Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUREN
Francisco Rover 4 Entresuelo
07003 Palma Mallorca
Avda. General Perón, 38 3ª
28020 Madrid
GOBIERNO CORPORATIVO TIC
ÍNDICE
1. Introducción
2. Coso – Internal Control Integrated Framework
3. Balance Scorecard – Cumplimiento Legal
4. ISO 38500 - COBIT / ValIT
5. ISO 27000 – ISO 20000 (ITIL V3) - ISO 24762
6. Metodología.
6. Desarrollo del proyecto.
7. Fases de desarrollo del proyecto
ALGUNA INFORMACIÓN PERSONAL
Texto menú 2
Las organizaciones requieren una aproximación estructurada para abordar éstos y otros desafíos.
Manejar
Alineamiento de TI la complejidad
con el Negocio
STR
SG O
ÓN
RIE
DEL
ADM
ADMINISTRACIÓN
• verificando que los recursos de la
DE LOS RECURSOS empresa son usados
responsablemente.
Texto menú 2
Introducción
Niveles de gobernanza
Gobernanza corporativa (COSO)
La provisión de la estructura que permita determinar los objetivos de la
Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas - eso
Gobernanza de TIC
es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo se toman.
Gobernanza
Corporativa Gobernanza de la Seguridad de la Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las
estrategias de seguridad de la información están alineadas con los objetivos del negocio y
Niveles de Gobernanza son conformes a las leyes y regulaciones aplicables
ISO 27000
ISO 24762
ISO 20000
QUE ITIL COMO
CONFORMIDAD
Directrices DESEMPEÑO:
Basilea II, Sarbanes-
Metas del negocio
Oxley Act,LOPD, etc
Balanced Scorecard
“Gobierno Corporativo” COSO
Principios
Texto menú 2Procesos y Procedimientos Continuidad de
de ITIL
Negocio
Seguridad
Coso – Internal Control Integrated Framework
Funciones y responsabilidades
El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo
debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe
asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas
financieras, legales y de auditoría interna.
• Agencias Gubernamentales:
– AGPD.
– Ministerio de Industria.
– Ministerio del Interior.
• Foros sectoriales:
– Asociaciones Profesionales.
– Basilea II
Utilidad del Cuadro de Mando Integral
• BalancedScoredCard:
– Lenguaje común entre entornos diferentes.
URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639 20
ISO/IEC 38500:2008
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologías de la información de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
ISO 38500
ISO/IEC 38500:2008
Responsabilidad
Estrategia
Inversión
Rendición de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar
estas tres tareas principales:
25
• ISO/IEC 38500. Principios
◊ Claro establecimiento de responsabilidades sobre las TIC
◊ Planificación de las TIC para un mejor soporte de la
organización
◊ Adquisición de TIC de forma válida
◊ Garantía de unas TIC que funcionan bien y cuando son
requeridas
◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
◊ Garantía de unas TIC cuyo uso respeta los factores humanos
26
• ISO/IEC 38500. Cuestiones comprensibles
27
ISO38500 COBIT
Gerencias de Línea y de TI
¿Qué es el Marco de
¿Como presentarlo e
Referencia para la ¿Cómo evaluarlo?
implantarlo?
Gobernanza de TI?
Guía de
Marco de Referencia Evaluación de Garantía de TI Guía de Implantación de
Gobernanza de TI
Objetivos de Control
Prácticas de Control
ISO38500 COBIT
MARCO DE REFERENCIA
REQUISITOS de la ORGANIZACIÓN
para la INFORMACIÓN
A
D AD AD
IA I A
I D D I D D D
C C M A L A I
A IA IL
IC IEN OR I D C R
ID
IB
EF FIC NF IL N G N
B E E O
E A D T
O FI FI IN IS
P
ÓN
C N D
INFORMACIÓ
O
INFRAESTRUCTURA
C
INFORMACI
APLICACIONES
Conjunto estrucutrado de
DOMINIOS
PROCESOS de TI
PERSONAS
PROCESOS
TI
de
S
SO
ACTIVIDADES
R
U
EC
R
ISO38500 COBIT
OBJETIVOS DE CONTROL
El conjunto estructurado de 34 PROCESOS
[objetivos de control de alto nivel] se agrupa de forma
natural en 4 DOMINIOS.
DIRECTRICES DE GESTIÓN
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
11 Áreas de Control
– Política de Seguridad
– Organización de la Seguridad de la Información
– Gestión de Activos
– Seguridad en los Recursos Humanos
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Adquisición, desarrollo y mantenimiento de sistemas de información
– Gestión de incidentes de seguridad
– Gestión de continuidad del negocio
– Conformidad
Continuidad de Negocio
Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC
RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Información
Organización Gobierno Corp.
implican
Criterios de
Infraestructura y
Información
Gente
necesitan
KGI
Número de incidentes que han afectado
a la imagen pública
– KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo):
¿Lo hemos
alcanzamos? Indican, después del hecho, si un determinado objetivo se ha
alcanzado.
Cuadro de Mando Integral TIC
Financiera
Qué objetivos – El Cuadro de Mando Integral (BSC,
financieros se deben
alcanzar Balanced ScoreCard) presenta el
rendimiento desde cuatro
perspectivas.
Cliente Interna
Qué necesidades En qué
del cliente deben procesos internos
ser servidas debe
distinguirse la Organización – Los KGI hacen referencia a las
vertientes financiera y del cliente,
dentro del BSC.
Aprendizaje
Cómo debe
aprender e innovar
la Organización – Los KPI se enfocan hacia el proceso
y la dimensión del aprendizaje.
Cuadro de Mando Integral. Un ejemplo
Perspectiva Financiera
KGI KPI
Reducir el tiempo y
esfuerzo requeridos
para hacer cambios.
Aprender e innovar
KGI KPI
Formación
completada en cuatro
(4) meses.
PROCESO DE AUDITORÍA
Las directrices de auditoría de COBIT Orientan en la preparación
de programas de auditoría, a través de una estructura comúnmente
aceptada del PROCESO de AUDITORÍA …
… basada en:
[ADQUIRIR] conocimiento, a través de:
- entrevistando …
- obteniendo …
[EVALUAR] la conveniencia de los controles establecidos:
- considerando …
[VALORAR] la suficiencia:
- probando que …
[JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen:
- ejecutando …
- identificando …
Camino hacia la implantación
Actividad
Actividad
Normal del
Normal del
actividades para
organización
organización
de Gobierno
de Gobierno
de TI
construir un Gobierno
de TI
Evaluación
Evaluación
TIC sostenible en la
Organización
Proyectos de
Proyectos de
Mejoramiento
Mejoramiento
Análisis
Análisis
de
de
Brechas
Brechas
Análisis de
Análisis de
Necesidades
Necesidades
Un mapa de ruta genérico ayuda a las
Concienciación
Concienciación
organizaciones a diseñar los esfuerzos de
implementación del Gobierno TIC ……
Nada
Nada
Camino hacia la implantación (y II)
Éxito
Éxito
actividades para
mantener el
control?
control?
TIC sostenible en la
arreglado?
Organización
Qué lograr?
Qué lograr?
Qué se
Qué se
está
está
olvidando?
olvidando?
Qué es
Qué es
critico?
critico?
Un mapa de ruta genérico ayuda a las
Existen
Existen
problemas?
organizaciones a diseñar los esfuerzos de
problemas? implementación del Gobierno TIC ……
Qué debe
Qué debe
Entregar TIC?
Entregar TIC?
Hoja de Ruta de Implantación Gobernanza TIC
IDENTIFICAR
NECESIDADES
Fomentar la Analizar
Seleccionar
conciencia y metas del Analizar Definir el
procesos y
obtener negocio & riesgos Alcance
controles
compromiso TI
PREVER LA
SOLUCIÓN Definir el Definir Analizar
desempeño objetivos de inconsistencias
actual mejora e identificar
mejoras
PLANEAR LA
SOLUCIÓN Desarrollar
Definir
un plan de
proyectos
mejora
IMPLEMENTAR LA
SOLUCIÓN Integrar Revisión
Implementar
medidas en Post
las mejoras
el ITBSC implementación
CONSTRUIR
SOSTENIBILIDAD Desarrollar
Estructura &
Procesos del
Gobierno de TI
Procesos de Negocio – Asignación de Responsables
Relación Procesos de Negocio – Objetivos de Negocio – Objetivos de TI
Relación Objetivos de TI – Recursos y Atributos de TI
Evaluación de Objetivos de TI por Criterios de Información y Recursos de TI
Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
Análisis de Riesgos de procesos TI
Mapa de Riesgos de Procesos de TI
Evaluación de procesos por Madurez (Gap Análisis)
Evaluación y Análisis de Recomendaciones
Proyectos basadas en la Recomendaciones
Prioridades y selección de proyectos (Quick Win)
Balance Scorecard TI (Indicadores y Métricas)
Desarrollo del proyecto
FASES DE DESARROLLO
FASE 1. DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO.
FASE 5: REVISIÓN
proponemos una metodología para abarcar cada uno de los requisitos del
proyecto