IT Governance Bibliografía: Harris, M. - Herron, D. - Iwanicki, S. - The Business Value of IT - CRC Press – 2008. Documento Cobit 4.1
COBIT Control OBjectives for Information and related Technology Mission: “to research, develop, publicize and promote an authoritative, up-to-date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors.” Cobit es un marco de referencia y un juego de herramientas que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados. Cobit permite el desarrollo de políticas claras y de buenas prácticas para control de TI en de las organizaciones. Además siempre se actualiza y armoniza con otros estándares. ITGI (IT Governance Institute) fue fundado en 1998 para promover el pensamiento y las normas internacionales en la dirección y control de IT. ITGI cree que un IT Governance efectivo ayuda a asegurar que IT apoya a los objetivos de negocio, optimiza la inversión del negocio en IT y gestiona apropiadamente los riesgos y oportunidades de IT. La organización filial de ITGI es ISACA (Information Systems Audit and Control Association), la cual publica “Information Systems Control Journal” y ofrece certificaciones como CISA (Certified Information Systems Auditor) o CISM (Certified Information Security Manager)
COBIT – Principios básicos
COBIT - Definición Objetivos y Arquitectura para IT
COBIT - Organización 34 high level processes 210 control objectives 4 domains: Planning and Organization (PO) Acquisition and Implementation (AI) Delivery and Support (DS) Monitoring and Evaluation (ME).
COBIT – Dominios interrelacionados
COBIT - PO PO1 -Define a Strategic IT Plan and direction PO2 -Define the Information Architecture PO3 -Determine Technological Direction PO4 -Define the IT Processes, Organization and Relationships PO5 -Manage the IT Investment PO6 -Communicate Management Aims and Direction PO7 -Manage IT Human Resources PO8 -Manage Quality PO9 -Assess and Manage IT Risks PO10 -Manage Projects Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada.
COBIT - AI AI1 -Identify Automated Solutions AI2 -Acquire and Maintain Application Software AI3 -Acquire and Maintain Technology Infrastructure AI4 -Enable Operation and Use AI5 -Procure IT Resources AI6 -Manage Changes AI7 -Install and Accredit Solutions and Changes Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
COBIT - DS DS1 -Define and Manage Service Levels DS2 -Manage Third-party Services DS3 -Manage Performance and Capacity DS4 -Ensure Continuous Service DS5 -Ensure Systems Security DS6 -Identify and Allocate Costs DS7 -Educate and Train Users DS8 -Manage Service Desk and Incidents DS9 -Manage the Configuration Ds10 -Manage Problems DS11-Manage Data DS12-Manage the physical enviroment DS13 -Manage Operations Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
COBIT - ME ME1 -Monitor and Evaluate IT Processes ME2 -Monitor and Evaluate Internal Control ME3 -Ensure Regulatory Compliance ME4 -Provide IT Governance Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno .
COBIT Ejemplo con documento
COBIT - Beneficios Algunos beneficios de implementar COBIT en organizaciones: Mejor alineación entre TI y el negocio Visión entendible de lo que hace TI Propiedad y responsabilidades claras Aceptación general de terceros y reguladores Entendimiento compartido entre todos los interesados
ITIL - Information Technology Infraestructure Library Biblioteca de Infraestructura de IT Conjunto de buenas prácticas. Proponen una forma de resolver las necesidades del negocio, administrar activos tecnológicos, manejar los cambios y la seguridad. Es un conjunto de libros que describen cómo los procesos, pueden ser optimizados, y cómo la coordinación entre ellos puede ser mejorada. Fueron desarrolladas en los 80’s por la CCTA (Central Computer and Telecommunications Agency) del gobierno británico. Luego ITIL fue publicado como un conjunto de libros, cada uno dedicado a un área específica dentro de la Gestión de TI. Los nombres ITIL e IT Infrastructure Library(‘Biblioteca de infraestructura de TI’) son marcas registradas de la Office of Government Commerce (‘Oficina de comercio gubernamental’, OGC), que es una división del Ministerio de Hacienda de Reino Unido. En abril de 2001 la CCTA fue integrada en la OGC, desapareciendo como organización separada.1 En diciembre de 2005, la OGC emitió un aviso de una actualización a ITIL,2 conocida comúnmente como ITILv3, que estuvo planificada para ser publicada a finales de 2006; habiendo sido realizada en junio de 2007. Se esperaba que la publicación de ITIL versión 3 incluyera cinco libros principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios.
ITIL Soporte del Servicio Procesos: Todos los aspectos que garanticen continuidad, disponibilidad y calidad del servicio prestado al usuario. Procesos: Función Service desk. Gestión de Incidentes. Gestión de Problemas. Gestión de Cambios. Gestión de Configuraciones. Gestión de Entregas.
ITIL – Función Service Desk Representa al proveedor del servicio IT ante el Cliente o el Usuario Opera sobre el principio de que la satisfacción y la percepción del Cliente son críticas. Debe conjugar personas, procesos y tecnología.
ITIL – Gestión de Incidentes Incidente: “Cualquier suceso que no forme parte del funcionamiento estándar de un servicio y que cause, una interrupción o una reducción de la calidad de este servicio”. Componentes: Detección y registro del Incidente Clasificación y soporte inicial Investigación y diagnóstico Resolución y restauración Cierre del Incidente Titularidad, monitorización, seguimiento y comunicación del incidente.
ITIL – Gestión de Incidentes Objetivo: Restaurar el funcionamiento normal del servicio tan rápido como sea posible y minimizar el impacto negativo sobre el negocio, garantizando, de este modo, que se mantiene el más alto nivel de calidad y disponibilidad del servicio. El “funcionamiento normal del servicio” se define aquí como funcionamiento del servicio dentro de los límites del Acuerdo de Nivel de Servicio (SLA).
ITIL – Gestión de Problemas Un “Problema” es la causa desconocida que subyace a uno o más Incidentes, y un “error conocido” es un Problema que ha sido diagnosticado con éxito y para el cual se ha identificado una “solución temporal” Objetivo: Minimizar el impacto negativo que tienen sobre el negocio los Incidentes y Problemas causados por errores en la infraestructura IT, y prevenir la recurrencia de Incidentes relacionados con esos errores.
ITIL – Gestión de Problemas El proceso de Gestión de Problemas trata de 2 aspectos: Reactivo: solucionar Problemas como respuesta a uno o más Incidentes. Proactivo: identificar y solucionar Problemas y errores conocidos antes de que ocurran los Incidentes.
ITIL – Gestión de Cambios Los cambios surgen en general como resultado de problemas, pero muchos cambios pueden ser resultado de buscar ventajas de manera proactiva, como reducir costos o mejorar los servicios. Objetivo: El objetivo del proceso de Gestión de Cambios es minimizar el impacto sobre la calidad del servicio producidos por los incidentes derivados de los cambios y, por consiguiente, mejorar el funcionamiento diario de la organización.
ITIL – Gestión de Cambios La Gestión de Cambios es responsable de gestionar los procesos de Cambio que impliquen: Hardware Software y equipos de comunicaciones Sistemas de software Aplicaciones software en producción Documentación y procedimientos asociados con la ejecución, soporte y mantenimiento de los sistemas en producción.
ITIL – Gestión de Configuraciones Los negocios necesitan que los servicios IT suministrados sean de calidad y económicos. La Gestión de Configuraciones ofrece un modelo lógico de la Infraestructura o del servicio mediante la identificación, control, mantenimiento y verificación de las versiones de los Elementos de Configuración (CIs) existentes.
ITIL – Gestión de Configuraciones Actividades básicas: Planificación: planificación y definición de los propósitos, ámbito, objetivos, políticas y procedimientos de la Gestión de Configuraciones. Identificación: identificación de las estructuras de configuración de todos los elementos de configuración (CIs) de la infraestructura IT, incluyendo titular, relaciones y documentación de la configuración.
ITIL – Gestión de Configuraciones Actividades básicas: Control: asegurarse de que sólo se aceptan y registran los CIs autorizados e identificables. Garantizar que no se añade, modifica, cambia o elimina ningún CI sin la documentación de control apropiada. Informe de estado: informar todos los datos actuales e históricos relacionados con cada CI. Verificación y auditoria: realizar revisiones e inspecciones para verificar la existencia física de los CIs y comprobar que estén registrados correctamente en el sistema de Gestión de Config.
ITIL – Gestión de Entregas En un entorno distribuido pueden estar implicados en la Entrega de software y hardware, muchos proveedores y suministradores de servicios. La Gestión de la Entrega debe asegurarse de que se analizan globalmente todos los aspectos, tanto técnicos como no técnicos, que afecten a una Entrega. Objetivos: Planificar y supervisar el paso a producción con éxito del SW y HW relacionado Diseñar e implementar procedimientos eficientes para la distribución e instalación de los Cambios en los sistemas IT
ITIL – Gestión de Entregas Objetivos: (cont) Asegurarse de que los cambios en el software y el hardware se registran, son seguros y que sólo se instalan versiones correctas, autorizadas y probadas Comunicarse con el Cliente y gestionar sus expectativas Asegurarse de que las copias originales de todo el software están seguras en la Biblioteca de Software Definitivo (DSL) y de que se actualice la Base de Datos de la Gestión de Configuraciones (CMDB) Asegurarse de que todo el hardware puesto en producción o modificado, es seguro y puede ser seguido, utilizando los servicios de Gestión de la Configuración.