© 2007 Copyright - Tomás Arroyo Tomás Arroyo Salido - CISA Correo - Alineamientos marcos de control y gestion

© 2007 Copyright - Tomás Arroyo ITIL estandariza procesos con un claro enfoque a la Gestión del Servicio – Entregables. ISO – Normativa – estándar de SEGURIDAD DE LA INFORMACIÓN COBIT Proporciona un Enlace Claro entre los Requerimientos del Gobierno de TI, los Procesos de TI y los Controles de TI Quien es quien ?

© 2007 Copyright - Tomás Arroyo ITIL 10 procesos, Procesos de soporte 1. Gestión de la Configuración (Configuration Management). 2. Gestión de Incidencias (Incident Management).Service Desk 3. Gestión de Problemas (Problem Management). 4. Gestión de Cambios (Change Management). 5. Gestión de la Distribución (Release Management). Procesos de entrega de servicios 6. Gestión de la Capacidad (Capacity Management). 7. Gestión de la Disponibilidad (Availability Management). 8. Gestión de la Continuidad (Continuity Management). 9. Gestión Financiera (Financial Management). 10. Gestión del Nivel de Servicio (Service Level Management). ITIL estandariza procesos con un claro enfoque a la Gestión del Servicio – Entregables.

© 2007 Copyright - Tomás Arroyo 1. Pol í tica de Seguridad 2. Organizaci ó n de Seguridad 3. Clasificaci ó n y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad F í sica y Ambiental 6. Gesti ó n de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento ISO – Normativa - estandard SEGURIDAD DE LA INFORMACIÓN

© 2007 Copyright - Tomás Arroyo OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO Eficiencia Aplicaciones Información Infraestructura Personas ENTREGA Y SOPORTE MONITOREAR Y EVALUAR ADQUISICIÓN E IMPLEMENTACIÓN INFORMACION RECURSOS DE TI MARCO DE REFERENCIA C O B I T Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones. ME1 Monitorear y Evaluar el desempeño de TI. ME2 Monitorear y Evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proveer Gobierno de TI. PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de información. PO3 Determinar la dirección tecnológica. PO4 Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos. AI1 Identificar soluciones de automatización. AI2 Adquirir y mantener software de aplicación. AI3 Adquirir y mantener la infraestructura tecnológica. AI4 Permitir la operación y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. PLANEACIÓN Y ORGANIZACIÓN C OBI T Proporciona un Enlace Claro entre los Requerimientos del Gobierno de TI, los Procesos de TI y los Controles de TI Confiabilidad

© 2007 Copyright - Tomás Arroyo ¿Qué entendemos por Control? Definición de control Conjunto de estructuras, políticas y procedimientos que permiten: Verificar el cumplimiento de los objetivos y estrategias de gestión fijados por la Dirección Conocer y gestionar los riesgos a los que está expuesta la entidad Definición

© 2007 Copyright - Tomás Arroyo Entorno y Objetivos de Control Control Se define como las políticas, procedimientos, prácticas e infraestructuras organizativas, diseñadas para garantizar razonablemente, que los objetivos de negocio se llevarán a cabo, y que las incidencias no deseadas se pueden prevenir o detectar y corregir. (COSO 1992) Objetivo de control de TI Se define como el propósito o resultado que se desea alcanzar, mediante la implantación de procedimientos de control para una actividad de TI específica.

© 2007 Copyright - Tomás Arroyo COBIT, ITIL e ISO son normativas valiosas para el crecimiento y éxito de una organización por las siguientes razones: Definición

© 2007 Copyright - Tomás Arroyo -- Los directivos empresariales y los consejos de administración exigen mejores beneficios de las inversiones en TI. -- Las mejores prácticas ayudan a cumplir los requisitos reglamentarios de los controles de las TI en áreas como la confidencialidad y la preparación de informes financieros. -- Las organizaciones se enfrentan a riesgos relacionados con las TI, tales como la seguridad de la red. -- Las organizaciones pueden optimizar los costes siguiendo enfoques normalizados. Definición

© 2007 Copyright - Tomás Arroyo Como las normas trabajan conjuntamente -- Las mejores prácticas ayudan a las organizaciones a evaluar su rendimiento en comparación con normas aceptadas generalmente y por sus compañeros. -- Utilizando COBIT como un marco de control general para la gestión de las TI, e ITIL e ISO proporcionan procesos normalizados pormenorizados. Los 34 procesos de TI de COBIT y los objetivos de control de alto nivel se mapean en secciones de ITIL y de ISO Definición

© 2007 Copyright - Tomás Arroyo Control interno, es una expresión que utilizamos con el fin de describir las acciones adoptadas por los directores de entidades, gerentes o administradores, para evaluar y monitorear las operaciones en sus entidades. Por ello, a fin de lograr una adecuada comprensión de su naturaleza y alcance. Definición de control interno Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a sí están lográndose los objetivos siguientes: Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios Proteger y conservar los recursos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal; ·Cumplir las leyes, reglamentos y otras normas gubernamentales, · Elaborar información financiera válida y confiable, presentada con oportunidad; · Promoción de la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios. Este objetivo se refiere a los controles internos que adopta la administración para asegurar que se ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia y economía. Tales controles comprenden los procesos de planificación, organización, dirección y control de las operaciones en los programas, así como sistemas para medir el rendimiento y monitorizar las actividades ejecutadas. La efectividad tiene relación directa con el logro de los objetivos y metas programados, en tanto que la eficiencia se refiere a la relación existente entre los bienes y servicios producidos y recursos utilizados para producirlos y su comparación con un estándar de desempeño establecido. La economía, se relaciona con la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y oportuna entrega, al mínimo costo posible. Informe COSO, notas

© 2007 Copyright - Tomás Arroyo C OBI T:  Parte de los requerimientos del negocio  Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente aceptado  Identifica los principales recursos de TI que deben ser potencializados  Define los objetivos de control administrativos a ser considerados  Incorpora los principales estándares internacionales  Se ha convertido en el estándar de facto para el control general de TI C OBI T ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de control y los asuntos técnicos. Provee buenas prácticas a través de un marco de referencia de dominios y procesos y presenta actividades en una estructura administrable y lógica. Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados. C OBI T proporciona un marco de referencia que logra este objetivo. C OBI T proporciona un marco de referencia para el Gobierno de TI

© 2007 Copyright - Tomás Arroyo  Posibilita mapear las metas de TI a las metas del negocio y viceversa  Mejor alineación, basada en un enfoque del negocio  Una visión, comprensible para la administración, de lo que es TI  Claridad en la propiedad y responsabilidades, basada en una orientación a procesos  Aceptabilidad general con terceras partes y reguladores  Entendimiento compartido entre todos los involucrados, basado en un lenguaje común  Cumplimiento de los requerimientos de COSO para el ambiente de control de TI Cómo ayuda C OBI T a implementar un Gobierno de TI Efectivo?

© 2007 Copyright - Tomás Arroyo Las organizaciones deberán considerar y usar una variedad de modelos, estándares y mejores practicas de TI – por lo tanto asegúrese de que entiende esto con el fin de considerar como pueden usarse juntos, con COBIT actuando como consolidador (“Sombrilla”) e.g. C OBI T ISO 9000 ISO ITIL COSO QUE COMO C OBI T y otros Marcos de Referencia de Administración de TI CAMPO DE COBERTURA

© 2007 Copyright - Tomás Arroyo DESEMPEÑO: Metas del negocio CONFORMIDAD Basilea II, Sarbanes- Oxley Act, etc “Gobierno Corporativo” “Gobierno de TI” ISO 9001:2000 ISO ISO Estándares de mejores prácticas Procedimientos de QA Procesos y Procedimientos Directrices C OBI T COSO Principios de Seguridad ITIL Balanced Scorecard Dónde encajar

© 2007 Copyright - Tomás Arroyo  COBIT se usa mejor como un marco de referencia amplio de TI y como un conjunto de mejores prácticas y recursos de alto nivel  Otros estándares y mejores prácticas complementan COBIT y pueden trabajar con COBIT  Es mejor tener una directriz rectora del negocio y la administración para un efectivo Gobierno de TI y una administración de TI que sólo tener COBIT por si mismo.  COBIT es un “toolkit” facilitador Adoptando el marco de referencia de C OBI T

© 2007 Copyright - Tomás Arroyo Como las normas trabajan conjuntamente ITIL® es un conjunto de buenas prácticas más aceptado y utilizado en el mundo, extraido de organismos del sector público y privado que están a la vanguardia tecnológica a nivel internacional. ITIL® es aplicable a todo tipo de organización en todo el mundo debido a que han experimentado una creciente dependencia en los servicios informaticos de calidad. Fue desarrollado por la actual Office of Government Comerce (OGC) del gobierno británico durante los años ochenta, ITIL® propone una terminología éstandar independiente de la industria y la tecnología, que nos define "que hacer" y "que no hacer" al interior de una organización que aplica la administración de servicios de la TI. Definición

© 2007 Copyright - Tomás Arroyo Como las normas trabajan conjuntamente ITIL es para certificar personas, no organizaciones. ITIL certifica a directores y profesionales. No se puede hablar de un producto con certificación ITIL ni de conformidad con ITIL. Sin embargo, lo que se dice es que si una organización quiere alcanzar un estándar, es más fácil hacerlo con ITIL. ITIL tiene que ver con la implementación de un cambio cultural. Se implementa una nueva manera de hacer negocios. No es un producto ni paquete sw. ITIL y Cobit en conjunto, es un gran paso hacia la conformidad con Sarbanes-Oxley y Basilea II. Pero, nuevamente, ITIL no arreglará los problemas ni garantizará esa conformidad. Se necesita una auditoria externa para eso, pero es un gran paso adelante. Definición

© 2007 Copyright - Tomás Arroyo Como las normas trabajan conjuntamente “COBIT e ITIL no son mútuamente excluyentes y pueden ser combinados para proporcionar un sólido framework de gobierno TI y de control y mejores prácticas en gestión de servicios TI. Empresas que deseen colocar su programa ITIL en un contexto más amplio de un framework de control y gobierno deberían utilizar COBIT.” Gartner research note, Junio 2002 Definición

© 2007 Copyright - Tomás Arroyo Cualquier actividad, tarea o procedimiento que permite conocer, gestionar, seguir, reducir y/o mitigar el riesgo al cual está expuesta la entidad DEFINICIÓN CONTROL Introducción IMPORTANTE Los controles están integrados dentro de la operativa y procesos diarios desarrollados por la entidad, por eso es importante, abstraerse de esta operativa y poder pensar de forma global para poder reconocer los controles de la entidad

© 2007 Copyright - Tomás Arroyo Enlaces de interés Podréis encontrar información adicional en: -El Sitio Oficial de ITIL -Organismo de Certificación -Forum Internacional de Gestión de Servicios TI – El sitio oficial de ISACA - Forum y en google…….. Enlaces de interés

© 2007 Copyright - Tomás Arroyo ESTÁNDARES Despegar es opcional Despegamos con ….. COBIT ITIL BS - ISO ISO- 2700x UNE……. CMM….. Aterrizar es Obligatorio, Aterrizamos con….. RD-994/1999 la norma elevada a rango legal

© 2007 Copyright - Tomás Arroyo Preguntas GRACIAS POR SU ATENCIÓN