1

Narcos de referencia para la

gestin de T!
Eduardo Poggi
eduardopoggi@yahoo.com.ar
Julio de 2006
2 2
Objetivos de la presentacin

Entender el por qu de los Narcos de Referencia.

vislumbrar la diversidad de Narcos de Referencia para la

gestin de T! y la relacin entre ellos.

Conocer los principales marcos.

Presentar algunas ideas y herramientas para analizar su

utilidad para distintos tipos de organizaciones.
3 3
Temario

Estado de situacin

!T Governance

COb!T

!T!L

!SO 17.799

CNN

Conclusiones
+
Estado de situacin
5 5
Logos, diplomas y cocardas .
6 6
The new datacenter
"These frameworks
(COB!T, !T!L, !SO17799
and CNN) were written
by different groups at
different times for
different reasons . . .
but each has
contributions to make to
the new (virtualized)
data center."
David Pultorak,
president of Fox !T
Network World, 02f21f05
7 7
Negocios y T!
Tras analizar los datos sobre la
inversin en T! y el desempeno
financiero de 350 corporaciones de
Estados Unidos, descubrieron que
fueron los consumidores los que se
quedaron con la mayor parte de los
beneficios econmicos derivados del
aumento de la productividad. De
hecho, los investigadores
encontraron indicios de que las
inversiones en !T a veces tendieron
a debilitar la rentabilidad
corporativa, y no a fortalecerla."
Nicholas Carr
200+
8 8
cEs importante la T!?
El gran peligro para los
gerentes es seguir creyendo
que tecnologia en si misma es
estratgica, que las
innovaciones en !T pueden dar
significativas ventajas
competitivas. Ese punto de
vista lleva a excesivas
inversiones, a asumir riesgos
innecesarios y luego, a la
decepcin."
Nicholas Carr
200+
9 9
Estado de situacin - cPor qu?

Nuchos casos de grandes inversiones en T! pero:

!nformacin poco util y dudosa.

!nversiones no alineadas -e incluso contraproducentes- a los

intereses del negocio.

Fugas de informacin sensible.

Creciente interrelacin T!-Negocio

10 10
Estado de situacin - cPor qu?

El problema de la T!:

cEsta haciendo las cosas correctas?

cLas esta haciendo correctamente?

cLas que estan hechas, estan bien hechas?

cEstamos recibiendo los beneficios?

11 11
Evolucin de los NR para la gestin de T!
12 12
Estado de situacin - Narcos de
Referencia

verticales: SOX, Basilea !!.

Nanagement: COSO (USA), CoCo (Canada), Cadbury

(Uk), GAAP.

Gestin de T!: COb!T, S!SA

Seguridad: BS7799, !SO17799, !SO27001f2

D8S: BS15000, SP!CE, !T!L, NOF

!ndicadores: BSC, !SO9000, SixSigma

Software: Tick!T, CNN-!, CNN-SW

Calidad: !SO 9000

Otros: TCO, PN!, .

13 13
Estado de Situacin - Ejemplos de NR para
la calidad del software
1+ 1+
Narcos de Referencia - Objetivos

Con un alcance amplio o especifico, todos los marcos

pretenden lograr el Gobierno de TI":

Dirigir: Alinear la gestin de T! al negocio

Crear: Asegurar la creacin de valor

Proteger: Administrar los riesgos

Actuar: Administrar el uso de los recursos

Nonitorear: Administrar el desempeno

15 15
Estado de situacin - Hechos

Existe una diversidad de Narcos de Referencia y de certificaciones

relacionadas a la Gestin de T!.

La diversidad, la falta de informacin y la propia industria aportan a

la confusin sobre su real utilidad.

Existen marcos generales y marcos especificos.

Los diferentes marcos se superponen en muchos aspectos pero se

complementan en otros.

No hay buenos mappings" entre los distintos marcos para analizar

la relacin entre ellos.

Es uno de los productos estrella de la industria de T! y la consultoria

relacioanda.

Hay una demanda creciente del mercado para su adopcin.

Hay casos de adopcin exitosos.

Hay casos de adopcin muy costosos.

16 16
Narcos de Referencia - Expectativas

Promover la visin de T! como proveedor de servicios

Fomentar el foco en el cliente

Posicionar T! en la cadena de valor

Estandarizar procesos

Nejorar la comunicacin Negocio-T! gracias a un

lenguaje comun
17 17
Narcos de Referencia - Expectativas

Lograr una gestin de T! Predecible:

Nejor calidad, funcionalidad y facilidad de uso

Entrega mas rapida de informacin

Nejora de los niveles de servicio

Disminucin de los costos

Garantias de continuidad
18 18
cPor qu las empresas los adoptan?
Forrester Research !nc, n=678
19 19
COB!T
Control OBjetives por
!nformation and
related Technologies
20 20
COB!T - Historia

Creado por !nformation Systems Audit and Control

Association con la participacin del !T Governance
!nstitute.

Abarca mas de 150 capitulos en 50 paises.

En 1992 comenz la actualizacin de los objetivos de

control de !SACA.

En 1996 present el primer marco de referencia para

la gestin de T!.

En 2000 se present la 3ra edicin de los manuales.

En diciembre de 2005 se presentaron los principales

manuales de la +ta versin.

Es el estandar de los organismos de control

gubernamentales.
21 21
COB!T - Nisin y visin

Misin: !nvestigar, desarrollar, publicar y promover un

conjunto de objetivos de control de T! rectores,
actualizados, internacionales y generalmente aceptados
para ser utilizados en la gestin cotidiana de T!.

Visin: Consolidarse como un lider mundialmente

reconocido en materia de gobierno, control y
aseguramiento de la gestin de T!.
22 22
COB!T - Productos

Sumario Ejecutivo:

Es un modelo."

Narco:

El modelo es."

Objetivos de control:

Los controles minimos son."

Pautas de Gestin:

Cmo se puede medir el desempeno."

Pautas de Auditoria:

Cmo se puede auditar."

!mplementacin:

Cmo se puede implementar."

QuickCOB!T:

Cmo empezar."
23 23
COB!T - Principios y conceptos
R
E
C
U
R
S
O
S
!
N
F
O
R
N
A
C
!
O
N
N
E
G
O
C
!
O
Procesos de
T!
R
E
C
U
R
S
O
S
Lo que se
obtiene
Lo que se
necesita
Planificacin y Organizacin
Adquisicin e !mplantacin
Entrega y Soporte,
Nonitoreo
Datos
Aplicaciones
Tecnologia
!nstalaciones
Personal
Eficacia
Eficiencia
Confidencialidad
!ntegridad
Disponibilidad
Cumplimiento
Confiabilidad
Vincular las expectativas de la Direccin con las responsabilidades
Gerenciales de TI
2+ 2+
Narco de referencia
Requerimientos de negocio
Criterios de informacin
Planificacin y
Organizacin
Adquisicin e
implementacin
Entrega y
soporte
Nonitoreo
Recursos
25 25
COB!T - Procesos

(+) Dominios: agrupan la responsabilidad dentro de una

estructura encuadrada en el ciclo de vida de los procesos
de T!.

(3+) Procesos: Serie de actividades vinculadas con cortes de control

naturales.

(318) Actividades y Tareas: necesarias para lograr un resultado

mensurable. Las actividades tienen un ciclo de vida mientras que
las tareas sin discretas.

Nivel de Nadurez

Factores Criticos de xito

!ndicadores de Clave de Desempeno

!ndicadores Clave de Neta

Guia para auditoria

26 26
COB!T - Dominios y Objetivos

PO1-Definicin de un plan estratgico.

PO2-Definicin de la arquitectura de la
informacin.

PO3-Determinacin de la direccin tecnolgica.

PO+-Definicin de la organizacin y las

relaciones de T!.

PO5-Administracin de la inversin en T!.

PO6-Comunicacin de los objetivos y directivas

de la gerencia.

PO7-Administracin de los recursos humanos.

PO8-Garantia de cumplimiento de los

requerimientos externos.

PO9-Evaluacin de riesgos.

PO10-Administracin de proyectos.

PO11-Administracin de la calidad.

A!1-!dentificacin de soluciones automatizadas.

A!2-Adquisicin y mantenimiento del software

de aplicacin.

A!3-Adquisicin y mantenimiento de la
infraestructura tecnolgica.

A!+-Desarrollo y mantenimiento de
procedimientos de T!.

A!5-!nstalacin y acreditacin de sistemas.

A!6-Administracin de cambios.

ES1-Definicin de Niveles de Servicio

ES2-Administracin de Servicios prestados por

Terceros

ES3-Administracin de Desempeno y Capacidad

ES+-Aseguramiento de Servicio Continuo

ES5-Garantizar la Seguridad de Sistemas

ES6-!dentificacin y Asignacin de Costos

ES7-Educacin y Entrenamiento de Usuarios

ES8-Apoyo y Asistencia a los Clientes de

Tecnologia de !nformacin

ES9-Administracin de la configuracin

ES10-Administracin de Problemas e !ncidentes

ES11-Administracin de Datos

ES12-Administracin de !nstalaciones

ES13-Administracin de Operaciones

NO1-Nonitoreo del Proceso

NO2-Evaluar lo adecuado del Control !nterno

NO3-Obtencin de Aseguramiento
!ndependiente

NO+-Proveer Auditoria !ndependiente

Planificacin y Organizacin Entrega y Servicio
Adquisicin e !mplantacin
Nonitoreo
27 27
COB!T - Ejemplo:
PO2 - Arquitectura de la informacin

Requerimiento de negocio:

Organizar los S! de la manera mas adecuada.

Realizarse por medio de:

Creando y manteniendo un modelo de informacin de negocio y

la definicin de los sistemas adecuados a fin de optimizar el uso
de la informacin.

Utilizando como recursos:

Aplicaciones y Datos

Afectando a los criterios de informacin:

Efectividad

Eficiencia, Confidencialidad e !ntegridad

28 28
COB!T - Ejemplo:
PO2 - Arquitectura de la informacin

Objetivos de control:

Nodelo de arquitectura de la informacin:

. crear y mantener actualizado un modelo de arquitectura de la

informacin que incluya el modelo de datos corporativo y la relacin
con los sistemas de informacin."

Diccionario de datos corporativos y reglas de sintaxis de los

datos.

Esquema de clasificacin de datos.

Niveles de seguridad.
29 29
COB!T - Ejemplo:
PO2 - Arquitectura de la informacin

Considerar los Factores Criticos de xito:

Los estandares de la arquitectura de la informacin se

documentan, se comunican y se cumplen.

La responsabilidad sobre los datos esta asignada y aceptada

Se mide con los !ndicadores de Clave de Desempeno:

Cantidad de cambios en las aplicaciones realizados para realinear

el modelo de datos

Cantidad de incidentes de aplicaciones y sistemas causados por

incoherencias en el modelo de datos.

Se mide contra los !ndicadores Clave de Neta:

Desarrollo mas rapido de las aplicaciones

Reduccin de la redundancia de datos

Nayor interoperabilidad entre sistemas y aplicaciones

30 30
COB!T - Nadurez de los procesos
1-!nicial
2-Repetible
3-Definido
+-Nanejado
5-Optimizado
Administracin del
proceso
Formalizacin del
proceso
Nonitoreo del
proceso
Automatizacin de
las mejores practicas
Disciplinado
Estandarizado y
consistente
Previsible
Nejora continua
Fuera de control
Bajo control
Nejorado
31 31
COB!T - Nadurez de los procesos
0-!nexistente
1-!nicial
2-Repetible
3-Definido
+-Administrado
5-Optimizado
- Estado actual de la
empresa
- Estandares internacionales
- Practicas de la industria
- Estrategia corporativa
Nivel
minimo
razonable-
mente
adecuado.
B
r
e
c
h
a
32 32
COB!T - Brecha
0
2
4
6
PO1
PO2
PO3
PO7
PO9
A!1
A!2 A!5
ES1
ES+
ES5
ES10
N1
Real Deseable
33 33
COB!T - Conclusiones

Cubre todos los procesos de T!.

Orientado a: cQu hacer?

Define un nivel de madurez estandarizado para todos los

procesos.

Exige procedimientos, responsables y registros.

Define controles.

Define mtricas e indicadores.

Determina una herramienta y un lenguaje comun para

las areas de negocio, T! y de control.
3+ 3+
!T!L
!nformation
Technologies
!nfraestructure
Library
35 35
!T!L - Origen

En 1987, la OGC (Office of Government Commerce) del

gobierno britanico, inici un proyecto llamado G!T!NN
(Government !T !nfrastructure Nanagement Nethod).

Comision a varias firmas de consultoria para investigar

y documentar las mejores practicas de planificacin y
operacin de la infraestructura de !T.

El sector privado se interes rapidamente y antes de la

primera publicacin del libro Help Desk", G!T!NN se
transform en !T!L.
36 36
!T!L - cQu es?

Una seria de libros con las mejores practicas de !T.

Narco de referencia de dominio publico.

Probado empiricamente.

Esta bajo constante desarrollo.

Es soportado por herramientas.

Es el estandar de facto mundial para Administracin de Servicios de

!T.

Utilizado por la mayoria de los grandes data-centers de mundo.

!T!L Complaint" en un slogan utilizado por el software especifico.

Tiene su propio grupo de usuarios internacional (!T Service

Nanagement Forum).

Funcional a la certificacin !SO 9000.

Base para la certificacin !SOf!EC 20000.

37 37
!T!L - Libros
38 38
The big picture" of !T!L Processes
39 39
!T!L - Libros

!T!L Service Delivery

!T!L Service Support

!T!L !CT !nfrastructure

Nanagement

!T!L Planning to
!mplement Service
management

!T!L Software Asset

Nanagement

!T!L Security Nanagement

!T!L Applications
Nanagement
+0 +0
Security Nanagement

!ncorpora los conceptos y consideraciones de seguridad

dentro de cada proceso y en cada aspecto de la
administracin de los servicios en los niveles: operativo,
tactico y estratgico

Tienen en cuenta la estrategia de seguridad y los

requerimientos que forman parte de los SLA.
+1 +1
Application Nanagement

Se focaliza en la interfase entre el desarrollo de

aplicaciones y su puesta produccin.

!ncorpora al desarrollo los requerimientos no funcionales

de: operacin , administracin, control y SLA.

!ntenta asegurar la estabilidad del ambito de produccin.

+2 +2
Business Prepective

Administracin de la continuidad del negocio

Nanejo de Alianzas y Outsourcing

Supervivencia al cambio

Transformacin del negocio a travs del cambio.

+3 +3
Financial Nanagement

Administracin y control de los recursos financieros

asociados a !T.
++ ++
Service support

Service Desk: Unico punto de contacto entre el usuario

y !TSN, provee la interfaz con el resto de los procesos.

Incident Manae!ent: Restaura la operacin normal

de servicio tan pronto como sea posible, minimizando la
interruprcin.

"roble! Manae!ent: Ninimiza los efectos adversos

sobre el negocio de los incidentes y problemas causados
por errores en la infraestructura, previniendo
proactivamente la ocurrencia de stos.
+5 +5
Service Support

#$ane Manae!ent: Asegurar mtodos y procesos

estandares para el manejo eficiente de todos los cambios
para minimizar el impacto en el servicio.

Release Manae!ent: Asegurar que todos los

aspectos de una nueva versin son considerados y que
slo los mdulos autorizados estan en uso.

#on%iuration Manae!ent: Controlar la

infraestructura de IT asegurando que solo el H&S
autorizado est en uso.
+6 +6
Service Delivery

Service &evel Manae!ent: Nantiene y mejora la

alineacin de los servicio de !T al negocio a travs de un
ciclo constante de acuerdo, monitoreo, reporte y
revisin.

'inancial Manae!ent: Provee una efectiva

administarcin de costos y recursos financieros.

#apacit( Manae!ent: Tiene como objetivo entender

los requerimiento del negocio, la organizacin y la
infraestructura para asegurar que la capacidad actual y
futura sean provistas eficientemente.
+7 +7
Service delivery

#ontinut( Manae!ent: Tiene como objetivo

soportar la continuidad del negocio respecto de las
facilidades tcncias y servicios de !T.

)vailabilit( Manae!ent: Tiene como objetivo

optimizar la capacidad de la infraestructura de !T y la
organizacin del soporte para entregar los servicios al
costo y con la calidad establecidos.
+8 +8
!T!L - Ejemplo
+9 +9
!T!L - Ejemplo

6 Problem Nanagement

6.1 Goal of Problem Nanagement

6.2 Scope of Problem Nanagement

6.3 Basic concepts

6.+ Benefits of Problem Nanagement

6.5 Planning and implementation

6.6 Problem control activities

6.7 Error control activities

6.8 Proactive Problem Nanagement

6.9 Providing information to the support organisation

6.10 Netrics

6.11 Roles within Problem Nanagement

50 50
!T!L - Ejemplo
51 51
!T!L - Ejemplo

Tips:

Assign an impact code to all Problems at the earliest

opportunity. When this has been done, it is important to make
all Problems subject to a managed staff-assignment process
before detailed investigations begin.

The person assigned assumes responsibility for the Problem and

becomes the focal point for all communications and for
coordinating resolution activity on that Problem.

Schedule effort according to impact, with major Problems

receiving immediate attention. Nake certain this resource-control
process allows for low-impact Problems that have exceeded their
specified time threshold.
52 52
!ncidentes y Problemas

Incidente: Cualquier evento que no es parte de la

operacin estandar de un servicio y que causa, o puede
causar, una interrupcin de ese servicio o una
disminucin de la calidad del mismo.

"roble!a: Causa subyacente y desconocida de uno o

mas incidentes.
53 53
!T!L - Gestin integrada de servicios
Configuratio
n
Service
Level
Problem
Service
Des
Caller
C!ange
"& I #$$rove
Im$lement
S$ecia
list
Lograr que los usuarios
finales vuelvan a ser
productivos lo mas rapido
posible
Gestin de los elementos de
configuracin relevantes
dentro de la infraestructura
de !T
!mplementar cambios con el
minimo impacto para los
usuarios y a un costo eficaz
Crear un entrono estable.
Proveer los servicios de !T
requeridos por el Cliente a
un nivel acordado
5+ 5+
!T!L - Conclusiones

Esta basado en "Best Practices

ampliamente difundidas.

Fundamentalmente orientado a
D8S.

Foco en el ccmo hacer?

!T!L Certified" es un slogan

necesario para un Data Center.

!T!L Compliant" esta

instaurado como marca.

Basado en gestin por procesos.

Establece prioridades para la

implementacin.

!ndependiente de la industria,
de los proveedores y de la
tecnologia.
55 55
!SO 17.799
NORNA !RAN-!SO
!EC 17799, 2002
Tecnolo*a de la in%or!acin
Cdigo de practica para la
administracin de la
seguridad de la informacin
56 56
!SO 17.799 - Origen

Cdigo de practica para la administracin de la

seguridad de la informacin"

BS7799 del Estandar Britanico.

En espanol: !RAN-!SO 17.799 (!RAN)

Reconvirtindose en la 27001f2 para el 2006.

57 57
!SO 17.799 - cQu es?

Cdigo de practica para la administracin de la seguridad

de la informacin.

Entendiendo que: . confidencialidad, integridad y

disponibilidad de la informacin son esenciales para
mantener la ventaja competitiva, el flujo de fondos, la
rentabilidad, el cumplimiento de las leyes y la imagen
comercial.

Es el estandar de facto mundial para las normas y

procedimientos de Seguridad de la !nformacin.

Utilizado por la mayoria de los grandes organizaciones

del mundo.
58 58
!SO 17.799 - Contenido

3 POLT!CA DE SEGUR!DAD

+ ORGAN!ZAC!ON DE LA SEGUR!DAD

+.1 !nfraestructura de seguridad de la informacin

+.2 Seguridad frente al acceso por parte de terceros

+.3 Tercerizacin

5 CLAS!F!CAC!ON Y CONTROL DE ACT!vOS

6 SEGUR!DAD DEL PERSONAL

7 SEGUR!DAD FS!CA Y ANB!ENTAL

8 GEST!ON DE CONUN!CAC!ONES Y OPERAC!ONES

8.7 !ntercambios de informacin y software

8.7.1 ACUERDOS DE !NTERCANB!O DE !NFORNAC!ON Y SOFTWARE

9 CONTROL DE ACCESOS

10 DESARROLLO Y NANTEN!N!ENTO DE S!STENAS.

11 ADN!N!STRAC!ON DE LA CONT!NU!DAD DE LOS

NEGOC!OS

12 CUNPL!N!ENTO
59 59
!SO 17.799 - Ejemplo: 8.7.1 Acuerdos de
intercambio de informacin y software

Se deben establecer acuerdos, algunos de los cuales pueden ser formales,

incluyendo los acuerdos de custodia de software cuando corresponda, para el
intercambio de informacin y software (tanto electrnico como manual) entre
organizaciones. Las especificaciones de seguridad de los acuerdos de esta indole
deben reflejar el grado de sensibilidad de la informacin de negocio involucrada. Los
acuerdos sobre requisitos de seguridad deben tener en cuenta:

responsabilidades gerenciales por el control y la notificacin de transmisiones, envios y

recepciones ;

procedimientos de notificacin de emisor, transmisin, envio y recepcin;

estandares tcnicos minimos para armado de paquetes y transmisin;

estandares de identificacin de mensajeros (courier");

responsabilidades y obligaciones en caso de prdida de datos

uso de un sistema convenido para el rotulado de informacin critica o sensible, garantizando

que el significado de los rtulos sea inmediatamente comprendido y que la informacin sea
adecuadamente protegida;

informacin sobre la propiedad de la informacin y el software, y responsabilidades por la

proteccin de los datos, el cumplimiento del "derecho de propiedad intelectual" del software y
consideraciones similares (ver 12.1.2 y 12.1.+) ;

estandares tcnicos para la grabacin y lectura de la informacin y software ;

controles especiales que pueden requerirse para proteger items sensibles, como las claves
criptograficas (ver 10.3.5).
60 60
!SO 17.799 - Conclusiones

Estandar de facto.

Orientado al cqu hacer?

Nucho material externo relacionado para lograr el

ccmo?"
61 61
CNN
Capability
Naturity Nodel
62 62
CNN

Creado por el Software Engineering !nstitute en 1993.

SE CNN (System Engineering) - con arquitectura estilo !SO

1550+ y conceptos basados en TQN (Administracin de la
Calidad Total).

SA CNN (Software Acquisition)

P CNN (People)

!PPD CNN (!ntegrated Producto and Process Development)

Oct. 1997 - Cambio en prioridades CNN! (!ntegration)

!ntegrar SE y SW CNN, compatibilidad con !SOf!EC TR 1550+

Basado en SE CNN y SW CNN Borrador 2C

primer versin en 2000

63 63
CNN - Propsito

Guiar a las organizaciones en la seleccin de estrategias

de mejora, determinando la madurez del proceso actual
e identificando puntos importantes a atacar para mejorar
tanto el proceso como la calidad de software
6+ 6+
CNN - Disciplinas

!ngenieria de Software (SW)

aproximacin sistematica, disciplinada y cuantificable al

desarrollo, operacin y mantenimiento de software

!ngenieria de sistemas (SE)

transformacin de necesidades, expectativas y limitaciones en

soluciones de producto asi como su soporte a lo largo del ciclo
de vida

Desarrollo integrado de producto y proceso (!PPD)

Aproximacin sistematica al desarrollo del producto en

colaboracin constante con todas las partes afectadas
65 65
SW-CNN - Alcance
66 66
CNN - Conclusiones

Un clasico" mundialmente aceptado para ordenar el

proceso de desarrollo de software.

CNN Level X" es un slogan necesario para una Factory

Software.

Debe complementarse con metodologias especificas

(RUP, XP).

Primeras evidencias de costofbeneficio.

67
Tips,
comentarios generales
y conclusiones
68 68
Napping
69 69
Costos
#osto de
orani+acin
#osto de
operacin
#osto total
N
i
n
i
m
o
70 70
Analisis cualitativo de riesgos
El producto final
del proyecto es
totalmente
inutilizable
La reduccin de
la calidad es
inaceptable para
el cliente
La reduccin de
calidad requiere
aprobacin del
cliente
Slo
aplicaciones
muy exigente
son afectadas
Disminucin de
la calidad
apenas
apreciable
#alidad
El producto final
del proyecto es
totalmente inutil
La reduccin del
alcance es
inaceptable para
el cliente
Areas principales
del alcance son
afectadas
Afectan areas
secundarias
del alcance
Disminucin del
alcance apenas
apreciable
)lcance
Atraso del
cronograma >
20
Atraso general
en el proyecto
de 10-20
Atraso general en
el proyecto 5-
10
Atraso en
tiempo < 5
Atraso
insignificante
de tiempo
Tie!po
> 20 de
incremento en el
costo
10-20 de
incremento en el
costo
5-10 de
incremento en el
costo
< 5de
incremento
del costo
!ncremento
insignificante
del costo
#osto
Mu( alto
,-
)lto
,4
Moderado
,2
.a/o
,0
Mu( ba/o
0,01
Riesgo de
procesos
71 71
Natriz de la probabilidad de impacto
0,-0 0,40 0,20 0,00 0,01 "er/uicio
0.08 0.0+ 0.02 0.01 0.01 0,0
0.2+ 0.12 0.06 0.03 0.02 0,2
0.+0 0.20 0.10 0.05 0.03 0,1
0.56 0.28 0.1+ 0.07 0.0+ 0,3
0.72 0.36 0.18 0.09 0.05 0,4
#ali%icacin del rieso 5 "xI "robabilidad
Riesgo Bajo
Riesgo moderado
Riesgo alto
72 72
Tener muy claros los obejtivos
cDnde estamos?
cAdnde queremos ir?
cCmo hacemos para llegar?
cCmo nos mantenemos?
Cuando no
sabemos a
donde
queremos ir,
todos los
vientos son
buenos"
73 73
Certificaciones

Se pueden certificar personas o

organizaciones, sub-organizaciones,
procesos y productos.

Dualidad, se tiene o no.

Es una foto.

En algunos contextos son necesarias,

por lo menos para el marketing.

Hay mucho debate.

Son un excelente negocio para las

empresas certificadoras.
7+ 7+
Recomendaciones tcnicas
Forrester Research !nc n=67+
75 75
Recomendaciones tcnicas

Establecer objetivos institucionales basandose en COB!T.

Realizar un analisis de brecha, establecer prioridades y determinar

objetivos de mediano plazo.

Elaborar y ejecutar proyectos de mejora concretos basandose en los

marcos especificos.

Para la implementacin complementar, por ejemplo:

!T!L para D8S de los servicios

SW-CNN para el proceso de desarrollo y adquisicin

!SO 17.799 para seguridad

PN! para la administracin de proyectos

PES para planificacin estratgica

RO!, TCO para evaluar la apropiacin de tecnologia

Toda implementacin debe estar acompanada por un proyecto

organizacional de gestin de cambio.
76 76
Aporte de diferentes marcos
A
d
m
i
n
i
s
t
r
a
r

S
e
r
v
i
c
i
o
s
A
d
q
u
i
s
i
c
i

d
e

a
p
l
i
c
a
i
c
o
n
e
s
S
e
g
u
r
i
d
a
d

d
e

!
T
A
d
m
i
n
i
s
t
r
a
c
i

d
e

P
r
o
y
e
c
t
o
s
A
d
m
i
n
i
s
t
r
a
c
i

d
e

l
a

c
a
l
i
d
a
d
Operaciones
Gobierno de T!
COB!T
COSO
!T!L
!SO20000
!SO17799
!SO27000
CNN!
PN!
!SO9000
SOX
Basilea !!
77 77
Comentarios

La consultoria y las certificaciones son un muy buen negocio,

especialmente para los consultores especializados y los organismos
de certificacin.

Es una nueva moda tecnolgica", por lo tanto, en algunas

situaciones, si no se las adopta se queda fuera de lugar".

En varias circunstancias son exigidas por agentes externos a las

organizaciones.

En general, con slo una, no basta.

Se presentan como fundamentales ante la necesidad del partnership

o outsourcing.

Existe software para su administracin y mucha oferta de

consultoria.
78 78
Comentarios

Hay muchas hfh de profesionales de todo el mundo dedicadas a

pensarlos, definirlos y mejorarlos.

Establecen claras responsabilidades y definen un marco de

referencia y un lenguaje comun para la Direccin, los usuarios, la
Gestin de T! y las areas de control.

Aportan buenas practicas probadas y documentadas.

Usadas inteligentemente pueden ayudar (y mucho) a ordenar y

optimizar la gestin.

Las propiedades de un proceso no son predictivas de la calidad del

producto resultante.

Tener todos los procesos escritos, aplicarlos metdicamente y

medirlos; no aseguran la calidad del resultado; pero ayudan a ser
predecibles.
79 79
Recomendaciones personales

Si algo ya fue pensado por otros, no lo desprecie.

Lo que ha funcionado para otros, probablemente nos funcione bien

a nosotros; o no.

Nada es bueno per se.

Adoptar modas, tiene un costo; no adoptarlas, tambin.

Ser muy criticos y criteriosos en toda apropiacin de tecnologia.

La apropiacin de tecnologia no es un problema tecnolgico.

Alguien debe mirar el bosque.

Si no sabemos a donde queremos ir, el azar nos va a guiar..

Paciencia.

Sin fuertes cambios culturales y organizativos (especialmente en

sociedades anmicas como la Argentina) su implementacin es inutil
y cara.
80 80
Comentarios finales

La T! per se no aporta valor, es el uso apropiado que

hacemos de ella lo que puede potenciar nuestro negocio.

Hoy por hoy, definir, implementar, monitorear y mejorar

los procesos de T! que soportan a los procesos de
negocio, es la mejor manera de agregar valor.

En tecnologia no hay verdades reveladas." (mi jefe)

81 81
Referencias

!T Governance: www.itgi.org

COB!T : http:ffwww.adacsi.org.arf

!T!L:

http:ffwww.ogc.gov.uk

http:ffwww.itsmf-argentina.com.arf

http:ffwww.pinkelephant.com

CNN: http:ffwww.sei.cmu.edufcmmifcmmi.html

!SO: http:ffwww.iram.com.ar

PN!: http:ffwww.pmi.orgf

SLA:

http:ffwww.sla-world.comf

http:ffwww.service-level-agreement.netf

!BN Tivoli Unified Process: www.ibm.com

82
Nuchas gracias!
Eduardo Poggi
eduardopoggi@yahoo.com.ar