Univ Deusto

LOGO DEL CLIENTE
(no debe superar el tamao del logo de Atos Origin)
Gobernanza TIC
Sesin Divulgativa
21 de abril de 2006 | N oferta | v1.0

ATOS ORIGIN Sociedad Annima Espaola 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae. ATOS y ATOS ORIGIN son marcas registradas.
Reflexin Inicial
El tiempo de la reflexin es una economa de tiempo Siro , Publius (Siglo I A.C.)
Pgina 1 | ATOS | 21 de abril de 2006 | N oferta | v1.0 1
OBJETIVOS
*** OBJETIVOS ***
Conocer los aspectos ms importantes del modelo Gobierno TIC Comprender la importancia del concepto de Gobernanza de TI para la direccin, el control y la gestin de la informacin y sus tecnologas afines. Comprender la utilizacin de los modelos CobiT, Val IT, ISO38500 como marco para implantar una estrategia de Gobernanza de TIC.
CRDITOS Y RECONOCIMIENTOS
*** CRDITOS Y RECONOCIMIENTOS ***

Parte del material empleado en esta presentacin procede, o est basado, en la documentacin original, oficial, pblica, del Mster de Buen Gobierno de la Universidad de Deusto, CobiT y Val IT, propiedad de ISACA y/o de ITGI. Asimismo, tambin han sido consultadas - y, en su caso, traducidas, adaptadas y/o actualizadas - las siguientes fuentes: CobiT 4.1 Val IT ISO COSO
INFORMACIN PERSONAL
D. Toms Arroyo Salido
Diplomado en Auditora de la Informacin y Direccin de la Seguridad de la Informacin Ex -responsable de Calidad del Servicio y Control Interno del rea de TI de BBVA Director-Gerente de AudirConsul Coordinador del rea de Proteccin de los Activos de Informacin del Mster en Buen Gobierno de las TIC, de la Universidad de Deusto Profesor del Mster en Direccin de Seguridad de la Universidad Europea de Madrid Miembro del Consejo Tcnico Asesor de la publicacin RedSeguridad

Miembro de ISACA Miembro fundador del ISACA Madrid Chapter Secretario General del Grupo de Usuarios de GSE de IBM CobiT Foundation Certificate Certified Information Systems Auditor (CISA) Accredited CobiT Trainer
INFORMACIN PERSONAL
Jos Manuel Ballester Fernndez
Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT Consejero Delegado TEMANOVA Socio ALINTEC Director Estrategia Fundacin DINTEL Director Mster Buen Gobierno Universidad Deusto Director Ctedra Buen Gobierno Universidad Deusto Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR Former President de ASIA / ISACA Madrid Chapter CobiT Foundation Certificate Certified Information Systems Auditor Certified Information Security Manager Cerified Corporate Governance Enterprise IT Accredited CobiT Trainer
AGENDA
01/ Antecedentes 02/ Alcance de CobiT 03/ Gobernanza de TI 04/ Puesta en marcha de una estrategia de Gobernanza de TI 05/ Val IT o sobre la Gobernanza de las inversiones en actividades apoyadas en TI 06/ CobiT y otros modelos 07/ Certificacin ISO38500 08/ Como Medir y Comparar la Organizacin
LOGO DEL CLIENTE

01/ ANTECEDENTES

Introduccin
01/ ANTECEDENTES
Evolucin social
S. XX
- ORIENTACIN A LA PRODUCCIN - ORIENTACIN PRODUCTO/SERVICIO - ORIENTACIN A LA VENTA - ORIENTACIN AL CLIENTE
S. XXI - ORIENTACIN STAKEHOLDERS

Texto men 2
Introduccin
01/ ANTECEDENTES
Complejidad social
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier sistema.
Texto men 2
01/ ANTECEDENTES
Acciones Sociales
- Promover la participacin activa de la ciudadana en el desarrollo de la RSC.

- Denunciar las malas prcticas empresariales. - Aprender a identificar aspectos de la gestin empresarial que afecten directamente al ciudadano y dnde recurrir para denunciarlo.
01/ ANTECEDENTES
COSO Internal Control Integrated Framework En 1992, COSO public el Sistema Integrado de Control Interno, un informe que establece una definicin comn de control interno y proporciona un estndar mediante el cual las organizaciones i i pueden d evaluar l y mejorar j sus sistemas i t d control de t l.
Control Interno
OBJETIVOS DE COSO
Mejorar la calidad de la informacin financiera concentrndose en el manejo corporativo, corporativo las normas ticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

01/ ANTECEDENTES
El Gobierno Corporativos incluye las siguientes capacidades:

Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta a los riesgos. Reducir las sorpresas y prdidas operativas Identificar y gestionar la diversidad de riesgos para toda la entidad Aprovechar las oportunidades Mejorar la dotacin de capital
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos. Con el Gobierno Corporativo permite asegurar una informacin eficaz y el cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus consecuencias derivadas.
01/ ANTECEDENTES
Definicin de la Gobierno Corporativo

El Gobierno Corporativo es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, personal aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
El marco de Gobierno Corporativo est orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categoras:
Estrategia: objetivos a alto nivel, alineados con la misin de la entidad y dndole apoyo Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos Informacin: objetivos de fiabilidad de la informacin suministrada. Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.
01/ ANTECEDENTES Componentes del Gobierno Corporativo

El Gobierno Corporativo consta de ocho componentes relacionados entre s, que se derivan de la manera en que la direccin conduce la empresa y cmo estn integrados en el proceso de gestin.

Ambiente interno: establece la base de cmo el personal de la entidad percibe y trata los riesgos. Establecimiento de objetivos: los objetivos deben de existir antes de que la direccin pueda identificar potenciales eventos que puedan afectar a su consecucin. Identificacin de eventos: tanto internos como externos que afectan a los objetivos de la entidad. Evaluacin de riesgos: se analizan considerando su probabilidad e impacto como base para determinar como deben de ser gestionados. Respuesta al riesgo: las posibles respuestas evitar, evitar aceptar, aceptar reducir o compartir los riesgos. Actividades de control: las polticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos son eficaces. Informacin y comunicacin: la informacin relevante se identifica, capta y comunica para que el personal pueda afrontar sus responsabilidades. Supervisin: la supervisin se lleva a cabo mediante actividades de la direccin o evaluaciones independientes.
01/ ANTECEDENTES
Componentes de la gestin de Buen Gobierno Corporativo
Coso Internal Control Integrated Framework

01/ ANTECEDENTES Funciones y responsabilidades
El Consejo j de Administracin fija j las p pautas y la visin g global del negocio. g El Consejo j debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas financieras, legales y de auditora interna. La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas reas. La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica adecuada. Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.
LOGO DEL CLIENTE

02/ ALCANCE DE CobiT


CobiT: EL Modelo
01/ ANTECEDENTES
La evolucin de CobiT Gobernanza de TIC Gestin de TIC Control Interno TIC
Auditoria TIC
1996
Abr. 1998
Jul. 2000
Nov. 2005 / Mar.2007
CobiT
CobiT 2
CobiT 3
CobiT 4 / 4.1
De la AUDITORA a la GOBERNANZA
10

Las siglas CobiT
C OB I T
Control objectives for information and related Technology

OBjetivos de Control para la Informacin y Tecnologas afines

Estructura de CobiT 4/4.1: COMPONENTE
R Resumen Ej Ejecutivo ti
DICE QUE
Hay un modelo
Ofrece una sinopsis Of i i d de l los conceptos CobiT Describe el modelo, presentndolo como una gua para la Direccin, los propietarios de las lneas de actividad, los usuarios y los auditores Muestra los objetivos de control detallados
Marco de Referencia
El mtodo es
Objetivos de Control
Los controles mnimos son
Directrices de Gestin
Ud. mide su rendimiento as
Conforman un conjunto de guas desarrolladas para orientar a la Direccin en la Gobernanza de TI
11

Estructura de CobiT 4/4.1: nuevo empaquetado (y II)
Cales son sus Responsabilidades? Consejos de Administracin y Altos Ejecutivos Indicadores Clave de Rendimiento Indicadores Clave de Objetivo Modelos de Madurez Gerencias de Lnea y de TI Qu es el Marco de Referencia para la Gobernanza de TI?
Resumen Ejecutivo
Cmo evaluarlo?
Como presentarlo e implantarlo?
P f i Profesionales l d de la l Gobernanza, G b la l Evaluacin E l i d de G Garanta t , el l Control C t l yl la S Seguridad id d
Marco de Referencia Objetivos de Control

Resumen Ejecutivo
Cmo evaluarlo?
Marco de Referencia Objetivos de Control
Gua de Evaluacin de Garanta de TI
Gua de Implantacin de Gobernanza de TI
12

Resumen Ejecutivo
Cmo evaluarlo?
Marco de Referencia Objetivos de Control Prcticas de Control
Gua de Evaluacin de Garanta de TI
Gua de Implantacin de Gobernanza de TI

Contenido nuclear de CobiT 4/4.1
Framework Control Objectives

Management Guidelines Maturity Models Management
Marco de Referencia
Guidelines
Framework
Control Objetivos Objectives de C t l Control
Directrices de G ti Gestin
Maturity Models
13


Marco de Referencia
Guidelines
Framework
Maturity Models

Marco de Referencia
La principal cualidad de CobiT es su orientacin hacia los OBJETIVOS de la ACTIVIDAD de la Organizacin y cmo TI apoya su logro
La Organizacin requiere INFORMACIN proporcionada por TI para alcanzar los OBJETIVOS propios de su actividad. Dicha informacin ha de cumplir una serie de CRITERIOS.
14

Marco de Referencia. Primer paradigma: Principio bsico de CobiT
A fin de proveer la informacin que la Entidad necesita para alcanzar sus OBJETIVOS, sta debe invertir en, y dirigir y controlar, los RECURSOS DE TI [personas, aplicaciones, infraestructura e informacin] empleando un conjunto estructurado de PROCESOS [objetivos de control de alto nivel] para entregar los servicios que faciliten la INFORMACIN EMPRESARIAL requerida. Objetivos de la Entidad
que responde a
dirigen las inversiones en
Informacin Empresarial
R Recursos de d TI
para aportar
Procesos de TI
que son usados por

Marco de Referencia. Definiendo las metas de TI y la arquitectura empresarial para TI
Estrategia Empresarial
Objetivos de la Entidad
Metas de TI
Arquitectura Empresarial para TI
Cuadro de Mando Integral para TI
RECURSOS DE TI Requisitos de la Organizacin requieren Servicios de Informacin implican Requisitos de Gobierno Corp. influencian Procesos de TI Criterios de Informacin necesitan aportan Informacin
ejecutan
Aplicaciones
Infraestructura y Gente
Arquitectura Empresarial para TI
15

Marco de Referencia. Objetivos de la Entidad vs. Objetivos de TI
20 Metas de la Entidad VS. 28 Metas de TI

Marco de Referencia. Objetivos de TI vs. Procesos de TI
28 Metas de TI VS. 34 Procesos
16

Marco de Referencia. Segundo paradigma: El cubo de CobiT

Marco de Referencia. El cubo de CobiT 4/4.1
REQUISITOS de la ORGANIZACIN para la INFORMACIN
Conjunto estrucu utrado de PROCESOS de TI
DOMINIOS
PERSONA AS
PROCESOS
ACTIVIDADES
INFRA AESTRUCTURA
APLIC CACIONES
INFORMACIN
17


Marco de Referencia
Guidelines
Framework
Maturity Models

Objetivos de Control. Los dominios de CobiT
El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa de forma natural en 4 DOMINIOS. [PO] PLANIFICAR y ORGANIZAR
10 Procesos de TI
[AI]
ADQUIRIR e IMPLANTAR
07 Procesos de TI
[DS]
ENTREGAR y SOPORTAR (dar soporte)
13 Procesos de TI
[ME]
MONITORIZAR y EVALUAR
04 Procesos de TI
18

Objetivos de Control. Los dominios de CobiT (y II)
OBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO
Cubre las estrategias y las tcticas para identificar la forma en la que la TI puede contribuir de la mejor j manera al logro de los objetivos de la Organizacin.
Integridad Disponibilidad Confidencialidad PLANIFICAR Y ORGANIZAR
Todos los procesos han de evaluarse peridicamente para verificar su calidad y suficiencia en cuanto a los requisitos de control. Advierte a la Direccin sobre la necesidad de garantizar procesos de control independientes (auditoras).
MARCO DE REFERENCIA
O B I
T
INFORMACION Eficiencia Eficacia Conformidad
MONITORIZAR Y EVALUAR
Fiabilidad
La consecucin de la visin estratgica debe planearse, comunicarse y gestionarse desde diferentes perspectivas. Es necesario establecer una organizacin e infraestructura tecnolgica apropiada.
Trata la entrega o la prestacin de los servicios requeridos d d las desde l operaciones i tradicionales, hasta la formacin; pasando por la seguridad en los sistemas y las continuidad de las operaciones -. Debern establecerse los procesos necesarios para la provisin de los servicios.
RECURSOS DE TI
SOPORTAR
ENTREGAR Y
Personas Aplicaciones Infraestructura Informacin
IMPLANTAR
ADQUIRIR E
Para llevar a cabo la estrategia de TI, stas deben identificarse, construirse o adquirirse, implantndose e integrndose en el proceso de la Organizacin. Contempla, asimismo, los cambios y mantenimiento de sistemas existentes, para garantizar su continuidad.

Objetivos de Control. Repositorio de Procesos de TI
PO1 Definir un plan estratgico de TI. PO2 Definir la arquitectura de informacin. PO3 Determinar la direccin tecnolgica. PO4 Definir los procesos de TI, la organizacin y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la direccin y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos.
ME1 ME2 ME3 ME4
Monitorear y Evaluar el desempeo de TI. Monitorear y Evaluar el control interno. Garantizar el cumplimiento regulatorio. Proveer Gobierno de TI.
MARCO DE REFERENCIA
O B I
T
INFORMACION Eficiencia Eficacia Conformidad Integridad Disponibilidad Confidencialidad PLANIFICAR Y ORGANIZAR
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. DS4 Asegurar continuidad de servicio. i i DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuracin. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente fsico. DS13 Administrar operaciones.
Fiabilidad
RECURSOS DE TI
SOPORTAR
ENTREGAR Y
IMPLANTAR
ADQUIRIR E
AI1 Identificar soluciones de automatizacin. AI2 Adquirir y mantener software de aplicacin. AI3 Adquirir y mantener la infraestructura tecnolgica. AI4 Permitir la operacin y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios.
19

Objetivos de Control. Repositorio de Controles de TI
Definiciones: [CONTROL] La poltica, normas, procedimientos, prcticas y estructuras organizativas diseados para garantizar (assurance) razonablemente que se alcanzarn los objetivos de la Organizacin y que se prevendrn, o detectarn y corregirn, eventos no deseados(-bles).
[OBJETIVO DE CONTROL] Una declaracin del resultado o propsito que se desea alcanzar al implantar procedimientos de control (controles) en una actividad concreta de TI.

Objetivos de Control. De alto nivel
Descripcin del proceso
Dominio de TI y Criterios de Informacin
Meta de TI
Metas del proceso
Prcticas clave
Mtricas clave
Gobernanza de TI y Recursos de TI
20

Objetivos de Control. Detallados 210 Objetivos de Control Detallados


Marco de Referencia
Guidelines
Framework
Maturity Models
21

Entradas y Salidas del Proceso
Actividades y Matriz RACI
Objetivos Obj ti (metas) ( t ) de d TI Objetivos (metas) de los procesos Objetivos (metas) de las actividades
KGI - Indicadores clave de objetivos KPI - Indicadores clave de rendimiento

Directrices de Gestin. Entradas y salidas del proceso Para cada uno de los 34 Procesos de TI (objetivos de control de alto nivel)
22

Directrices de Gestin. Actividades y matriz RACI Para cada uno de los 34 Procesos de TI (objetivos de control de alto nivel)

Directrices de Gestin. Objetivos e indicadores Para cada uno de los 34 Procesos de TI (objetivos de control de alto nivel)
23

Directrices de Gestin. Objetivos e indicadores: KGI y KPI
Objetivo
Lo Alcanzaremos?
Hacer el trabajo
KPI
Actuar
KGI
Lo hemos alcanzamos?

Directrices de Gestin. Objetivos e indicadores: un ejemplo
24

Directrices de Gestin. Modelos de madurez

Directrices de Gestin. Modelos de madurez: un ejemplo
25

Interrelacin de componentes CobiT 4
Requisitos I f Informacin i
Procesos de TI
controlados por
medidos por
se hacen efectivos y eficientes con
Objetivos de Control
auditados por traducidos a implantados con
para rendimiento para madurez para resultados
Objetivos de las Actividades
Directrices de Auditora
Prcticas de Control
Indicadores Clave de Desempeo
Indicadores Clave de Objetivos
Modelos de Madurez

Un ejemplo
Meta de la Entidad 19 Obtener informacin fiable y til para la toma de decisiones estratgicas
26

Un ejemplo
Meta de la Entidad 19 Obtener informacin fiable y til para la toma de decisiones estratgicas

Un ejemplo
Meta de TI 26 Mantener integridad y procesamientos
ME1 ME2 ME3 ME4 Monitorear y Evaluar el desempeo de TI. TI Monitorear y Evaluar el control interno. Garantizar el cumplimiento regulatorio. Proveer Gobierno de TI.
MARCO DE REFERENCIA
O B I
T
INFORMACION Eficiencia Eficacia Conformidad Integridad Disponibilidad Confidencialidad PLANIFICAR Y ORGANIZAR
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeo y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuracin. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente fsico. DS13 Administrar operaciones.
Fiabilidad
RECURSOS DE TI
PO1 Definir un plan estratgico de TI. PO2 Definir la arquitectura de informacin. PO3 Determinar la direccin tecnolgica tecnolgica. PO4 Definir los procesos de TI, la organizacin y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la direccin y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos.
SOPORTAR
ENTREGAR Y
IMPLANTAR
ADQUIRIR E
AI1 Identificar soluciones de automatizacin. AI2 Adquirir y mantener software de aplicacin. AI3 Adquirir y mantener la infraestructura tecnolgica. AI4 Permitir la operacin y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios.
27
LOGO DEL CLIENTE

03/ GOBERNANZA DE TI

La triste realidad
28
La triste realidad
DESGOBIERNO!!
o de cul es al actitud de la Alta Direccin con respecto a las TI de la Organizacin?
Formarn las TI parte de la agenda de las reuniones del Consejo? De ser as, Lo sern de una forma estructurada? Revisar e, incluso, aprobar el Consejo la estrategia con respecto a las TI? Tendr el Consejo una perspectiva clara de la cartera total de inversiones en TI, desde el punto de vista del riesgo y del retorno de tales inversiones? Recibir el Consejo, de forma regular, informes de progreso de los principales proyectos de TI? Ser informado el Consejo, peridicamente, de los riesgos de carcter tecnolgico a los que la Organizacin est expuesta? Estar el Consejo obteniendo garanta independiente de que se estn alcanzando los objetivos definidos para las TI y de que se estn mitigando los riesgos?
29
lleva a una imperiosa necesidad: Gobernanza
Conflictos y malas noticias
cuando la propiedad y el control [gestin/administracin] de las corporaciones no coinciden plenamente, habr potenciales conflictos de inters entre los propietarios y los controladores [gestores/administradores]
La investigacin g sobre la naturaleza y causas de la riqueza q de las naciones (1776)
Adam Smith (1723-1790)
30
Creciente complejidad social De igual modo, en el mundo corporativo actual hay, a menudo, una separacin entre aquellos - dentro de la Organizacin - que proporcionan fondos para invertir en actividades del negocio relacionadas con las TI, y aquellos otros que se ocupan de gestionar ti el l objeto bj t d de t tales l i inversiones. i
Abanico de derechohabientes en el entorno corporativo actual Pgina 60 | ATOS | 21 de abril de 2006 | N oferta | v1.0 60
Niveles de gobernanza
Gobernanza corporativa
La provisin de la estructura que permita determinar los objetivos de la Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos. OCDE (2004) Gobernanza de SI
Gobernanza de la Informacin y Tecnologas afines

La especificacin del marco de derechos a la toma de decisiones y la alta responsabilidad para favorecer un comportamiento deseable en el uso de las TI. MIT/Sloan School of Management (2004)
Gobernanza de TI
No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas eso es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman. o a
Gobernanza Corporativa
Gobernanza de la Seguridad de la Informacin y Tecnologas afines

El establecimiento y mantenimiento de un marco que provea garanta de que las estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK (2002)
Niveles de Gobernanza
31
Los datos
[dados los mismos objetivos estratgicos] las compaas con una Gobernanza de TI superior tienen, al menos, unos beneficios un 20% ms altos que aquellas otras que cuentan con una Gobernanza ms pobre
IT Governance. Weill P. & J.W.Ross. MIT/Sloan School of Management (2004)
ISBN: 1-59139-253-5
El enfoque de ISACA/ITGI
Alineamiento estratgico
Se orienta a asegurar el vnculo entre los planes de negocio y los de TI; a definir, mantener y validar la propuesta de valor de las TI; y a alinear las operaciones de TI, con las operaciones de la Entidad.
Aporte de valor
Guarda relacin con la ejecucin de la propuesta de valor a travs de un ciclo de entrega; garantizando que las TI ofrecen los beneficios esperados, con respecto a la estrategia marcada; y ello, concentrndose en optimizar los costes y probando el valor intrnseco de las TI.
Gestin de recursos
Hace referencia a la inversin ptima, y la gestin apropiada, de los recursos crticos de TI: aplicaciones, informacin, infraestructura y personas. Los temas clave tienen que ven con la optimizacin del conocimiento y la infraestructura.
Gestin del riesgo

Requiere la concienciacin de la Alta Direccin; un claro entendimiento del apetito de la Entidad por el riesgo; comprensin de los requisitos de conformidad normativa; transparencia sobre los riesgos significativos para la Empresa; y la incorporacin de responsabilidades de gestin de riesgos dentro de la Organizacin.
Dimensiones de la Gobernanza de TI
Medida del rendimiento

Sigue y supervisa la puesta en marcha de la estrategia, la finalizacin de los proyectos, el empleo de recursos, el rendimiento de los procesos y la entrega de servicios, empleado, por ejemplo, cuadros de mando integral que traducen la estrategia en acciones para para alcanzar resultados medibles, ms all de la simple contabilizacin.
32
El enfoque de ISACA/ITGI (y II)
Gobernanza de la Informacin y Tecnologas afines

Es una responsabilidad de la Junta Directiva y de la Alta Direccin Una parte integral de la Gobernanza Corporativa Consta de liderazgo, estructuras, organizaciones y procesos que garantizan que las TI soportan y extienden las estrategias y objetivos de la Entidad
LOGO DEL CLIENTE

04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE GOBERNANZA DE TI

33

Los derechohabientes (stakeholders) en la Gobernanza de TI
Junta y ejecutivos Gerencia de Negocios Gerencia de TI Auditora de TI Gerencia de Riesgo y cumplimiento
Fijan la direccin de TI TI, monitorean los resultados e insisten en las medidas correctivas Define los requerimientos del negocio para TI y garantiza que se agrega valor y que los riesgos son administrados Entrega y mejora los servicios de TI tal como los requiere el negocio Proporciona garanta independiente de que TI entrega lo que se necesita
Mide que las polticas obedecen a y estn enfocadas en alertar nuevos riesgos

Qu necesitan los derechohabientes (stakeholders)?
Junta Informacin I f i total t t l sobre b conformidad f id d y d desempeo d de TI Gerencia Ejecutiva Obtener valor a partir de las inversiones de TI Balancear el riesgo y el control de la inversin en un ambiente de TI que frecuentemente es impredecible Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros Ayudar a dar respuesta a los crecientes requerimientos regulatorios Gerencia de Riesgo y Cumplimiento Validar que tanto el negocio como TI cumplan con los requerimientos internos y externos Gerencia de Negocios Obtener garantas sobre la seguridad y los controles de los productos y servicios provistos internamente y por terceras partes Auditores de TI Confirmar opiniones a la administracin sobre los controles internos Responder a la pregunta: Qu controles mnimos son necesarios?
34

CobiT como marco de referencia para la Gobernanza de TI
COBIT ayuda a salvar las brechas entre los RIESGOS del negocio, las necesidades de CONTROL y los asuntos as ntos TCNICOS. TCNICOS Provee Pro ee buenas b enas prcticas a travs tra s de un n marco de referencia de dominios y procesos y presenta actividades en una estructura administrable y lgica.
COBIT: Parte de los requerimientos del negocio Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente aceptado Identifica los principales recursos de TI que deben ser potenciados Define los objetivos de control administrativos a ser considerados Incorpora los principales estndares internacionales Se ha convertido en el estndar de facto para el control general de TI
Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados. COBIT proporciona un marco de referencia que logra este objetivo.

Cmo ayuda CobiT?
Posibilita mapear las metas de TI a las metas del negocio y viceversa Mejor alineacin, basada en un enfoque del negocio Una visin, comprensible para la administracin, de lo que es TI Claridad en la propiedad y responsabilidades, basada en una orientacin a procesos Aceptabilidad general con terceras partes y reguladores Entendimiento compartido entre todos los involucrados, basado en un lenguaje comn Cumplimiento de los requerimientos de COSO para el ambiente de control de TI
35

Dnde encaja CobiT?
Directrices DESEMPEO: Metas del negocio CONFORMIDAD Basilea II, SarbanesOxley Act, etc
Gobierno Corporativo
Balanced Scorecard
COSO
Gobierno de TI
ISO38500 /COBIT / Val IT
Estndares de mejores prcticas
ISO 15504
ISO 27000
ISO 20000
Procesos y Procedimientos
Procedimientos Desarrollo Software
Principios de Seguridad
ITIL

Camino hacia la implantacin
Una secuencia de actividades para construir un Gobierno de TI sostenible en la Organizacin
Evaluacin Actividad Normal del Negocio g Desarrollar organizacin de Gobierno de TI
Proyectos de Mejoramiento Anlisis de Brechas Anlisis de Necesidades Concienciacin Nada
Un mapa de ruta genrico ayuda a las organizaciones a disear los esfuerzos de implementacin del Gobierno de TI
36

Camino hacia la implantacin (y II)
xito
Una secuencia de actividades para construir un Gobierno de TI sostenible en la Organizacin
Cmo podemos mantener el control?
Ya lo hemos arreglado?
Qu lograr? Qu se est olvidando? Qu es critico? Existen problemas? Qu debe Entregar TI?
Un mapa de ruta genrico ayuda a las organizaciones a disear los esfuerzos de implementacin del Gobierno de TI

Mapa de ruta (IT Governance Implementation)
IDENTIFICAR NECESIDADES Fomentar la conciencia y obtener compromiso Analizar metas etas del de negocio & TI Seleccionar procesos y controles
Analizar a a riesgos
Definir e e el Alcance
PREVER LA SOLUCIN
Definir el desempeo actual
Definir objetivos de mejora
Analizar inconsistencias e identificar mejoras
PLANEAR LA SOLUCIN
Definir proyectos
Desarrollar un plan de mejora
IMPLEMENTAR LA SOLUCIN
Implementar las mejoras
Integrar medidas en el ITBSC
Revisin Post implementacin
CONSTRUIR SOSTENIBILIDAD
Desarrollar Estructura & Procesos del Gobierno de TI
37
LOGO DEL CLIENTE

05/ Val IT IT O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN ACTIVIDADES APOYADAS EN TI

05/ Val IT O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN ACTIVIDADES APOYADAS EN TI

Val IT: Basado en CobiT
38

Val IT. Un nuevo miembro en la familia CobiT
Val
IT - Enterprise Value:
Marzo 2006
Governance of IT investments

Presentacin
39

La paradoja de la informacin
El VALOR de las TI est siendo cada vez ms cuestionado
mientras las organizaciones continan gastando ms y ms en tecnologa

El dato
Ms de 600.000 millones de dlares tirados cada ao en proyectos de TI, mal concebidos o mal ejecutados.
Fuente: Gartner
40

La cuestin fundamental
Estamos gestionando nuestras inversiones en TI, de forma tal, que: obtenemos el nivel ptimo de valor; a un coste razonable; y, con un aceptable nivel de riesgo?

Las cuatro cuestiones de Val IT
41

Val IT y CobiT, complementarios; pero en dos planos distintos
Val IT ofrece un marco complementario al de CobiT; pero con un enfoque estratgico y de gestin, al ms alto nivel.

Proyectos, Programas y Portfolios
[PORTFOLIO (cartera)] Conjunto de programas de la Entidad gestionados para optimizar el valor global de la misma. [PROGRAMA] Agrupamiento estructurado de proyectos, diseados para producir un valor para la Entidad, claramente identificado (ms particular). [PROYECTO] Conjunto estructurado de actividades relacionadas con la entrega de una determinada capacidad basada en un presupuesto y una planificacin pre-acordadas.
42

Principios de Val IT
Las inversiones en actividades habilitadas por las TI sern gestionadas como una cartera de inversiones. Las citadas inversiones incluirn el alcance completo de las actividades que sean necesarias para lograr valor para la Organizacin. Dichas inversiones se gestionarn a travs de ciclo de vida econmico completo. Las prcticas de aporte de valor reconocern que hay diferentes categoras de inversin, que sern evaluadas y gestionadas de diferente modo. Las prcticas de entrega de valor definirn y supervisarn mtricas clave y respondern rpidamente ante cualquier cambio o desviacin. desviacin Las prcticas de provisin de valor involucrarn a todos los derechohabientes asignarn la oportuna responsabilidad para la entrega de capacidades y la obtencin de beneficios para la Entidad. Las prcticas de entrega de valor sern supervisadas, evaluadas y mejoradas, continuamente.
05 Val IT O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN ACTIVIDADES APOYADAS EN TI

Procesos y prcticas clave de gestin
Val IT consta de tres (3) PROCESOS, soportados en un total de cuarenta (40) PRCTICAS clave de gestin
43

Proceso de Value Governance y sus prcticas de gestin asociadas
[VG] VALUE GOVERNANCE. Orientado a optimizar el valor de las inversiones habilitadas mediante (facilitadas por) la TI.

Proceso de Portfolio Management y sus prcticas de gestin asociadas
[PM] PORTFOLIO MANAGEMENT. Asegura que todas las inversiones (y las asociadas, durante toda la vida) se gestionan como una cartera de programas alineados con los objetivos estratgicos de la Organizacin y contribuyendo a ellos con valor ptimo.
44

Proceso de Investment Management y sus prcticas de gestin asociadas
[IM] INVESTMENT MANAGEMENT. Se propone asegurar que cada programa individual de inversin estrega valor ptimo a coste y riesgo conocidos y aceptables.
LOGO DEL CLIENTE

06/ CobiT Y OTROS MODELOS

45

Referencias tradicionales de CobiT
~40 referencias que engloban normas tcnicas y profesionales, cdigos de conducta, criterios de calificacin, prcticas de la industria y requisitos emergentes de sectores especficos.
COSO OCDE DTI ISO 9000-3 NIST SP 800-12 ITIL IBAG NSW DCB EDPAF/Monogrfico 7 PCIE JISAS EDPAF/Objetivos de Control
CISA IFAC NIST SP 500-153 GAO/GAS SPICE ISAA (Dinamarca) DRI International IIA/SAC IIA/PPP 97-1 E&Y/TRS C&L/Audit Guide SAP R/3 ISO IEC JTC1-SC27 ISO IEC JTC1-SC7
ISO TC68 TC68-SC2-WG4 SC2 WG4 Criterios Comunes EDIFACT TickIT ESF/Comunicaciones ESF/Microordenadores EDPAF/CISAM GAO/AIMD-00-21.3.1 NIST SP 800-18 GAO/FISCAM BS7799 CICA ISO IEC 13335-n (1..5) SysTrustTM

Referencias a partir de CobiT 4
Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control Integrated Framework, 1994 Enterprise Risk Management Integrated Framework, 2004 Office of Government Commerce (OGC) IT Infrastructure Library (ITIL), 1999-2004 Internation Organisation for Standardization ISO/IEC 17799:2005, Code of Practice for Information Security Management Software Engineering Institute (SEI) SEI Capability p y Maturity y Model ( (CMM), 1993 SEI Capability Maturity Model Integration (CMMI), 2000 Project Management Institute (PMI) Project Management Professional Body of Knowledge (PMBOK), 2000 Information Security Forum (ISF) The Standard of Good Practice for Information Security, 2003
46

CobiT Mapping. Overview of International IT Guidance

47
CobiT Mapping. ITIL
Service Support
Service Delivery
Service Desk
Service Level Management

Service Support
Service Delivery
Availability Management
Service Support
Incident Management
Service Delivery
Capacity Management
Service Support
Problem Management
Service Delivery
Financial Management
Service Support
Change Management
Service Delivery
Continuity Management
Service Support
Release Management
Configuration Management
48

CobiT Mapping. ISO/IEC 17799:2005

CobiT Mapping. PMBOK
49

CobiT Mapping. PRINCE2TM

CobiT Mapping. Otros mapas
50

CobiT Mapping. CMMI
Plan and Organize
1
Monitor and Evaluate M
9 10 1 2 3 4 5 6 7
Acquire and Mainta ain
4 1 2 CobiT 4.0 processes addressed by CMMI 3
by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13
Deliver and Support

CobiT Mapping. ISO38500
Figura 2- Relacin de ITGI Productos e ISO / IEC 38500 ISO / IEC 38500 de reas ITGI Producto
Responsabilidades Comportamiento humano Funcionamiento
Conformidad
Adquisicin
Estrategias
Reunin informativa sobre la Junta de Gobierno de TI, 2 edicin Desbloqueo de Valor: El Primer Ejecutivo sobre el papel fundamental de Gobierno de TI COBIT Val de TI Gua para la implementacin de Gobierno de TI: Uso de COBIT y Val IT, 2da Edicin Gua de Aseguramiento de TI: Uso de COBIT COBIT Quickstart , 2a Edicin Valor de empresa: la gobernanza de la TI Inversiones, Primeros pasos con Valor Gestin COBIT Seguridad de referencia, 2 edicin Valor de empresa: la gobernanza de la TI Inversiones, el asunto de Negocios
nitorizar
Evaluar
Dirigir
51

El efecto sombrilla de CobiT
COSO
ISO38500 / COBIT / Val IT

ISO 27000 ISO 15504
QUE
ISO20000
COMO
CAMPO DE COBERTURA
LOGO DEL CLIENTE

07/ CERTIFICACIN ISO38500

52
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores, socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin. Informar y guiar a la alta direccin en el gobierno TIC en su organizacin. Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC
ISO 38500
53
BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR: Adecuada aplicacin y operacin de activos de TIC. Asignacin de responsabilidades. Continuidad del negocio Sostenibilidad. Alineacin de TIC con los objetivos del negocio. Asignacin eficiente de recursos. Innovacin en los servicios, los mercados y las empresas. Mejora de imagen y reputacin en el mercado frente a los reguladores, y con los stakeholders. Optimizacin en los costes de una organizacin Inversin efectiva f en TIC. C Cumplimiento legal.
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos. Con el Gobierno Corporativo permite asegurar una informacin eficaz y el cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus consecuencias derivadas.
ISO 38500
54
MODELO:
La Norma establece los principios para el buen gobierno corporativo de TIC:
Responsabilidad Estrategia Inversin Rendicin de Resultados Cumplimiento Recursos Humanos

E cada En d uno de d los l principios i i i de d la l Norma N es necesario i realizar li t tres t tareas principales: i i l
EVALUAR el uso actual y futuro de las TIC. DIRIGIR la preparacin y ejecucin de planes y polticas para garantizar que el uso de
TIC cumple los objetivos empresariales.
MONITORIZAR la conformidad con las polticas, y los resultados de los planes.

PRINCIPIOS:
Claro establecimiento de responsabilidades sobre las TIC Planificacin de las TIC para un mejor soporte de la organizacin Adquisicin de TIC de forma vlida Garanta de unas TIC que funcionan bien y cuando son requeridas Garanta de unas TIC que cumplen (y ayudan a cumplir) con la normativa formalmente establecida Garanta de unas TIC cuyo uso respeta los factores humanos
55
LOGO DEL CLIENTE

08/ COMO MEDIR Y COMPARAR MI ORGANIZACIN


Objetivos e indicadores
Objetivo
Mantener la reputacin y el liderazgo empresarial
Lo alcanzaremos?
KPI (Key Performance Indicator / Indicador Clave de Rendimiento):
Indican cmo se est desarrollando el proceso, cul est siendo su comportamiento. Predicen la probabilidad del xito o fracaso en el futuro. Son
Hacer el trabajo
Actuar
indicadores gua. Ayudarn a mejorar el proceso de Seguridad de la Informacin cuando sean medidos y se acte sobre ellos.
KPI
Nmero de accesos no autorizados en el ltimo mes
KGI
Nmero de incidentes que han afectado a la imagen pblica
Lo hemos
KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):
alcanzamos?
Indican, despus del hecho, si un determinado objetivo se ha alcanzado.
56

Cuadro de Mando Integral
Financiera
Qu objetivos financieros se deben alcanzar
El Cuadro de Mando Integral (BSC, Balanced ScoreCard) presenta el
rendimiento desde cuatro perspectivas.

Cliente
Qu necesidades del cliente deben ser servidas
Interna
En qu procesos internos debe distinguirse la Organizacin g
Los KGI hacen referencia a las vertientes financiera y del cliente, dentro del BSC.
Aprendizaje
Cmo debe aprender e innovar la Organizacin
Los KPI se enfocan hacia el proceso y la dimensin del aprendizaje.

Cuadro de Mando Integral. Un ejemplo
Perspectiva Financiera
KGI KPI
Reducir el tiempo y esfuerzo requeridos para hacer cambios.
Perspectiva del cliente

KGI KPI
Reducir el nmero de interrupciones causadas por errores de gestin de cambios.
Objetivos de negocio / Preocupaciones de TI KGI Objetivo de TI Mayor direccin al neg. Implantar la nueva infraestructura de red
Perspectiva Interna
KGI KPI
Reducir el nmero de soluciones de emergencia. Reducir el trabajo adicional causado por especificaciones de cambio bi i inadecuadas. d d
Aprender e innovar
KGI KPI
Formacin completada en cuatro (4) meses.
57
58
59
LOGO DEL CLIENTE

DEBATE

60
DEBATE
Discusiones, preguntas y repuestas
Discusiones, Preguntas y Respuestas
Reflexin Final
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS
Santiago S g Ramn y Cajal j (1854-1934) ( )
61
LOGO DEL CLIENTE

Muchas gracias por contribuir al xito de la sesin

62

Univ Deusto

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Univ Deusto

Cargado por

Copyright:

Formatos disponibles

LOGO DEL CLIENTE

(no debe superar el tamao del logo de Atos Origin)

21 de abril de 2006 | N oferta | v1.0

Pgina 1 | ATOS | 21 de abril de 2006 | N oferta | v1.0 1

*** OBJETIVOS ***

Pgina 2 | ATOS | 21 de abril de 2006 | N oferta | v1.0 2

*** CRDITOS Y RECONOCIMIENTOS ***

Pgina 3 | ATOS | 21 de abril de 2006 | N oferta | v1.0 3

Pgina 4 | ATOS | 21 de abril de 2006 | N oferta | v1.0 4

Pgina 6 | ATOS | 21 de abril de 2006 | N oferta | v1.0 6

LOGO DEL CLIENTE

21 de abril de 2006 | N oferta | v1.0

S. XXI - ORIENTACIN STAKEHOLDERS

- Promover la participacin activa de la ciudadana en el desarrollo de la RSC.

Pgina 11 | ATOS | 21 de abril de 2006 | N oferta | v1.0 11

El Gobierno Corporativos incluye las siguientes capacidades:

Pgina 12 | ATOS | 21 de abril de 2006 | N oferta | v1.0 12

Definicin de la Gobierno Corporativo

01/ ANTECEDENTES Componentes del Gobierno Corporativo

Pgina 14 | ATOS | 21 de abril de 2006 | N oferta | v1.0 14

Componentes de la gestin de Buen Gobierno Corporativo

Pgina 15 | ATOS | 21 de abril de 2006 | N oferta | v1.0 15

Coso Internal Control Integrated Framework

Pgina 16 | ATOS | 21 de abril de 2006 | N oferta | v1.0 16

LOGO DEL CLIENTE

02/ ALCANCE DE CobiT

21 de abril de 2006 | N oferta | v1.0

02/ ALCANCE DE CobiT

Pgina 18 | ATOS | 21 de abril de 2006 | N oferta | v1.0 18

Nov. 2005 / Mar.2007

02/ ALCANCE DE CobiT

Control objectives for information and related Technology

Pgina 20 | ATOS | 21 de abril de 2006 | N oferta | v1.0 20

02/ ALCANCE DE CobiT

Los controles mnimos son

Ud. mide su rendimiento as

Conforman un conjunto de guas desarrolladas para orientar a la Direccin en la Gobernanza de TI

Pgina 21 | ATOS | 21 de abril de 2006 | N oferta | v1.0 21

02/ ALCANCE DE CobiT

Como presentarlo e implantarlo?

P f i Profesionales l d de la l Gobernanza, G b la l Evaluacin E l i d de G Garanta t , el l Control C t l yl la S Seguridad id d

Marco de Referencia Objetivos de Control

Pgina 22 | ATOS | 21 de abril de 2006 | N oferta | v1.0 22

02/ ALCANCE DE CobiT

Como presentarlo e implantarlo?

P f i Profesionales l d de la l Gobernanza, G b la l Evaluacin E l i d de G Garanta t , el l Control C t l yl la S Seguridad id d

Marco de Referencia Objetivos de Control

Gua de Evaluacin de Garanta de TI

Gua de Implantacin de Gobernanza de TI

Pgina 23 | ATOS | 21 de abril de 2006 | N oferta | v1.0 23

02/ ALCANCE DE CobiT

Como presentarlo e implantarlo?

P f i Profesionales l d de la l Gobernanza, G b la l Evaluacin E l i d de G Garanta t , el l Control C t l yl la S Seguridad id d

Marco de Referencia Objetivos de Control Prcticas de Control

Gua de Evaluacin de Garanta de TI

Gua de Implantacin de Gobernanza de TI

Pgina 24 | ATOS | 21 de abril de 2006 | N oferta | v1.0 24

02/ ALCANCE DE CobiT

Framework Control Objectives

Control Objetivos Objectives de C t l Control

Pgina 25 | ATOS | 21 de abril de 2006 | N oferta | v1.0 25

02/ ALCANCE DE CobiT

Framework Control Objectives

Control Objetivos Objectives de C t l Control

* OBJETIVOS *

* CRDITOS Y RECONOCIMIENTOS *