Alineamientos marcos

de control y gestion

Tomás Arroyo Salido - CISA

Correo - tomas.arroyo@tele2.es
tomas.arroyo2@grupobbva.net

© 2007 Copyright - Tomás Arroyo

 Quien es quien?

ITIL estandariza procesos

con un claro enfoque a la Gestión del Servicio –
Entregables.

ISO 17799 – Normativa – estándar de SEGURIDAD

DE LA INFORMACIÓN

COBIT Proporciona un Enlace Claro entre los

Requerimientos del Gobierno de TI, los Procesos de TI
y los Controles de TI

© 2007 Copyright - Tomás Arroyo

 ITIL estandariza procesos
con un claro enfoque a la Gestión del
Servicio – Entregables.

ITIL 10 procesos,

Procesos de soporte

1. Gestión de la Configuración (Configuration Management).

2. Gestión de Incidencias (Incident Management).Service Desk
3. Gestión de Problemas (Problem Management).
4. Gestión de Cambios (Change Management).
5. Gestión de la Distribución (Release Management).

Procesos de entrega de servicios

6. Gestión de la Capacidad (Capacity Management).

7. Gestión de la Disponibilidad (Availability Management).
8. Gestión de la Continuidad (Continuity Management).
9. Gestión Financiera (Financial Management).
10. Gestión del Nivel de Servicio (Service Level Management).

© 2007 Copyright - Tomás Arroyo

 ISO 17799 – Normativa - estandard
SEGURIDAD DE LA INFORMACIÓN

1. Política de Seguridad

2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
© 2007 Copyright - Tomás Arroyo
 COBIT Proporciona un Enlace Claro entre los
Requerimientos del Gobierno de TI, los
Procesos de TI y los Controles de TI
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
PO1 Definir un plan estratégico
de TI.
PO2 Definir la arquitectura de
información.
ME1 Monitorear y Evaluar el PO3 Determinar la dirección
desempeño de TI. MARCO DE REFERENCIA tecnológica.
ME2 Monitorear y Evaluar el C O B I T PO4 Definir los procesos de TI,
control interno. INFORMACION la organización y sus
ME3 Garantizar el relaciones.
cumplimiento PO5 Administrar las inversiones
Eficiencia Integridad
regulatorio. en TI.
ME4 Proveer Gobierno de TI. Efectividad Disponibilidad PO6 Comunicar la dirección y
Cumplimiento Confidencialidad objetivos de la gerencia.
Confiabilidad PO7 Administrar los recursos
DS1 Definir y administrar niveles PLANEACIÓN humanos de TI.
MONITOREAR
de servicio. Y Y PO8 Administrar calidad.
DS2 Administrar servicios de EVALUAR ORGANIZACIÓN PO9 Evaluar y administrar
terceros. RECURSOS riesgos de TI.
DS3 Administrar desempeño y DE PO10 Administrar proyectos.
TI
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
Aplicaciones
sistemas. Información AI1 Identificar soluciones de
DS6 Identificar y asignar costos. Infraestructura automatización.
DS7 Educar y capacitar usuarios. Personas AI2 Adquirir y mantener
DS8 Administrar servicios de ENTREGA ADQUISICIÓN software de aplicación.
apoyo e incidentes. Y E AI3 Adquirir y mantener la
DS9 Administrar la configuración. SOPORTE IMPLEMENTACIÓN infraestructura tecnológica.
DS10 Administrar problemas. AI4 Permitir la operación y uso.
DS11 Administrar datos. AI5 Obtener recursos de TI.
DS12 Administrar el ambiente AI6 Administrar cambios.
físico. AI7 Instalar y acreditar
DS13 Administrar operaciones. soluciones y cambios.

© 2007 Copyright - Tomás Arroyo

 ¿Qué entendemos por Control? Definición

Conjunto de estructuras, políticas y procedimientos

que permiten:

• Verificar el cumplimiento de los objetivos y

estrategias de gestión fijados por la Dirección
Definición
de control • Conocer y gestionar los riesgos a los que está
expuesta la entidad

© 2007 Copyright - Tomás Arroyo

 Entorno y Objetivos de Control

Control
Se define como las políticas, procedimientos, prácticas e infraestructuras organizativas,
diseñadas para garantizar razonablemente, que los objetivos de negocio se llevarán a cabo,
y que las incidencias no deseadas se pueden prevenir o detectar y corregir. (COSO 1992)

Objetivo de control de TI
Se define como el propósito o resultado que se desea alcanzar, mediante la implantación
de procedimientos de control para una actividad de TI específica.

© 2007 Copyright - Tomás Arroyo

 Definición

COBIT, ITIL e ISO 17799 son normativas valiosas

para el crecimiento y éxito de una organización
por las siguientes razones:

© 2007 Copyright - Tomás Arroyo

 Definición

-- Los directivos empresariales y los consejos de

administración exigen mejores beneficios de las
inversiones en TI.
-- Las mejores prácticas ayudan a cumplir los
requisitos reglamentarios de los controles de las TI
en áreas como la confidencialidad y la preparación
de informes financieros.
-- Las organizaciones se enfrentan a riesgos
relacionados con las TI, tales como la seguridad de
la red.
-- Las organizaciones pueden optimizar los costes
siguiendo enfoques normalizados.

© 2007 Copyright - Tomás Arroyo

 Como las normas trabajan conjuntamente Definición

-- Las mejores prácticas ayudan a las

organizaciones a evaluar su rendimiento en
comparación con normas aceptadas generalmente
y por sus compañeros.

-- Utilizando COBIT como un marco de control

general para la gestión de las TI, e ITIL e ISO
17799 proporcionan procesos normalizados
pormenorizados.
Los 34 procesos de TI de COBIT y los objetivos de
control de alto nivel se mapean en secciones de
ITIL y de ISO 17799.

© 2007 Copyright - Tomás Arroyo

 Informe COSO, notas

Control interno, es una expresión que utilizamos con el fin de describir las acciones adoptadas por los
directores de entidades, gerentes o administradores, para evaluar y monitorear las operaciones en sus
entidades. Por ello, a fin de lograr una adecuada comprensión de su naturaleza y alcance.

Definición de control interno

Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la entidad, para
proporcionar seguridad razonable, respecto a sí están lográndose los objetivos siguientes:
•Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios
•Proteger y conservar los recursos contra cualquier pérdida, despilfarro, uso indebido, irregularidad
o acto ilegal;
•·Cumplir las leyes, reglamentos y otras normas gubernamentales,
•· Elaborar información financiera válida y confiable, presentada con oportunidad;
•· Promoción de la efectividad, eficiencia y economía en las operaciones y la calidad en los
servicios.
Este objetivo se refiere a los controles internos que adopta la administración para asegurar que se
ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia y economía. Tales controles
comprenden los procesos de planificación, organización, dirección y control de las operaciones en los
programas, así como sistemas para medir el rendimiento y monitorizar las actividades ejecutadas.
La efectividad tiene relación directa con el logro de los objetivos y metas programados, en tanto que la
eficiencia se refiere a la relación existente entre los bienes y servicios producidos y recursos utilizados
para producirlos y su comparación con un estándar de desempeño establecido. La economía, se
relaciona con la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y
oportuna entrega, al mínimo costo posible.

© 2007 Copyright - Tomás Arroyo

 COBIT proporciona un marco de referencia
para el Gobierno de TI

COBIT ayuda a salvar las brechas entre los riesgos del negocio, las
necesidades de control y los asuntos técnicos. Provee buenas
prácticas a través de un marco de referencia de dominios y procesos y
presenta actividades en una estructura administrable y lógica.

COBIT:
 Parte de los requerimientos del negocio
 Es orientado a procesos, y organiza las actividades de TI en un modelo de
procesos generalmente aceptado
 Identifica los principales recursos de TI que deben ser potencializados
 Define los objetivos de control administrativos a ser considerados
 Incorpora los principales estándares internacionales
 Se ha convertido en el estándar de facto para el control general de TI

Los recursos de TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
© 2007 Copyright - Tomás Arroyo
 Cómo ayuda COBIT a implementar un
Gobierno de TI Efectivo?

 Posibilita mapear las metas de TI a las metas

del negocio y viceversa
 Mejor alineación, basada en un enfoque del
negocio
 Una visión, comprensible para la
administración, de lo que es TI
 Claridad en la propiedad y responsabilidades,
basada en una orientación a procesos
 Aceptabilidad general con terceras partes y
reguladores
 Entendimiento compartido entre todos los
involucrados, basado en un lenguaje común
 Cumplimiento de los requerimientos de COSO
para el ambiente de control de TI

© 2007 Copyright - Tomás Arroyo

 COBIT y otros Marcos de Referencia de
Administración de TI

Las organizaciones deberán considerar y usar una variedad de modelos,

estándares y mejores practicas de TI – por lo tanto asegúrese de que entiende
esto con el fin de considerar como pueden usarse juntos, con COBIT
actuando como consolidador (“Sombrilla”) e.g.

COSO

COBIT

ISO 17799

ISO 9000
QUE ITIL COMO

CAMPO DE COBERTURA

© 2007 Copyright - Tomás Arroyo

 Dónde encajar

CONFORMIDAD
Directrices DESEMPEÑO: Basilea II, Sarbanes-
Metas del negocio Oxley Act, etc

Balanced Scorecard
“Gobierno Corporativo” COSO

“Gobierno de TI” COBIT

ISO ISO ISO

Estándares de mejores prácticas 9001:2000 17799 20000

Procedimientos Principios
Procesos y Procedimientos de ITIL
de QA
Seguridad

© 2007 Copyright - Tomás Arroyo

 Adoptando el marco de referencia de COBIT

COBIT se usa mejor como un marco de referencia amplio

de TI y como un conjunto de mejores prácticas y recursos
de alto nivel
Otros estándares y mejores prácticas complementan
COBIT y pueden trabajar con COBIT
Es mejor tener una directriz rectora del negocio y la
administración para un efectivo Gobierno de TI y una
administración de TI que sólo tener COBIT por si mismo.
COBIT es un “toolkit” facilitador

© 2007 Copyright - Tomás Arroyo

 Como las normas trabajan conjuntamente Definición

ITIL® es un conjunto de buenas prácticas más aceptado

y utilizado en el mundo, extraido de organismos del
sector público y privado que están a la vanguardia
tecnológica a nivel internacional. ITIL® es aplicable a
todo tipo de organización en todo el mundo debido a que
han experimentado una creciente dependencia en los
servicios informaticos de calidad.
Fue desarrollado por la actual Office of Government
Comerce (OGC) del gobierno británico durante los años
ochenta, ITIL® propone una terminología éstandar
independiente de la industria y la tecnología, que nos
define "que hacer" y "que no hacer" al interior de una
organización que aplica la administración de servicios de
la TI.

© 2007 Copyright - Tomás Arroyo

 Como las normas trabajan conjuntamente Definición

ITIL es para certificar personas, no organizaciones.

ITIL certifica a directores y profesionales.
No se puede hablar de un producto con certificación
ITIL ni de conformidad con ITIL.
Sin embargo, lo que se dice es que si una
organización quiere alcanzar un estándar, es más
fácil hacerlo con ITIL.
ITIL tiene que ver con la implementación de un
cambio cultural. Se implementa una nueva manera
de hacer negocios. No es un producto ni paquete
sw.
ITIL y Cobit en conjunto, es un gran paso hacia la
conformidad con Sarbanes-Oxley y Basilea II. Pero,
nuevamente, ITIL no arreglará los problemas ni
garantizará esa conformidad. Se necesita una
auditoria externa para eso, pero es un gran paso
adelante.

© 2007 Copyright - Tomás Arroyo

 Como las normas trabajan conjuntamente
Definición

“COBIT e ITIL no son mútuamente excluyentes y

pueden ser combinados para proporcionar un sólido
framework de gobierno TI y de control y mejores
prácticas en gestión de servicios TI. Empresas que
deseen colocar su programa ITIL en un contexto más
amplio de un framework de control y gobierno deberían
utilizar COBIT.”

Gartner research note, Junio 2002

© 2007 Copyright - Tomás Arroyo

 Introducción

DEFINICIÓN

Cualquier actividad, tarea o procedimiento que

CONTROL permite conocer, gestionar, seguir, reducir y/o
mitigar el riesgo al cual está expuesta la entidad

IMPORTANTE
Los controles están integrados dentro de la operativa y
procesos diarios desarrollados por la entidad, por eso es
importante, abstraerse de esta operativa y poder pensar de
forma global para poder reconocer los controles de la
entidad

© 2007 Copyright - Tomás Arroyo

 Enlaces de interés

Enlaces de interés
Podréis encontrar información adicional en:
http://www.itil.co.uk -El Sitio Oficial de ITIL
http://www.exin.nl -Organismo de Certificación
http://www.itsmf.com -Forum Internacional de Gestión de
Servicios TI
http://www.isaca.org – El sitio oficial de ISACA
http://itsmf.es - Forum
http://www.itgi.org
http://www.ogc.gov.uk

y en google……..

© 2007 Copyright - Tomás Arroyo

 ESTÁNDARES

• Despegar es opcional
•Despegamos con …..
•COBIT
•ITIL
•BS - ISO 17799
•ISO- 2700x
•UNE…….
•CMM…..
•Aterrizar es Obligatorio,
•Aterrizamos con…..
•RD-994/1999
•la norma elevada a rango legal

© 2007 Copyright - Tomás Arroyo

 Preguntas

GRACIAS
POR SU
ATENCIÓN
Tomas.arroyo@tele2.es

© 2007 Copyright - Tomás Arroyo