Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gobierno Corporativo TIC PDF
Gobierno Corporativo TIC PDF
AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Pern, 38 3
28020 Madrid
GOBIERNO CORPORATIVO TIC
NDICE
1. Introduccin
2. Coso Internal Control Integrated Framework
3. Balance Scorecard Cumplimiento Legal
4. ISO 38500 - COBIT / ValIT
5. ISO 27000 ISO 20000 (ITIL V3) - ISO 24762
6. Metodologa.
6. Desarrollo del proyecto.
7. Fases de desarrollo del proyecto
ALGUNA INFORMACIN PERSONAL
Texto men 2
Las organizaciones requieren una aproximacin estructurada para abordar stos y otros desafos.
Manejar
Alineamiento de TI la complejidad
con el Negocio
STR
SG O
N
RIE
DEL
ADM
ADMINISTRACIN
verificando que los recursos de la
DE LOS RECURSOS empresa son usados
responsablemente.
Texto men 2
Introduccin
Niveles de gobernanza
Gobernanza corporativa (COSO)
La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
No obstante, la Gobernanza no tiene que ver con qu decisiones son tomadas - eso
Gobernanza de TIC
es Gestin -; sino que tiene que ver con quin toma las decisiones y con cmo se toman.
Gobernanza
Corporativa Gobernanza de la Seguridad de la Informacin y Tecnologas afines
El establecimiento y mantenimiento de un marco que provea garanta de que las
estrategias de seguridad de la informacin estn alineadas con los objetivos del negocio y
Niveles de Gobernanza son conformes a las leyes y regulaciones aplicables
ISO 27000
ISO 24762
ISO 20000
QUE ITIL COMO
CONFORMIDAD
Directrices DESEMPEO:
Basilea II, Sarbanes-
Metas del negocio
Oxley Act,LOPD, etc
Balanced Scorecard
Gobierno Corporativo COSO
Principios
Texto men 2Procesos y Procedimientos Continuidad de
de ITIL
Negocio
Seguridad
Coso Internal Control Integrated Framework
Funciones y responsabilidades
El Consejo de Administracin fija las pautas y la visin global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna.
Agencias Gubernamentales:
AGPD.
Ministerio de Industria.
Ministerio del Interior.
Foros sectoriales:
Asociaciones Profesionales.
Basilea II
Utilidad del Cuadro de Mando Integral
BalancedScoredCard:
Lenguaje comn entre entornos diferentes.
URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639 20
ISO/IEC 38500:2008
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologas de la informacin de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
ISO 38500
ISO/IEC 38500:2008
Responsabilidad
Estrategia
Inversin
Rendicin de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:
25
ISO/IEC 38500. Principios
Claro establecimiento de responsabilidades sobre las TIC
Planificacin de las TIC para un mejor soporte de la
organizacin
Adquisicin de TIC de forma vlida
Garanta de unas TIC que funcionan bien y cuando son
requeridas
Garanta de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
Garanta de unas TIC cuyo uso respeta los factores humanos
26
ISO/IEC 38500. Cuestiones comprensibles
27
ISO38500 COBIT
Gerencias de Lnea y de TI
Qu es el Marco de
Como presentarlo e
Referencia para la Cmo evaluarlo?
implantarlo?
Gobernanza de TI?
Gua de
Marco de Referencia Evaluacin de Garanta de TI Gua de Implantacin de
Gobernanza de TI
Objetivos de Control
Prcticas de Control
ISO38500 COBIT
MARCO DE REFERENCIA
REQUISITOS de la ORGANIZACIN
para la INFORMACIN
A
D AD AD
IA I A
I D D I D D D
C C M A L A I
A IA IL
IC IEN OR I D C R
ID
IB
EF FIC NF IL N G N
B E E O
E A D T
O FI FI IN IS
P
N
C N D
INFORMACI
O
INFRAESTRUCTURA
C
INFORMACI
APLICACIONES
Conjunto estrucutrado de
DOMINIOS
PROCESOS de TI
PERSONAS
PROCESOS
TI
de
S
SO
ACTIVIDADES
R
U
EC
R
ISO38500 COBIT
OBJETIVOS DE CONTROL
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.
DIRECTRICES DE GESTIN
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
11 reas de Control
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
Continuidad de Negocio
Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC
RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Informacin
Organizacin Gobierno Corp.
implican
Criterios de
Infraestructura y
Informacin
Gente
necesitan
KGI
Nmero de incidentes que han afectado
a la imagen pblica
KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):
Lo hemos
alcanzamos? Indican, despus del hecho, si un determinado objetivo se ha
alcanzado.
Cuadro de Mando Integral TIC
Financiera
Qu objetivos El Cuadro de Mando Integral (BSC,
financieros se deben
alcanzar Balanced ScoreCard) presenta el
rendimiento desde cuatro
perspectivas.
Cliente Interna
Qu necesidades En qu
del cliente deben procesos internos
ser servidas debe
distinguirse la Organizacin Los KGI hacen referencia a las
vertientes financiera y del cliente,
dentro del BSC.
Aprendizaje
Cmo debe
aprender e innovar
la Organizacin Los KPI se enfocan hacia el proceso
y la dimensin del aprendizaje.
Cuadro de Mando Integral. Un ejemplo
Perspectiva Financiera
KGI KPI
Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.
Aprender e innovar
KGI KPI
Formacin
completada en cuatro
(4) meses.
PROCESO DE AUDITORA
Las directrices de auditora de COBIT Orientan en la preparacin
de programas de auditora, a travs de una estructura comnmente
aceptada del PROCESO de AUDITORA
basada en:
[ADQUIRIR] conocimiento, a travs de:
- entrevistando
- obteniendo
[EVALUAR] la conveniencia de los controles establecidos:
- considerando
[VALORAR] la suficiencia:
- probando que
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando
- identificando
Camino hacia la implantacin
Actividad
Actividad
Normal del
Normal del
actividades para
organizacin
organizacin
de Gobierno
de Gobierno
de TI
construir un Gobierno
de TI
Evaluacin
Evaluacin
TIC sostenible en la
Organizacin
Proyectos de
Proyectos de
Mejoramiento
Mejoramiento
Anlisis
Anlisis
de
de
Brechas
Brechas
Anlisis de
Anlisis de
Necesidades
Necesidades
Un mapa de ruta genrico ayuda a las
Concienciacin
Concienciacin
organizaciones a disear los esfuerzos de
implementacin del Gobierno TIC
Nada
Nada
Camino hacia la implantacin (y II)
xito
xito
actividades para
mantener el
control?
control?
TIC sostenible en la
arreglado?
Organizacin
Qu lograr?
Qu lograr?
Qu se
Qu se
est
est
olvidando?
olvidando?
Qu es
Qu es
critico?
critico?
Un mapa de ruta genrico ayuda a las
Existen
Existen
problemas?
organizaciones a disear los esfuerzos de
problemas? implementacin del Gobierno TIC
Qu debe
Qu debe
Entregar TIC?
Entregar TIC?
Hoja de Ruta de Implantacin Gobernanza TIC
IDENTIFICAR
NECESIDADES
Fomentar la Analizar
Seleccionar
conciencia y metas del Analizar Definir el
procesos y
obtener negocio & riesgos Alcance
controles
compromiso TI
PREVER LA
SOLUCIN Definir el Definir Analizar
desempeo objetivos de inconsistencias
actual mejora e identificar
mejoras
PLANEAR LA
SOLUCIN Desarrollar
Definir
un plan de
proyectos
mejora
IMPLEMENTAR LA
SOLUCIN Integrar Revisin
Implementar
medidas en Post
las mejoras
el ITBSC implementacin
CONSTRUIR
SOSTENIBILIDAD Desarrollar
Estructura &
Procesos del
Gobierno de TI
Procesos de Negocio Asignacin de Responsables
Relacin Procesos de Negocio Objetivos de Negocio Objetivos de TI
Relacin Objetivos de TI Recursos y Atributos de TI
Evaluacin de Objetivos de TI por Criterios de Informacin y Recursos de TI
Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
Anlisis de Riesgos de procesos TI
Mapa de Riesgos de Procesos de TI
Evaluacin de procesos por Madurez (Gap Anlisis)
Evaluacin y Anlisis de Recomendaciones
Proyectos basadas en la Recomendaciones
Prioridades y seleccin de proyectos (Quick Win)
Balance Scorecard TI (Indicadores y Mtricas)
Desarrollo del proyecto
FASES DE DESARROLLO
FASE 1. DEFINICIN Y PLANIFICACIN DEL PROYECTO.
FASE 5: REVISIN
proponemos una metodologa para abarcar cada uno de los requisitos del
proyecto