Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Gobernabilidad Ti
1 Gobernabilidad Ti
QU ES EN REALIDAD?
Por:
Armando V. Tauro,Ph.D.
Noviembre 16, 2013
Contexto.
Tendencia regulatoria es global!.
Escndalos 2002 dan nfasis al tema gobierno
Enron, Worldcom, Tyco, ...
Reaccin: Sarbanes Oxley y otras regulaciones.
Del gobierno corporativo al gobierno IT
Principal objetivo: dar confianza a inversionistas!!
Han pagado primas hasta de 20% en inversiones por compaas con
gobierno transparente.
Latinoamrica:
Tmidos avances sobre regulaciones de gobierno
corporativo. Ms lentamente en IT.
Impacto de IT en los negocios.
BOTTOM-UP:
Gerencia (o VP) de IT conciente de la necesidad.
Capacidad de alinear funcin y organizacin a los objetivos y
estrategias del negocio.
Establece medios de comunicacin sobre sus resultados y
el cumplimiento de sus objetivos.
Qu es gobierno de IT?
Alta Direccin
Comportamiento
Estrategia
Deseable
Activos Crticos
Activos
Activos Activos Activos Informacin Activos de
Propiedad
Humanos Financieros Fsicos Activos IT Relaciones
Intelectual
Mecanismos Mecanismos
Gobierno Financiero Gobierno IT
(comits presupuestos)
(comits presupuestos)
Gobierno IT 2003 MIT Sloan School Center for information System Research.
Gobierno de IT vs. Gerencia de IT.
USUARIOS DE TI
Y CONTROL
ALTA GERENCIA
DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI
AUDITORES
CONCEPTO BSICOS
Proveer un marco nico reconocido a nivel mundial de las mejores
prcticas de control y seguridad de TI
Consolidar y armonizar estndares originados en diferentes pases
desarrollados.
Concientizar a la comunidad sobre importancia del control y la auditora
de TI.
Enlaza los objetivos y estrategias de los negocios con la estructura de
control de la TI, como factor crtico de xito
Aplica a todo tipo de organizaciones independiente de sus plataformas
de TI
Ratifica la importancia de la informacin, como uno de los recursos ms
valiosos de toda organizacin exitosa
CONCEPTO BSICOS
ISACA - 95 paises 20.000
miembros
COBIT Investigacin: E.U-Europa-
Representatividad
Australia-Japn
Consolidacin y armonizacin 18
estndares
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japn
CONCEPTO BSICOS
Para satisfacer los objetivos del negocio la informacin debe cumplir
con criterios que COBIT extrae de los ms reconocidos modelos:
Calidad
Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Los 4 principios:
Dirigir y controlar
Con responsabilidad
Internos
Externos
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Las 5 reas:
Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Las 5 ventajas:
Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios
Propuesta de Solucin
Expectativas sobre COBIT (1)
Alta Gerencia:
Utilizar los procesos de COBIT para lograr un lenguaje comn
entre el negocio y TI y asignar responsabilidades claras
Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para determinar las
necesidades que sern cubiertas por los Acuerdos de Niveles
de Servicio
Propuesta de Solucin
Expectativas sobre COBIT (2)
Auditora Interna:
Utilizar los objetivos de control de COBIT como un criterio para
evaluar y definir el alcance a revisar
Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeo de los procesos / gestin
4. Generar polticas y procedimientos
Fase 1
Levantamiento de procesos actuales
Objetivos de Control
Indicadores de Resultados
Indicadores de Desempeo
EL MODELO DEL MARCO DE TRABAJO DE COBIT
nistracin, Control, Alineacin y Monitoreo de Cobit. El marco de trabajo COBIT,
OBJETIVOS DE NEGOCIO relaciona los requerimientos de
informacin y de gobierno a los
Drivers de Gobernabilidad
Criterios de objetivos de la funcin de servicio
Resultados de Negocio Informacin de TI. El modelo de procesos
COBIT permite que las
actividades de TI y los recursos
que los soportan sean
administrados y controlados
Infraestructura
Informacin
Indicadores clave
de Rendiemiento
Procesos
Procesos de TI
de TI
Indicadores clave
de Objetivos
Objetivos de Control de
Objetivos de TI
Alto Nivel
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Informacin
Dominios
Informacin
Infraestructura
Dominios
Aplicaciones
Personas
Procesos
Procesos
Actividades
Actividades
CLASIFICACIN
Agrupamiento lgico de procesos, a menudo
se concibe como dominios de responsabilidad
dentro de una estructura y se relaciona con el
Dominios
ciclo de vida aplicable a los procesos de
Tecnologa de Informacin.
Una serie de actividades o tareas vinculadas
con cortes (de control) naturales.
Son necesarias para lograr un resultado
mensurable. Las actividades tienen un ciclo
Procesos de vida mientras que las tareas son discretas.
Actividades
o tareas
CobiT: enfoque e implementacin
Resumen Ejecutivo
Herramientas de
implementacin
Resumen Ejecutivo
Marco Referencial-Esquema Casos de Estudio
Objetivos de Alto Nivel Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI
Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que la
tecnologa de informacin puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Incluye las actividades de planificar, comunicar y
administrar la realizacin de la visin estratgica desde
distintas perspectivas.
DOMINIO
Planificacin y Organizacin
Proceso: PO1 Definicin de un plan estratgico de TI
Entrega y Soporte
CONFIDENCIALIDAD
COBIT DOMINIO AI:
DISPONIBILIDAD
APLICACIONES
CONFIABILIDAD
TECNOCLOGA
CUMPLIMIENTO
FACILIDADES
EFECTIVIDAD
Navegacin Adquisicin e
INTEGRIDAD
PERSONAS
EFICIENCIA
(Matriz) Implementacin
DATOS
Identificar soluciones
AI1 de IT P S
Adquirir y mantener
AI2 software aplicativo P P S S S
Adquirir y mantener
AI3 arquitectura tecnolgica P P S
Desarrollar y mantener
AI4 Procedimientos de IT P P S S S
Instalar y acreditar
AI5 sistemas P S S
AI6 Administrar los cambios P P P P S
CRITERIOS RECURSOS
DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a corto y largo
plazo para administrar y orientar todos los recursos de IT de la organizacin. Estos
planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los
cambios de las condiciones de la IT. La evaluacin de los sistemas existentes debe
realizarse antes de desarrollar o modificar el plan estratgico de IT. As mismo, la
funcin de administracin de los servicios de informacin debe asegurar que el plan
estratgico de IT es consistente con los objetivos del negocio, y los planes a corto y
largo plazo de la organizacin.
OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeacin y Organizacin
Requerimientos Informacin
Procesos de TI
Objetivos
de Control
Implementado
con
Para resultados
Indicadores Indicadores
Modelo de
Clave de Clave de
Desempeo Metas
Madurez
CONTROLES GENERALES
Desarrollo de soluciones
Controles Generales Administracin de Cambios
sobre procesos de
TI
Seguridad
Operacin del Computador
Integridad (completitud)
Controles sobre Precisin
procesos de negocio Validez
que utilizan TI Autorizacin
Segregacin de Funciones
CONTROLES DE APLICACIN - ORIGEN
Preparacin de Datos (AC1)
Autorizacin de documentos fuente (AC2)
Recoleccin de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retencin de documentos fuente (AC5)
El personal autorizado, actuando dentro de su autoridad, prepara los Existen procedimientos para garantizar que los documentos fuente
documentos fuente de forma adecuada y existe una segregacin de originales son retenidos o pueden ser reproducidos por la
funciones apropiada con respecto a la generacin y aprobacin de organizacin durante un lapso adecuado de tiempo para facilitar el
los documentos fuente. acceso o reconstruccin de datos as como para satisfacer los
requerimientos legales.