GOBIERNO CORPORATIVO TIC

Objetivos y Metodologa para su implantacin

AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Pern, 38 3
28020 Madrid
 GOBIERNO CORPORATIVO TIC

NDICE
1. Introduccin
2. Coso Internal Control Integrated Framework
3. Balance Scorecard Cumplimiento Legal
4. ISO 38500 - COBIT / ValIT
5. ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
6. Metodologa.
6. Desarrollo del proyecto.
7. Fases de desarrollo del proyecto
 ALGUNA INFORMACIN PERSONAL

Jos Manuel Ballester Fernndez

mballester@temanova.com

Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT

Consejero Delegado TEMANOVA
Socio ALINTEC
Director Estratgia Fundacin DINTEL
Director Postgrado Buen Gobierno Universidad Deusto
Director Ctedra Buen Gobierno Universidad Deusto
Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
Former President de ASIA / ISACA Madrid Chapter
CobiT Foundation Certificate
Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM)
Certified Governance Enterprise IT (CGEIT)
Accredited CobiT Trainer
 Introduccin
Complejidad social
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.

Texto men 2
 Las organizaciones requieren una aproximacin estructurada para abordar stos y otros desafos.

Seguridad Administrar los

servicios de TI

Manejar
Alineamiento de TI la complejidad
con el Negocio

Valor/Costo Cumplir con

requerimientos
regulativos
 Introduccin

Gobierno Corporativo TIC es

Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva
AG
NCA con el fin de proveer direccin
I
C I VA REG
EA TG LO A
N
I A
AL TR
R R estratgica,
ES
garantizando que los objetivos sean
alcanzados,
DEL ACIN
MED
DES
ICI PEO

estableciendo que los riesgos son

EM

STR

SG O
N

www.itgi.org administrados apropiadamente y

INI

RIE
DEL

ADM

ADMINISTRACIN
verificando que los recursos de la
DE LOS RECURSOS empresa son usados
responsablemente.

Texto men 2
 Introduccin
Niveles de gobernanza
Gobernanza corporativa (COSO)
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.

OCDE (2004)

Gobernanza de SI Gobernanza de la TIC ISO 38500 COBIT / Val IT

La especificacin del marco de derechos a la toma de decisiones y la alta responsabilidad
para favorecer un comportamiento deseable en el uso de las TIC.

MIT/Sloan School of Management (2004)

No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
Gobernanza de TIC
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.

Gobernanza
Corporativa Gobernanza de la Seguridad de la Informacin y Tecnologas afines
El establecimiento y mantenimiento de un marco que provea garanta de que las
estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y
Niveles de Gobernanza son conformes a las leyes y regulaciones aplicables

Texto men 2 ISACA/CISM BoK (2002)

 Introduccin
Marcos de Control
En la actualidad existe diferentes metodologas orientadas al control de las organizaciones, cada una de
ellas abarca diferentes mbitos, de forma que se complementan.

COSO Cumplimiento Legal

ISO38500 COBIT / Val IT

ISO 27000

ISO 24762
ISO 20000
QUE ITIL COMO

Texto men 2 CAMPO DE COBERTURA

 Introduccin
Niveles de gobernanza

CONFORMIDAD
Directrices DESEMPEO:
Basilea II, Sarbanes-
Metas del negocio
Oxley Act,LOPD, etc

Balanced Scorecard
Gobierno Corporativo COSO

Gobierno de TI ISO38500 COBIT / Val IT

ISO ISO ISO

Estndares de mejores prcticas 24762 27000 20000

Principios
Texto men 2Procesos y Procedimientos Continuidad de
de ITIL
Negocio
Seguridad
 Coso Internal Control Integrated Framework

En 1992, COSO public el Sistema Integrado de Control Interno, un informe

que establece una definicin comn de control interno y proporciona un
estndar mediante el cual las organizaciones pueden evaluar y mejorar sus
sistemas de control.

Control Interno OBJETIVOS DE COSO

Mejorar la calidad de la informacin financiera
concentrndose en el manejo corporativo, las normas ticas
y el control interno.

Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el control
interno.
 Coso Internal Control Integrated Framework

El Gobierno Corporativos incluye las

siguientes capacidades:

Alinear el riesgo aceptado y la estrategia

Mejorar las decisiones de respuesta a los riesgos.

Reducir las sorpresas y prdidas operativas

Identificar y gestionar la diversidad de riesgos para toda la entidad

Aprovechar las oportunidades

Mejorar la dotacin de capital

Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de

rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.

Con el Gobierno Corporativo permite asegurar una informacin eficaz y el

cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
 Coso Internal Control Integrated Framework

Definicin de la Gobierno Corporativo

El Gobierno Corporativo es un proceso efectuado por el consejo de
administracin de una entidad, su direccin y restante personal,
aplicable a la definicin de estrategias en toda la empresa y diseado
para identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los objetivos.

El marco de Gobierno Corporativo est orientado a alcanzar

los objetivos de la entidad, que se pueden clasificar en cuatro
categoras:

Estrategia: objetivos a alto nivel, alineados con la misin de la entidad y

dndole apoyo

Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos

Informacin: objetivos de fiabilidad de la informacin suministrada.

Cumplimiento: objetivos relativos al cumplimiento de leyes y normas
aplicables.
Componentes del Gobierno Corporativo
EL Gobierno Corporativo consta de ocho componentes relacionados
entre s, que se derivan de la manera en que la direccin conduce la
empresa y cmo estn integrados en el proceso de gestin.

Ambiente interno: establece la base de cmo el personal de la entidad

percibe y trata los riesgos.

Establecimiento de objetivos: los objetivos deben de existir antes de que la
direccin pueda identificar potenciales eventos que puedan afectar a su
consecucin.

Identificacin de eventos: tanto internos como externos que afectan a los
objetivos de la entidad.

Evaluacin de riesgos: se analizan considerando su probabilidad e impacto
como base para determinar como deben de ser gestionados.

Respuesta al riesgo: las posibles respuestas evitar, aceptar, reducir o
compartir los riesgos.

Actividades de control: las polticas y procedimientos se establecen e
implantan para ayudar a asegurar que las respuestas a los riesgos son
eficaces.

Informacin y comunicacin: la informacin relevante se identifica, capta y
comunica para que el personal pueda afrontar sus responsabilidades.

Supervisin: la supervisin se lleva a cabo mediante actividades de la
direccin o evaluaciones independientes.
Componentes de la gestin de Buen Gobierno Corporativo
 Coso Internal Control Integrated Framework

Funciones y responsabilidades

La Alta Gerencia es la responsable ltima del sistema de control. La integridad y la tica

deben ser elementos que aporten ejemplo a los dems empleados. Debe dirigir a los
gerentes que a su vez son los responsables en sus respectivas reas.

El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.

La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y

permanencia de los sistemas de control. Para ello debe contar con una ubicacin jerrquica
adecuada.

Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar

el control interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de
trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los cdigos
de conducta, a las polticas establecidas o la legalidad de las acciones realizadas.
 Coso Internal Control Integrated Framework
Evaluacin de riesgos

Determinacin de los
Objetivos.

Objetivos globales (tales como
la Misin).

Objetivos especficos de las
diversas actividades (por ej.
Produccin), estos sub-
objetivos medibles a travs de
metas deben ser coherentes.
Los objetivos deben ser:

Definidos de modo de
identificar los criterios para
medir el rendimiento y
establecer factores crticos de
xito (que pueden ser a nivel
de actividad o unidad
operacional).

Coherentes y compatibles.

Como ejemplo se puede
considerar: efectuar pagos
slo para compras
autorizadas, que los sistemas
informticos se encuentren
disponibles segn los
requerimientos del negocio,
etc.
Informacin y comunicacin

Debe asegurase que se obtenga

informacin de calidad y no meros
datos.

La informacin debe ser protegida
ya que se trata de un activo valioso.

Las vas de comunicacin interna
deben asegurar que el personal
conozca los elementos suficientes
para cumplir con su tarea. Supervisin

Las actividades de supervisin

continua y evaluaciones puntuales.

Las deficiencias detectadas deben

ser oportunamente comunicadas.
 Marcos Regulatorios del Buen Gobierno

Legislacin extranjera de implantacin en "branch offices".

Decisiones del Consejo Europeo (emergentes).

Pretender preparar un marco para el desarrollo nacional.

Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.

Foros sectoriales:
Asociaciones Profesionales.
Basilea II
 Utilidad del Cuadro de Mando Integral

BalancedScoredCard:
Lenguaje comn entre entornos diferentes.

Establecimiento de un mapa estratgico con

"dnde queremos estar".

Estudio del impacto de determinadas

acciones:
Seleccionar acciones.
Estudiar el impacto en el BSC.
Elaborar una regla.
 ISO/IEC 38500. Corporate Governance of IT

URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639 20
 ISO/IEC 38500:2008

OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:

Generar confianza en los stakeholders (empleados, clientes, proveedores,

socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.

Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.

Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC

ISO 38500
 ISO/IEC 38500:2008

BENEFICIOS DE LA IMPLANTACIN DEL ESTNDAR:

Adecuada aplicacin y operacin de activos de TIC.

Asignacin de responsabilidades.

Continuidad del negocio

Sostenibilidad.

Alineacin de TIC con los objetivos del negocio.

Asignacin eficiente de recursos.

Innovacin en los servicios, los mercados y las empresas.

Mejora de imagen y reputacin en el mercado frente a los reguladores,
agentes sociales y con los stakeholders.

Optimizacin en los costes de una organizacin

Inversin efectiva en TIC.

Cumplimiento legal.
Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de
rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.

Con el Gobierno Corporativo permite asegurar una informacin eficaz y el

cumplimiento de leyes y normas, adems de ayudar a evitar daos a la reputacin de
la entidad y sus consecuencias derivadas.
ISO38500
 ISO/IEC 38500:2008
MODELO

La Norma establece los principios para el buen gobierno

corporativo de TIC:

Responsabilidad

Estrategia

Inversin

Rendicin de Resultados

Cumplimiento

Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:

EVALUAR el uso actual y futuro de las TIC.

DIRIGIR la preparacin y ejecucin de planes y polticas para
garantizar que el uso de TIC cumple los objetivos empresariales.

MONITORIZAR la conformidad con las polticas, y los resultados
de los planes.
 ISO/IEC 38500. Corporate Governance of IT

Independencia de las herramientas

Definicin clara del concepto y sus lmites

Identificacin de los destinatarios del mensaje

Sencillez del propio mensaje a travs de la proclamacin

de unos principios

25
 ISO/IEC 38500. Principios
Claro establecimiento de responsabilidades sobre las TIC
Planificacin de las TIC para un mejor soporte de la
organizacin
Adquisicin de TIC de forma vlida
Garanta de unas TIC que funcionan bien y cuando son
requeridas
Garanta de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
Garanta de unas TIC cuyo uso respeta los factores humanos

26
 ISO/IEC 38500. Cuestiones comprensibles

Los individuos de su organizacin entienden y aceptan su

responsabilidad sobre las TIC?
Sus planes tecnolgicos soportan los planes corporativos de su
organizacin y cubren las necesidades presentes y futuras de la misma?
Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad
de su organizacin?
Su marco TIC es conforme a regulaciones externas y/o internas?
Su entorno TIC cumple con las necesidades de la gente involucrada en
el proceso?

27
 ISO38500 COBIT

Control Objetives for Information and Related Tecnology

Cales son sus Resumen Ejecutivo

Responsabilidades?
Consejos de Administracin y
Altos Ejecutivos

Indicadores Clave de Rendimiento

Indicadores Clave de Objetivo
Directrices
Modelos de Madurez
de Gestin

Gerencias de Lnea y de TI

Qu es el Marco de
Como presentarlo e
Referencia para la Cmo evaluarlo?
implantarlo?
Gobernanza de TI?

Profesionales de la Gobernanza, la Evaluacin de Garanta, el Control y la Seguridad

Gua de
Marco de Referencia Evaluacin de Garanta de TI Gua de Implantacin de
Gobernanza de TI
Objetivos de Control

Prcticas de Control
 ISO38500 COBIT

MARCO DE REFERENCIA

La principal cualidad de CobiT es su orientacin hacia los

OBJETIVOS de la ACTIVIDAD de la Organizacin y cmo TIC
apoya su logro
 ISO38500 COBIT

MARCO DE REFERENCIA EL CUBO DE COBIT

REQUISITOS de la ORGANIZACIN
para la INFORMACIN

A
D AD AD
IA I A
I D D I D D D
C C M A L A I
A IA IL
IC IEN OR I D C R
ID
IB
EF FIC NF IL N G N
B E E O
E A D T
O FI FI IN IS
P

N
C N D

INFORMACI
O

INFRAESTRUCTURA
C

INFORMACI
APLICACIONES
Conjunto estrucutrado de

DOMINIOS
PROCESOS de TI

PERSONAS
PROCESOS

TI
de
S
SO
ACTIVIDADES

R
U
EC
R
 ISO38500 COBIT

OBJETIVOS DE CONTROL
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.

[PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI

[AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI

[DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI

[ME] MONITORIZAR y EVALUAR 04 Procesos de TI

 ISO38500 COBIT

OBJETIVOS DE LA ENTIDAD OBJETIVOS DE CONTROL

OBJETIVOS DE GOBIERNO CORPORATIVO

Cubre las estrategias y las

Todos los procesos han de evaluarse
peridicamente para verificar su
calidad y suficiencia en cuanto a
los requisitos de control.
tcticas para identificar la
forma en la que la TI puede
contribuir de la mejor
MARCO DE REFERENCIA manera al logro de los
C O B I T objetivos de la
INFORMACION Organizacin.

Advierte a la Direccin sobre la La consecucin de la visin

Eficiencia Integridad
necesidad de garantizar estratgica debe planearse,
procesos de control Eficacia Disponibilidad comunicarse y gestionarse
independientes (auditoras). Conformidad Confidencialidad desde diferentes
Fiabilidad perspectivas.
MONITORIZAR PLANIFICAR
Y Y Es necesario establecer una
organizacin e
EVALUAR ORGANIZAR
RECURSOS infraestructura tecnolgica
DE apropiada.
TI
Trata la entrega o la prestacin de
los servicios requeridos -
desde las operaciones
tradicionales, hasta la
Personas
formacin; pasando por la Aplicaciones Para llevar a cabo la estrategia de
seguridad en los sistemas y Infraestructura TI, stas deben identificarse,
las continuidad de las Informacin construirse o adquirirse,
operaciones -. ENTREGAR ADQUIRIR implantndose e
Y E integrndose en el proceso
Debern establecerse los procesos SOPORTAR de la Organizacin.
IMPLANTAR
necesarios para la provisin
de los servicios. Contempla, asimismo, los cambios
y mantenimiento de
sistemas existentes, para
garantizar su continuidad.
 ISO38500 COBIT

OBJETIVOS DE LA ENTIDAD OBJETIVOS DE CONTROL

OBJETIVOS DE GOBIERNO CORPORATIVO
PO1 Definir un plan estratgico
de TI.
PO2 Definir la arquitectura de
informacin.
ME1 Monitorear y Evaluar el PO3 Determinar la direccin
desempeo de TI. MARCO DE REFERENCIA tecnolgica.
ME2 Monitorear y Evaluar el C O B I T PO4 Definir los procesos de TI,
control interno. INFORMACION la organizacin y sus
ME3 Garantizar el relaciones.
cumplimiento PO5 Administrar las inversiones
Eficiencia Integridad
regulatorio. en TI.
ME4 Proveer Gobierno de TI. Eficacia Disponibilidad PO6 Comunicar la direccin y
Conformidad Confidencialidad objetivos de la gerencia.
Fiabilidad PO7 Administrar los recursos
PLANIFICAR humanos de TI.
DS1 Definir y administrar niveles MONITORIZAR
de servicio. Y Y PO8 Administrar calidad.
DS2 Administrar servicios de PO9 Evaluar y administrar
EVALUAR ORGANIZAR
terceros. RECURSOS riesgos de TI.
DS3 Administrar desempeo y DE PO10 Administrar proyectos.
TI
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
Personas
sistemas. Aplicaciones AI1 Identificar soluciones de
DS6 Identificar y asignar costos. Infraestructura automatizacin.
DS7 Educar y capacitar usuarios. Informacin AI2 Adquirir y mantener
DS8 Administrar servicios de ENTREGAR ADQUIRIR software de aplicacin.
apoyo e incidentes. Y E AI3 Adquirir y mantener la
DS9 Administrar la configuracin. SOPORTAR infraestructura tecnolgica.
IMPLANTAR
DS10 Administrar problemas. AI4 Permitir la operacin y uso.
DS11 Administrar datos. AI5 Obtener recursos de TI.
DS12 Administrar el ambiente AI6 Administrar cambios.
fsico. AI7 Instalar y acreditar
DS13 Administrar operaciones. soluciones y cambios.
 ISO38500 COBIT

DIRECTRICES DE GESTIN

Entradas y Salidas del Proceso

Actividades y Matriz RACI

Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades

KGI - Indicadores clave de objetivos

KPI - Indicadores clave de rendimiento
 ISO 38500 COBIT
DIRECTRICES DE GESTIN. MODELOS DE MADUREZ
Val IT y CobiT, complementarios; dos planos distintos

Val IT ofrece un marco complementario al de CobiT; pero con un enfoque

estratgico y de gobernanza, al ms alto nivel.
 Procesos y prcticas clave de Gobernanza de Valor

Val IT consta de tres (3) PROCESOS,

soportados en un total de cuarenta (40) PRCTICAS clave de gobernanza
ISO 20000 - ITIL V3
Gestin y Calidad del Servicio TIC
 ISO27000
Gestin y Seguridad TIC

ISO/IEC 17799:2005, Code of Practice for Information Security Management

Ao: 2005 (primera edicin, 2000)
Editor: International Organization for Standardization (ISO)
URL: http://www.iso.ch

11 reas de Control

Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
Continuidad de Negocio
 Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC

Estrategia Objetivos de Metas de Arquitectura Cuadro de

Empresarial Mando Integral
Empresarial la Entidad TIC TIC
TIC

RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Informacin
Organizacin Gobierno Corp.

requieren influencian ejecutan

Servicios de
Informacin Procesos TIC Aplicaciones

implican
Criterios de
Infraestructura y
Informacin
Gente
necesitan

Objetivos de la Entidad Arquitectura Empresarial para TIC

 Objetivos e indicadores
Objetivo
Mantener la reputacin y
el liderazgo empresarial KPI (Key Performance Indicator / Indicador Clave de Rendimiento):
Lo
alcanzaremos?
Indican cmo se est desarrollando el proceso, cul est
siendo su comportamiento.
Predicen la probabilidad es xito o fracaso en el futuro. Son
Hacer el Actuar indicadores gua.
trabajo
KPI
Nmero de accesos no autorizados
Ayudarn a mejorar el proceso de Seguridad de la Informacin
en el ltimo mes
cuando sean medidos y se acte sobre ellos.

KGI
Nmero de incidentes que han afectado
a la imagen pblica
KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):
Lo hemos
alcanzamos? Indican, despus del hecho, si un determinado objetivo se ha
alcanzado.
Cuadro de Mando Integral TIC

Financiera
Qu objetivos El Cuadro de Mando Integral (BSC,
financieros se deben
alcanzar Balanced ScoreCard) presenta el
rendimiento desde cuatro
perspectivas.
Cliente Interna
Qu necesidades En qu
del cliente deben procesos internos
ser servidas debe
distinguirse la Organizacin Los KGI hacen referencia a las
vertientes financiera y del cliente,
dentro del BSC.
Aprendizaje
Cmo debe
aprender e innovar
la Organizacin Los KPI se enfocan hacia el proceso
y la dimensin del aprendizaje.
Cuadro de Mando Integral. Un ejemplo
Perspectiva Financiera
KGI KPI

Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.

Perspectiva del cliente Objetivos de negocio / Preocupaciones de TI Perspectiva Interna

KGI KPI KGI Objetivo de TI KGI KPI

Reducir el nmero de Mayor direccin al neg. Implantar la nueva Reducir el nmero de

interrupciones infraestructura de red soluciones de emergencia.
causadas por errores Reducir el trabajo adicional
de gestin de causado por
cambios. especificaciones de
cambio inadecuadas.

Aprender e innovar
KGI KPI

Formacin
completada en cuatro
(4) meses.
 PROCESO DE AUDITORA
Las directrices de auditora de COBIT Orientan en la preparacin
de programas de auditora, a travs de una estructura comnmente
aceptada del PROCESO de AUDITORA

ADQUIRIR EVALUAR VALORAR JUSTIFICAR

basada en:
[ADQUIRIR] conocimiento, a travs de:
- entrevistando
- obteniendo
[EVALUAR] la conveniencia de los controles establecidos:
- considerando
[VALORAR] la suficiencia:
- probando que
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando
- identificando
 Camino hacia la implantacin
Actividad
Actividad
Normal del
Normal del

Una secuencia de Desarrollar

Desarrollar
Negocio
Negocio

actividades para
organizacin
organizacin
de Gobierno
de Gobierno
de TI

construir un Gobierno
de TI

Evaluacin
Evaluacin

TIC sostenible en la
Organizacin
Proyectos de
Proyectos de
Mejoramiento
Mejoramiento
Anlisis
Anlisis
de
de
Brechas
Brechas
Anlisis de
Anlisis de
Necesidades
Necesidades
Un mapa de ruta genrico ayuda a las
Concienciacin
Concienciacin
organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC
Nada
Nada
 Camino hacia la implantacin (y II)
xito
xito

Una secuencia de Cmo podemos

Cmo podemos
mantener el

actividades para
mantener el
control?
control?

construir un Gobierno Ya lo hemos

Ya lo hemos
arreglado?

TIC sostenible en la
arreglado?

Organizacin
Qu lograr?
Qu lograr?
Qu se
Qu se
est
est
olvidando?
olvidando?
Qu es
Qu es
critico?
critico?
Un mapa de ruta genrico ayuda a las
Existen
Existen
problemas?
organizaciones a disear los esfuerzos de
problemas? implementacin del Gobierno TIC
Qu debe
Qu debe
Entregar TIC?
Entregar TIC?
Hoja de Ruta de Implantacin Gobernanza TIC
IDENTIFICAR
NECESIDADES
Fomentar la Analizar
Seleccionar
conciencia y metas del Analizar Definir el
procesos y
obtener negocio & riesgos Alcance
controles
compromiso TI

PREVER LA
SOLUCIN Definir el Definir Analizar
desempeo objetivos de inconsistencias
actual mejora e identificar
mejoras

PLANEAR LA
SOLUCIN Desarrollar
Definir
un plan de
proyectos
mejora

IMPLEMENTAR LA
SOLUCIN Integrar Revisin
Implementar
medidas en Post
las mejoras
el ITBSC implementacin

CONSTRUIR
SOSTENIBILIDAD Desarrollar
Estructura &
Procesos del
Gobierno de TI
Procesos de Negocio Asignacin de Responsables
Relacin Procesos de Negocio Objetivos de Negocio Objetivos de TI
Relacin Objetivos de TI Recursos y Atributos de TI
Evaluacin de Objetivos de TI por Criterios de Informacin y Recursos de TI
Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
Anlisis de Riesgos de procesos TI
Mapa de Riesgos de Procesos de TI
Evaluacin de procesos por Madurez (Gap Anlisis)
Evaluacin y Anlisis de Recomendaciones
Proyectos basadas en la Recomendaciones
Prioridades y seleccin de proyectos (Quick Win)
Balance Scorecard TI (Indicadores y Mtricas)
 Desarrollo del proyecto
FASES DE DESARROLLO
FASE 1. DEFINICIN Y PLANIFICACIN DEL PROYECTO.

FASE 2. CONOCIMIENTO DEL ENTORNO:

Anlisis de los objetivos del negocio.

Anlisis del control interno.

Anlisis de la estructura organizativa y de los procesos de negocio.

Anlisis de cumplimiento legal.

Implantacin de las Herramientas de Buen Gobierno

Anlisis de riesgos.

Anlisis de impacto en el negocio (BIA).

Anlisis de polticas y procedimientos.
FASE 3: DEFINICIN:

Gestin del riesgo.

Polticas y procedimientos.

Gestin de continuidad del negocio.

Plan de proyectos.

Plan de formacin.

Plan de comunicacin a los rganos rectores de la compaa.
 Desarrollo del proyecto
FASES DE DESARROLLO
FASE 4. IMPLANTACIN:

Implantacin del plan de tratamiento del riesgo y de las medidas elegidas.

Formacin y concienciacin al personal.

Cuadro de mando (BSC)

Implantacin de mtricas y registros.

Implantacin de oficina de control interno.

FASE 5: REVISIN

Auditora del sistema.

Apoyo a la certificacin.
 Metodologa
METODOLOGA EMPLEADA

proponemos una metodologa para abarcar cada uno de los requisitos del
proyecto

COSO Committee of Sponsoring Organizations.

UNE ISO/IEC 27001:2005: certificacin de los SGSI

ISO/IEC 27002 : cdigo de buenas prcticas de seguridad.

UNE ISO/IEC 20000 Tecnologa de la informacin. Gestin del servicio.

ITIL V3

ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE:
Objetivos de control de informacin y tecnologas relacionadas.

ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE
GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY
INSTITUTE: gua de buenas prcticas de planes de continuidad del
negocio.

COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologas de anlisis de
riesgos.