Академический Документы
Профессиональный Документы
Культура Документы
Elsa Estevez Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur
2do. Cuatrimestre 2010
T. 2
Contenido
Introduccin a la Gobernabilidad de TI Herramientas de Gobernabilidad de TI - COBIT
T. 3
Agradecimientos
El material de este curso ha sido preparado en base a material del Center for Electronic Governance, en United Nations University International Institute for Software Technology (UNU-IIST) (http://www.egov.iist.unu.edu)
T. 4
Definiciones
La Gobernabilidad de TI es una disciplina subconjunto de la Gobernabilidad Corporativa enfocada en sistemas de TI, su desempeo y la gestin del riesgo. La Gobernabilidad de TI trata de especificar los derechos de decisin y el marco de responsabilidad para promover el comportamiento deseable en el uso de TI. [Weill y Ross]
Gobernabilidad de TI se refiere al liderazgo, las estructuras y procesos organizacionales que aseguran que las TI de la organizacin sostienen y extienden las estrategias y objetivos de la organizacin. [Instituto de Gobernabilidad de TI]
T. 5
Metas
Las metas primarias para la Gobernabilidad de TI son: 1) asegurar que las inversiones en TI generan un valor de negocio 2) mitigar los riesgos que estn asociados con las TI.
Esto se realiza mediante la implementacin de una estructura organizacional con roles bien definidos para la responsabilidad de la informacin, los procesos de negocio, las aplicaciones, la infraestructura, etc.
T. 6
Gestin de Activos de TI Gestin del Portafolio de TI Gestin de Infraestructura de TI y Arquitectura de la Empresa Estndares de TI Gestin del Programa y Gestin del Proyecto en el contexto de TI de la empresa (incluyendo la ingeniera de software) Gestin del Servicio de TI Gestin de la Seguridad de TI otros
6) 7) 8)
T. 7
Marcos de Soporte
Biblioteca de Infraestructura de TI (BITI) Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT) Un marco detallado con la informacin sobre cmo alcanzar el xito en la gobernabilidad. Desarrollado y mantenido por la Oficina de Comercio del Gobierno del Reino Unido [http://www.ogc.gov.uk] Enfoque para estandarizar la buena tecnologa de la informacin y controlar las prcticas. Proveer herramientas para acceder y medir el desempeo de los 34 procesos de TI de una organizacin. Desarrollado y mantenido por el Instituto de Gobernabilidad de TI . [http://www.itgi.org/] Conjunto de mejores prcticas a seguir por las empresas para implementar y mantener un programa de seguridad. Proceso basado en el modelo de madurez de gestin de la seguridad de la informacin [http://www.ism3.com]
ISO 27001 Gestin de la Seguridad de la Informacin Modelo de Madurez de la Seguridad (ISM3) AS8015-2005
T. 8
Gobernabilidad de TI
Cuatro preguntas: 1) Estamos haciendo las cosas correctas? 2) Estamos hacindolas de la forma correcta? 3) Estamos obtenindolas bien? 4) Estamos obteniendo los beneficios?
1)
2)
3)
4)
T. 9
Pregunta 1- Estrategia
La inversin de TI a) est en lnea con nuestra visin? b) es consistente con nuestros principios de negocio? c) est contribuyendo con nuestros objetivos estratgicos? d) est proveyendo el valor ptimo, a un costo posible de financiar, a un nivel de riesgo aceptable?
T. 10
Pregunta 2 - Arquitectura
La inversin de TI a) est en lnea con nuestra arquitectura? b) es consistente con nuestros principios arquitectnicos? c) est contribuyendo con la poblacin de nuestra arquitectura? d) est en lnea con otras iniciativas?
T. 11
Pregunta 3 - Entrega
Tenemos a) procesos de gestin efectivos y disciplinados, de gestn del cambio y entrega? b) recursos de negocio tcnicos disponibles y competentes para entregar: las capacidades requeridas, los cambios organizacionales requeridos para apalancar las capacidades?
T. 12
Pregunta 4 - Valor
Tenemos a) una comprensin clara y compartida de los beneficios esperados? b) responsabilidades claras para realizar los beneficios? c) mtricas relevantes para medir los beneficios? d) un proceso de realizacin de los beneficios efectivo?
T. 13
Contenido
Introduccin a la Gobernabilidad de TI Herramientas de Gobernabilidad de TI - COBIT
T. 14
COBIT
DEFINICION - Los Objetivos de Control para la Informacin y Tecnologa relacionada (COBIT, por sus siglas en ingls) es un conjunto de recursos que contiene toda la informacin que necesita una organizacin para adoptar un marco de control y de gobernabilidad de TI. EL COBIT fue creado por la Asociacin de Control y Auditora de Sistemas de Informacin (ISACA por sus siglas en ingls) y el Instituto de Gobierno de TI en 1992. 1996 1998 2000 2003 2005 2007 HISTORIA Primera edicin Segunda edicin Tercera edicin Edicin En lnea Cuarta edicin Versin 4.1 (disponible en www.isaca.org)
T. 15
Enfoque de COBIT
Alineacin Estratgica - alinea los negocios y planes de TI y de las operaciones de TI con las operaciones del negocio. Entrega de Valor - asegura que las TI entreguen los beneficios prometidos para la estrategia Gestin del Recurso - comprende la inversin ptima en/y la gestin apropiada de los recursos de TI crticos: aplicaciones, informacin, infraestructura y personas. Gestin del Riesgo - involucra la conciencia del riesgo y la introduccin de responsabilidades de la gestin del riesgo en la organizacin. Medicin del Desempeo - rastrea y monitorea la implementacin de la estrategia, la finalizacin del proyecto, el uso de recursos, el desempeo de procesos y la entrega de servicios.
T. 16
1) Requerimientos del negocio (metas) son el punto de inicio para el marco de gobernabilidad de TI del COBIT.
Informacin de la empresa
COBIT
2) El negocio requiere Informacin Recursos de de la Empresa para alcanzar TI sus metas de negocio. 3) Los servicios de TI que estn compuestos de Procesos de TI que son entregan la Informacin de la usados por Empresa requerida. 4) Los procesos de TI se ejecutan en base a un conjunto de Recursos de TI.
para llevar
Procesos de TI
T. 17
Requerimientos de Negocio
T. 18
Metas de TI y Arquitectura de TI
Toda organizacin usa TI para posibilitar iniciativas de negocio, las cuales pueden ser representadas como metas de negocio para TI.
T. 19
Recursos de TI
T. 20
Recursos de TI
COBIT identifica los siguientes recursos de TI: Aplicaciones Informacin Sistemas de usuario automatizados y procedimientos manuales que procesan la informacin Datos, en todas sus formas, insumo, procesados y resueltos por sistemas de informacin en cualquier forma usada por el negocio
Infraestructura Tecnologa y facilidades (e.g. hardware, sistemas operativos, conexin de redes, DBMS, facilidades de centros de datos) que posibilitan el procesamiento de las aplicaciones Personas Personal requerido para planear y organizar, adquirir e implementar, entregar y apoyar, monitorear y evaluar los servicios y sistemas de informacin
T. 21
Procesos de TI
T. 22
Procesos de TI
COBIT provee un modelo de proceso de referencia y un lenguaje comn para comprender y gestionar los servicios de TI. COBIT subdivide las elementos de TI en 4 dominios y 34 procesos: 1) Procesos de Planear y Organizar (PO) proveen una direccin para solucionar la entrega (AI) y la Entrega del Servicio (ES). 2) Procesos de Adquirir e Implementar (AI) provee soluciones y las pasa para convertirlas en servicios. 3) Procesos de Entrega y Soporte (ES) recibe soluciones y las hace utilizables para los usuarios finales. 4) Procesos de Monitorear y Evaluar (ME) monitorean todos los procesos para asegurar que la direccin provista es seguida
T. 23
Adquisicin e Implementacin
Entrega y Soporte
Monitoreo y Evaluacin
T. 24
Controles de Procesos de TI
COBIT provee un total de 318 objetivos de control para los 34 procesos de TI, los cuales proveen un conjunto completo de requerimientos de alto nivel para ser considerados por la gerencia para el control efectivo. Objetivos de Control: consisten en polticas, procedimientos, prcticas y estructuras organizacionales son designados para proveer un seguro razonable que los objetivos del negocio sern alcanzados y que los eventos indeseados sern prevenidos o corregidos son declaraciones de acciones gerenciales para incrementar el valor o reducir los riesgos La gestin debe: elegir qu controles son aplicables, cules sern implementados y cmo aceptar el riesgo de no implementar aqullos que son aplicables
T. 25
Identificacin de Controles
En COBIT, cada proceso de TI tiene una descripcin del proceso y un nmero de objetivos de control. Los objetivos de control son identificados por : una referencia de dominio - PO, AI, ES, ME un nmero de proceso, y un nmero del objetivo de control. Ejemplo: PO3.4 Estndares de Tecnologa PO 3 4 dominio Planear y Organizar proceso Determinar la Direccin Tecnolgica objetivo de control Estndares de Tecnologa
T. 26
Requerimientos de Control
Adicionalmente, para los objetivos de control especficos, cada proceso del COBIT tiene requerimientos de control genricos que estn identificados por un cdigo - CPn (nmero de control del proceso) .
CP1 Metas y objetivos definen y comunican metas y objetivos de procesos, de control orientados a resultados, realistas, accionables, y medibles, especficos para la ejecucin de cada proceso CP2 Propiedad del proceso CP3 Repetibilidad del Proceso asignan un propietario para cada responsabilidades claramente definidas proceso con
disea y establece cada proceso clave de TI de forma que sea repetible y consistentemente produzca los resultados esperados
CP4 Roles y define las actividades clave y entregables del proceso responsabilidades as como las responsabilidades para la ejecucin CP5 Poltica, planes y procedimientos define cmo la poltica, los planes y los procedimientos conducirn el proceso de TI
CP6 Mejoramiento del identifica un conjunto de mtricas que proveen los desempeo del resultados y desempeo del proceso proceso
T. 27
T. 28
Niveles de Madurez
0 Inexistente Carencia completa de cualquier proceso reconocible. La organizacin ha reconocido que hay un tema para ser dirigido. La organizacin ha reconocido que hay un tema para ser dirigido pero solo existen enfoques desorganizados y ad hoc.
1 2
Inicial/ Ad Hoc
Repetible pero Procedimientos similares son seguidos por gente diferente intuitivo emprendiendo la misma tarea, aunque no hay capacitacin formal y la responsabilidad recae en los individuos de quienes depende la organizacin Definido Los procedimientos han sido estandarizados y documentados as como ordenados y comunicados a travs de capacitacin. Los procedimientos en s mismos no estn optimizados. Hay monitores de gestin, medidas conforme a los procedimientos y se toman acciones correctivas si se requiere. Los procesos han sido refinados a un nivel de buena prctica, basados en resultados de mejoramiento continuo y comparacin con organizaciones pares.
4 5
T. 29
Inexistente 1) la entidad no reconoce la necesidad de seguridad de la TI 2) responsabilidades y rendiciones de cuenta no son asignadas para asegurar la seguridad 3) medidas que apoyan la gestin de la seguridad de la TI no han sido implementadas 4) no hay reporte de seguridad de la TI ni procesos de respuesta para las infracciones a la seguridad de la TI 5) hay un completo y reconocido proceso de administracin de sistemas
T. 30
T. 31
3) la informacin relacionada a la seguridad, la cual es producida por los sistemas, no es analizada 4) las polticas de seguridad estn siendo desarrolladas pero las habilidades y herramientas son inadecuadas 5) la capacitacin en seguridad est disponible fundamentalmente por la iniciativa de un individuo pero
6) la seguridad de la TI es vista fundamentalmente como la responsabilidad y del dominio de TI y el negocio no ve a las TI dentro de su dominio
T. 32
T. 33
T. 34
T. 35
La realizacin de la visin debe ser planeada, comunicada y gestionada. Una organizacin e infraestructura apropiadas deberan implementarse
Este dominio responde las siguientes preguntas de gestin: Estn las TI y la estrategia de negocio alineados? Est la empresa alcanzando el uso ptimo de sus recursos? Entiende todo el mundo en la organizacin los objetivos de las TI? Son los riesgos de las TI entendidos y estn siendo gestionados? Es la calidad del sistema de la TI apropiada para las necesidades de negocio?
T. 36
T. 37
T. 38
T. 39
T. 40
T. 41
Gestionado y cuando la gestin asegura el desarrollo y el mantenimiento del Medible plan de infraestructura tomando en cuenta el impacto del cambio y la emergencia de tecnologas Optimized cuando una funcin de investigacin existe para revisar tecnologas emergentes y en evolucin, y comparar la organizacin con otras organizaciones similares.
T. 42
T. 43
T. 44
T. 45
T. 46
T. 47
T. 48
T. 49
T. 50
Informacin de la Empresa
T. 51
Informacin de la Empresa
Efectividad La informacin debera ser relevante y pertinente para el negocio y entregada de una manera que sea utilizable, consistente, correcta y en el tiempo oportuno. La informacin debera ser provista a travs del uso ptimo de los recursos, i.e. costo productivo y econmico. La informacin debera ser precisa y completa as como vlida, de acuerdo a las expectativas y los valores del negocio La informacin debera estar disponible cuando la requiera el negocio, ahora o en el futuro. Tambin debe preocuparse por la seguridad de los recursos necesarios y las capacidades asociadas La informacin y los procesos de negocio deberan cumplir las leyes, normas, regulaciones y arreglos contractuales, considerando criterios impuestos externamente as como las polticas internas La informacin debera ser provista para que la gerencia pueda operar y ejecutar sus responsabilidades financieras y de gobernabilidad
Eficiencia
Disponibilidad
Conformidad
Fiabilidad
T. 52
Resumen
Introduccin a la Gobernabilidad de TI COBIT elementos del framework, dominios, 34 procesos y algunos ejemplos