Docentes: Martha Medina de Gillieri Jorge Lpez Catedra Sistemas de Informacin para la Gestin - Gobernabilidad de Tecnologa de Informacin Temas para este seminario Organizacin y Procesos de Tecnologa de Informacin Gobernabilidad de Tecnologa de Informacin Planteo de un Caso de estudio Visin de COBIT 4 - contenidos La reproduccin de partes de COBIT en esta presentacin es exclusivamente de uso acadmico y dentro de la licencia de uso ac referenciada Gobernabilidad de TI el marco de trabajo COBIT se cre con las caractersticas principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. Gobernabilidad de TI El marco de trabajo COBIT se basa en el siguiente principio (Figura 5): Para proporcionar la informacin que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la informacin empresarial requerida. El marco de trabajo COBIT ofrece herramientas para garantizar la alineacin con los requerimientos del negocio. Volver Metas de TI Gobernabilidad de TI La Figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez, deben conducir a una clara definicin de los propios objetivos de TI (las metas de TI), y luego stas a su vez definir los recursos y capacidades de TI (la arquitectura empresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial Volver Procesos de TI Gobernabilidad de TI Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la direccin provista. Volver Controles de TI Gobernabilidad de TI TI es responsable de: Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicacin. Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero slo los aspectos de desarrollo de los controles de aplicacin; la responsabilidad de definir y el uso operativo es de la empresa. Volver Mediciones de TI Gobernabilidad de TI El tema de procesos de TI es esencialmente complejo y subjetivo, por lo tanto, es ms fcil abordarlo por medio de evaluaciones fciles que aumenten la conciencia, que logren un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya sea contra las descripciones del modelo de madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de las descripciones. De cualquier manera, se requiere experiencia en el proceso de la empresa que se est revisando. Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Gobernabilidad de TI Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin En general, muchas de las organizaciones de Sistemas de Informacin estan divididas en cinco funciones bsicas, independientemente de cmo y donde reporten. Seguridad y Calidad Desarrollo Soporte y entrega Administracin de Datos Soporte Tcnico Operaciones T.I. Gerente Mxima responsabilidad Diagrama General Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Seguridad y Calidad: Actividades asociadas con Segridad de la Informacin, Aseguramiento de la calidad (Q&A), Auditoria y cumplimiento. Desarrollo de aplicaciones y soporte: Actividades asociadas con consutoria de soporte, diseo desarrollo, implementacin y modificaicones a programas, sistemas y operaciones de negocio. Administracin de datos: Actividades asociadas con la arquitectura de datos, administracin y mantenimiento. Soporte Tcnico: Actividades asociadas con la infraestructura tcnica, como programacin de sistemas soporte de sistemas operativos, comunicacin de voz y datos, administracion de red, etc. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Operaciones: todas las actividades relacionadas con las operaciones del da a da de computadoras y sistemas de negocios aplicativos. Gerente T.I.: (CIO - Chief Information Officer) La posicin requiere de habilidades en la direcin de una varidad de proyectos adems de entender las maneras en la cual la tecnologa de informacin puede ser aplicada dentro de la organizacin. Tambin requiere experiencia tcnica, y la flexibilidad de interactuar con una variedad de gente de todos los niveles; internamente como staff, directores, finanzas, etc. y externamente auditores, clientes, proveedores y asociaciones de profesionales. Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Administrador de Seguridad Aseguramiento de la Calidad (Quality Assurance) Seguridad y Calidad Administrador de Seguridad: Responsable por los programadores de sistemas que mantienen el software de sistema. Revisin de Logs. Crticos y se ocupa de la gestin de la poltica de seguridad. Aseguramento de la Calidad: Responable de negociar y facilitar las ativiades de calidad en todas las reas de Tecnologas de Informacin. La funcin se centra en las actividades de desarrollo de sistemas. SEGURIDAD Y CALIDAD SEGURIDAD Y CALIDAD Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Analistas de Sistemas (Aplicaciones) Programadores (Aplicaciones) Desarrollo de Sistemas Usuarios Finales (en caso de Arquitectura Cliente Servidor) Soporte de Usuario Final Desarrollo de Aplicaciones DESARROLLO DE APLICACIONES Y SOPORTE DESARROLLO DE APLICACIONES Y SOPORTE Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Desarrollo de Sistemas (Proyect Manager): Responsable por los programadores y analistas que implementan nuevos sistemas y mantienen los existentes. Analistas de Sistemas (Aplicaciones): Responable de disear las aplicaciones basados en las necesidades del usuario. Involucrado irectamente en el ciclo de vida del desarrollo del sistema. Programador (Aplicaciones): Responable de crear o modificar programas para desarrollar nuevos sistemas y/o mantener los sistemas aplicativos existentes, haciendo cambios a los programas requeridos por los usuarios. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Soporte de Ususario Final (Help Desk): Responsable por la relacin entre el departamento de TI y los usuarios finales. Usuarios Finales: Responable de ingrasar los datos, tanto en un sistema Batch como en un sistema On-Line. Es responsabilidad del Soporte de Usuario Final la adecuada segregacin de funciones dentro de esta funcin. Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin SOPORTE TCNICO SOPORTE TCNICO Administrador de Sistemas Sistemas Operativos Administrador de Redes Programadores Sistemas Operativos Soporte Tcnico Soporte Tcnico: Responsable por el personal que mantiene el software del Sistema. Administrador de Sistemas: Responable por la aministracin da a da del software del sistema aplica actualizaciones (parches) monitorea espacios en discos y erformance del sistema) Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Administrador de Redes: Responsable del control tcnico y administrativo de la arquitectura de red y la disponibilidad de los servicios de red a usuarios. Programadores de sistemas: Responable por el mentenimiento del software del sistema (sistema operativo) Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin ADMINISTRACIN DE DATOS ADMINISTRACIN DE DATOS Administrador de Datos (DA) Administrador de la Base de Datos (DBA) Administracin de Datos Administrador de Datos: Responsable de la arquitectura de datos en ambientes extensos de Tecnologa de Informacin en donde el dato es un activo corporativo (Datawarehouses Convensin de nombres). Administrador de la Base de Datos: Responable por el da a da de la administracin, mentenimiento e integridad del sistema de administracin de base de datos. Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin OPERACIONES OPERACIONES Bibiotecario Operador (Sistema Operativo Operador Data Entry (Mainframe) Operaciones Operaciones: Responsable del personal de operaciones de computadores, includos operadores, bibliotecarios, programadores (schedulers) y data control. Bibliotecario (Tape librarian): Responable de registrar, entregar, recibir y resguardar todos los programas y archivos de datos mentenidos en tapes o discos. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Operador: Responsable del monitorear la ejecucin de varias tareas del Sistema Operativo en el computador central. Evaa y corrige problemas durante la ejecucin de los sistemas. Operador de Data Entry (Mainframe): Responable por ingreso de datos va procesos batch. Volver Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin Administrador de Seguridad Aseguramiento de Calidad Seguridad y Calidad Analistas Programadores Desarrollo y Soporte Desarrollo Soporte y entrega Administrador de Datos DBA Administracin de Datos Administrador de Red Administrador de Sistemas Programadores (SO) Analistas (SO Soporte Tcnico Bibliotecario Operador de Computadora Data Entry Operaciones T.I. Gerente Mxima responsabilidad Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin SEGREGACIN DE TAREAS DENTRO DE UNA ORGANIZACIN DE TI Desde un punto de vista de la auditoria se revisar que no debe hacer quien. Cundo se dice, un empleado particular no no debe debe hacer el trabajo, quiere decir que ningn control compensatorio puede mitigar el riesgo involucrado por realizar ese trabajo incompaible. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin SEGREGACIN DE TAREAS DENTRO DE UNA ORGANIZACIN DE TI Analista de Sistemas: No debe realizar el trabajo del Operador, administrador de la seguridad, bibliotecario, programador y Aseguramiento de la Calidad. Programador de Aplicaciones: No debe ingresar datos (data entry), operaciones, DBA, seguridad, programacin de sistemas. Esta es una funcion muy sensible. Operador de Data Entry / Usuario Final: No debe programar, operar, DBA y seguridad. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin SEGREGACIN DE TAREAS DENTRO DE UNA ORGANIZACIN DE TI Operador: No debe realizar otro trabajo que el de operador. Administrador de Bases de Datos: No debe programar, ingresar datos, operaciones, seguridad, etc. Esta es una funcion muy sensible. Administrador de la Seguridad: No debe realizar otro trabajo que el de seguridad. Bibliotecario: No debe analizar sistemas, programar ni administrar la seguridad. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin de Tecnologa de Informacin SEGREGACIN DE TAREAS DENTRO DE UNA ORGANIZACIN DE TI Programadores de Sistemas: No debe realizar otro trabajo que el de programador. Aseguramiento de la Calidad: No debe analizar sistemas no programar debido a que es la funcin que prueba (test) la calidad de esas dos funciones. Auditora y TIC Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Organizacin y Procesos de Tecnologas de Infrmacin Propiedades de la Informacin CRITERIOS DE INFORMACIN Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de control. Con base en los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se definen los siguientes siete criterios de informacin: La efectividad: tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia: consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos. Organizacin y Procesos de Tecnologas de Infrmacin CRITERIOS DE INFORMACIN La confidencialidad: se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. La integridad: est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad: se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas. Propiedades de la Informacin Organizacin y Procesos de Tecnologas de Infrmacin CRITERIOS DE INFORMACIN El cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. La confiabilidad: se refiere a proporcionar la informacin apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. Propiedades de la Informacin Informacin Uno de los objetivos de los mercados globalizados, es contar con informacin financiera homognea de las empresas que intervienen a nivel mundial. En tal sentido se dictaron la Normas Internacionales de Informacin Financiera, que sern de aplicacin obligatoria para determinadas organizaciones en nuestro pas desde 2012, de acuerdo a la Res 26 de la FACPCE y normativas de la CNV, tales normas que se componen de:
Normas Internacionales de Contabilidad NIC ( International Accounting Standards IAS) Normas Internacionales de Informacin Financiera NIIF ( International Financial Reporting Standards IFRS) Interpretaciones de Normas Internacionales de Contabilidad NIC (Standing Interpretations Commitee SIC) Comit de Interpretacin de Normas Internacionales de Informacion Financiera CINIIF (International Financial Reporting Interpretations Committee IFRIC)
Dichas normas contienen una seccin de Informacin a Relevar y un marco conceptual que contienen caractersticas cualitativas que debe contener la informacin preparada de acuerdo a NIIF, ellas son: Propiedades de la Informacin - NIIF Comprensibilidad: Que incluye sencillez y claridad, informando elementos adicionales de cada norma o en su ausencia el hecho que ayude a entender la transaccin reflejada. Pero el usuario de la informacin deber familiarizarse con las formas de preparacin y mtodos de valoracin y el emisor debe preparar la informacin de una forma amigable pero siempre cumpliendo con las normas y el marco conceptual.
Relevancia: la informacin tiene importancia relativa cuando su omisin o presentacin errnea puede influir en las decisiones econmicas de los usuarios, tomadas a partir de los estados financieros. En este sentido tener en cuenta los usuarios de la informacin son los que marcarn la informacin relevante.
Informacin Propiedades de la Informacin - NIIF Fiabilidad de la Informacin: La informacin presentada debe estar libre de error significativo y de sesgo o prejuicio y que representa la imagen fiel de la organizacin. Esta caracterstica incluye:
Representacin fiel, real valor a fecha de presentacin Esencia sobre la forma, prevalecer la esencia del hecho econmico, la intencin de la empresa, el fondo econmico de la transaccin. Neutralidad, ningn usuario pueda sentirse perjudicado por los criterios utilizados o por la forma de presentacin Integridad, la informacin debe proveer razonable seguridad, respecto de los hechos, clasificacin y oportunidad.
Comparabilidad de la Informacin: de igual empresa entre perodos. Aplicacin constante de normas excepto que se prevea especficamente. Informacin Propiedades de la Informacin - NIIF Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Organizacin y Procesos de Tecnologas de Infrmacin Recursos de TI METAS DE NEGOCIOS Y DE TI Mientras que las Propiedades (criterios) de informacin proporcionan un mtodo genrico para definir los requerimientos del negocio, la definicin de un conjunto de metas genricas de negocio y de TI ofrece una base ms refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser representadas como metas del negocio para TI. Organizacin y Procesos de Tecnologas de Infrmacin Recursos de TI Si se pretende que TI proporcione servicios de forma exitosa para dar soporte a la estrategia de la empresa. Debe existir una propiedad y una direccin clara de los requerimientos por parte del negocio (el cliente) y un claro entendimiento para TI, de cmo y qu debe entregar (el proveedor). Organizacin y Procesos de Tecnologas de Infrmacin Recursos de TI La estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con iniciativas habilitadas por TI. Estos objetivos a su vez, deben conducir a una clara definicin de los propios objetivos de TI. Luego stas a su vez definir los recursos y capacidades de TI requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial. Las metas de negocio para TI. Las metas de TI. La arquitectura empresarial para TI Gobernabilidad de TI La Figura resume cmo las metas de negocio para TI influencian la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI para lograr las metas de TI. Recursos de TI Gobernabilidad de TI Los recursos de TI identificados en COBIT se pueden definir como sigue: Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin. La informacin son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Planificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Gobernabilidad de TI Orientado a procesos Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman: Planear y Organizar (PO) Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la direccin provista. La figura 19 ilustra la relacin entre las metas de negocio, de TI, de proceso y de las actividades, y las diferentes mtricas. La cascada de metas es ilustrada desde arriba a la izquierda hasta arriba a la derecha. Debajo de la meta est su medida de resultado. La flecha indica que la misma mtrica es un indicador de desempeo para la meta de ms alto nivel. Organizacin y Procesos de Tecnologas de Infrmacin Organizacin y Procesos de Tecnologas de Infrmacin Planificacin y Organizacin PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratgico de TI PO2 Definir la Arquitectura de la Informacin PO3 Determinar la Direccin Tecnolgica PO4 Definir los Procesos, Organizacin y Relaciones de TI PO5 Administrar la Inversin en TI PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Adquisicin e implementacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Organizacin y Procesos de Tecnologas de Infrmacin Adquisicin e Implementacin Adquirir e Implementar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantentener software aplicativo AI3 Adquirir y mantentener Infraestructura Tecnolgica AI4 Facilitar la Operacin y el Uso AI5 Adquirir Recursos de TI AI6 Administrar los cambios AI7 Instalar y acreditar soluciones y cambios Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Planificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Entrega y Soporte. Monitoreo. Organizacin y Procesos de Tecnologas de Infrmacin Entrega y soporte ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones Organizacin y Procesos de Tecnologas de Informacin Organizacin de TI. Propiedades de la Informacin. Recursos de TI. Panificacin y Organizacin. Adquisicin e implementacin. Entrega y Soporte. Monitoreo. Monitoreo. Organizacin y Procesos de Tecnologas de Infrmacin Monitoreo MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeo de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI Organizacin y Procesos de Tecnologas de Infrmacin Planificacin y Organizacin 0 Inicial 1 Repetible 2 Definido 3 4 5 SIMBOLOS UTILIZADOS Estado Actual de la Empresa Estndares Internacionales Mejores Prcticas de la Industria Estrategia corporativa CLASIFICACIONES UTILIZADAS 0 Inexistente No se aplica ningn proceso de gestin 1 Inicial Los procesos se aplican segn la ocasin y de manera desorganizada 2 Repetible Los procesos siguen un patrn regular 3 Definido Los procesos son documentados y comunicados 4 Administrado Los procesos son monitoreados y medidos 5 Optimizado Se siguen y se automatizan las mejores prcticas Modelo de Maduracin de Capacidades Administrado Optimizado Inexistente Organizacin y Procesos de Tecnologas de Infrmacin Planificacin y Organizacin Inicial Repetible Definido Manejado Optimizado BAJO BAJO BAJO BAJO CONTROL CONTROL CONTROL CONTROL MEJORADO MEJORADO MEJORADO MEJORADO FUERA DE FUERA DE FUERA DE FUERA DE CONTROL CONTROL CONTROL CONTROL disciplinado estandarizado, consistente previsible administracin del proceso proceso formalizado monitoreo y medicin del proceso automatizar las mejores prcticas mejora continua Organizacin y Procesos de Tecnologas de Infrmacin Organizacin y Procesos de Tecnologas de Infrmacin Organizacin y Procesos de Tecnologas de Infrmacin Consultas Organizacin y Procesos de Tecnologas de Infrmacin