITIL!). Las guas de gestin de COBIT proveen una base, soportada en ms detalle por ITIL e ISO 17799. Desarrollar una estrategia de mejora continua, y articularla a travs de un portafolio de proyectos. Se debe decidir cules proyectos deben tener una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestin y el gobierno de reas que provean servicios de TI significativos para el negocio. La decisin debe tomarse basado en el beneficio potencial, la facilidad de implementacin de las mejoras, y con un claro foco en procesos importantes de TI. Se deber establecer un proceso de mejora continua (Continuous Improvement Process) que garantice que la optimizacin ser permanente a lo largo del tiempo. Los CSFs de COBIT, los objetivos de control y las prcticas de control son soportadas con mayor nivel de detalle por ITIL e ISO 17799.
6.


7. Medir los resultados a travs de la definicin de metas-objetivos, mtricas, y la creacin de indicadores e ndices de gestin, y la articulacin de un tablero de control, que permita medir el desempeo actual y monitorear los resultados de nuevas mejoras. Las guas de gestin de COBIT (especficamente los KPIs, alineados a KGIs previamente definidos) pueden formar la base del scorecard.
Modelos de Madurez
COBITs GMM (Governance Maturity Model) ITILs PMF (Process Maturity Model) Si se planea utilizar COBIT como la estructura de control que define los Critical Success Factors (CSF) y los Key Performance Indicators (KPI) de la implementacin de ITIL, es mejor utilizar GMM. Si no se va a utilizar COBIT para esto, PMF es una alternativa adecuada.
Bibliografa
Aligning COBIT, ITIL and ISO 17799 for Business Benefit http://www.itgovernance.co.uk/files/ITIL-COBiTISO17799JointFramework.pdf ITIL: What is it? How does ITIL link to COBIT and ISO 17799? http://www.isacaottawa.ca/itil_16may2006.pdf COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance http://www.forrester.com/Research/Document/E xcerpt/0,7211,38442,00.html
Preguntas? Comentarios?
Roberto. Arbelaez@microsoft.com

Cobit, Itil, Iso 20000

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cobit, Itil, Iso 20000

Hochgeladen von

Copyright:

Verfügbare Formate

TITULO

ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

Roberto C. Arbelez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com

Reflexiones sobre el Gobierno de TI

XXVI Saln de INFORMTICA

Governance: Gobierno o Gobernabilidad?

http://translation2.paralink.com http://babelfish.altavista.com http://www.online-translator.com XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

Los pilares del Gobierno de TI

XXVI Saln de INFORMTICA

El Gobierno de TI como parte de un marco de Gobierno Corporativo

XXVI Saln de INFORMTICA

Alineacin de las TIs y los objetivos del negocio

XXVI Saln de INFORMTICA

Actores primarios y secundarios en el Gobierno de TI

Gerentes del Negocio

XXVI Saln de INFORMTICA

Gobierno de TI vs. Gestin de TI

XXVI Saln de INFORMTICA

El Gobierno de TI depende de unas buenas prcticas de Gestin de TI

Buenas Prcticas de Gestin de TI

XXVI Saln de INFORMTICA

Requerimientos del Negocio IT Service Delivery

XXVI Saln de INFORMTICA

Los pilares de una gestin exitosa de TI

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

Introduccin a los Estndares y Mejores Prcticas

XXVI Saln de INFORMTICA

Los Estndares y Mejores Prcticas

Es Y tnd M a Pr ejo res c re tic s as

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

ITIL / ISO 20000

XXVI Saln de INFORMTICA

ITIL / ISO 20000

Los procesos de entrega de servicio son:

XXVI Saln de INFORMTICA

ITIL / ISO 20000

ITIL / ISO 20000

Otros libros que conforman ITIL

XXVI Saln de INFORMTICA

ISO 17799 / 27002

ISO 17799 / 27002

Estndares y Mejores Prcticas

Seguridad, Continuidad del Negocio , Administracin de Riesgos: ISO/IEC17799 (ISO/IEC27002)

Gobierno, Control y Auditabilidad : COBIT

XXVI Saln de INFORMTICA

XXVI Saln de INFORMTICA

Qu es un marco de trabajo de Gobierno de TI?

Cmo soportan los estndares/mejores

Cmo soportan los estndares/mejores

XXVI Saln de INFORMTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Funciones Primarias del Gobierno de TI (y los estndares que las soportan)

XXVI Saln de INFORMTICA

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI

Cmo se debe hacer

XXVI Saln de INFORMTICA

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI (2)

XXVI Saln de INFORMTICA