Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción ISO38500
26 Noviembre 2009
▶ 01/ Antecedentes
▶ 03/ Gobernanza de TI
01/ ANTECEDENTES
S. XX
- ORIENTACIÓN A LA PRODUCCIÓN
- ORIENTACIÓN PRODUCTO/SERVICIO
- ORIENTACIÓN A LA VENTA
- ORIENTACIÓN AL CLIENTE
S. XXI
- ORIENTACIÓN STAKEHOLDERS
Texto menú 2
Texto menú 2
Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo
Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
Información: objetivos de fiabilidad de la información suministrada.
Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.
El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un
papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías
de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.
La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser
elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son
los responsables en sus respectivas áreas.
La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de
los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control
interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben
comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas
establecidas o la legalidad de las acciones realizadas.
Gobernanza de TIC
Gestión de TIC
Auditoria
TIC
De la AUDITORÍA a la GOBERNANZA
C Control
OB objectives
I for information
T and related Technology
Gerencias de Línea y de TI
¿Qué es el Marco de
¿Como presentarlo e
Referencia para la ¿Cómo evaluarlo?
implantarlo?
Gobernanza de TI?
Guía de
Marco de Referencia Evaluación de Garantía de TI Guía de Implantación de
Gobernanza de TI
Objetivos de Control
Prácticas de Control
Framework
Framework
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models
Framework
Framework
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models
RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Información
Organización Gobierno Corp.
requieren influencian
Servicios de ejecutan
implican
Criterios de
Infraestructura y
Información
Gente
necesitan
28 Metas de TI
VS.
34 Procesos
Framework
Framework
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models
Dominio de TI y
Criterios de Información
Meta de TI
Prácticas clave
Métricas clave
Gobernanza de TI y
Recursos de TI
Framework
Framework
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
Objetivo
¿Lo
Alcanzaremos?
Hacer el KPI
trabajo Actuar
¿Lo hemos
KGI alcanzamos?
Meta de la Entidad
19
Obtener información
fiable y útil para la
toma de decisiones
estratégicas
03/ GOBERNANZA DE TI
¡¡DESGOBIERNO!!
»¿Tendrá el Consejo una perspectiva clara de la cartera total de inversiones en TI, desde el
punto de vista del riesgo y del retorno de tales inversiones?
»¿Será informado el Consejo, periódicamente, de los riesgos de carácter tecnológico a los que
la Organización está expuesta?
OCDE (2004)
No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas -
Gobernanza de TI
eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo
se toman.
Gobernanza
Corporativa Gobernanza de la Seguridad de la Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las
estrategias de seguridad de la información están alineadas con los objetivos del
Niveles de Gobernanza negocio y son conformes a las leyes y regulaciones aplicables
ISBN: 1-59139-253-5
Alineamiento estratégico
Se orienta a asegurar el vínculo entre los planes de negocio y los de TI; a definir,
mantener y validar la propuesta de valor de las TI; y a alinear las operaciones de TI,
con las operaciones de la Entidad.
Aporte de valor
Guarda relación con la ejecución de la propuesta de valor a través de un ciclo de
entrega; garantizando que las TI ofrecen los beneficios esperados, con respecto a la
estrategia marcada; y ello, concentrándose en optimizar los costes y probando el valor
intrínseco de las TI.
Gestión de recursos
Hace referencia a la inversión óptima, y la gestión apropiada, de los recursos críticos
de TI: aplicaciones, información, infraestructura y personas. Los temas clave tienen
que ven con la optimización del conocimiento y la infraestructura.
Gestión del riesgo
Requiere la concienciación de la Alta Dirección; un claro entendimiento del apetito de
la Entidad por el riesgo; comprensión de los requisitos de conformidad normativa;
Dimensiones de la Gobernanza de TI transparencia sobre los riesgos significativos para la Empresa; y la incorporación de
responsabilidades de gestión de riesgos dentro de la Organización.
Medida del rendimiento
Sigue y supervisa la puesta en marcha de la estrategia, la finalización de los
proyectos, el empleo de recursos, el rendimiento de los procesos y la entrega de
servicios, empleado, por ejemplo, cuadros de mando integral que traducen la
estrategia en acciones para para alcanzar resultados medibles, más allá de la simple
contabilización.
Página 46 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
46
03/ GOBERNANZA DE TI
Junta
▶ Información total sobre conformidad y desempeño de TI
Gerencia Ejecutiva
▶ Obtener valor a partir de las inversiones de TI
▶ Balancear el riesgo y el control de la inversión en un ambiente de TI que
frecuentemente es impredecible
▶ Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros
▶ Ayudar a dar respuesta a los crecientes requerimientos regulatorios
Gerencia de Riesgo y Cumplimiento
▶ Validar que tanto el negocio como TI cumplan con los requerimientos internos y
externos
Gerencia de Negocios
▶ Obtener garantías sobre la seguridad y los controles de los productos y servicios
provistos internamente y por terceras partes
Auditores de TI
▶ Confirmar opiniones a la administración sobre los controles internos
▶ Responder a la pregunta: Qué controles mínimos son necesarios?
Objetivo:
- Salvar las brechas entre los RIESGOS del negocio, las necesidades de CONTROL y
los procesos TÉCNICOS.
-Provee buenas prácticas a través de un marco de referencia de dominios y procesos
- Presenta actividades en una estructura administrable y lógica.
CONFORMIDAD
Directrices DESEMPEÑO: Basilea II, Sarbanes-
Metas del negocio Oxley Act, etc
Balanced Scorecard
“Gobierno Corporativo” COSO
Procedimientos Principios
Procesos y Procedimientos de ITIL
Desarrollo
Software Seguridad
Evaluación
Proyectos de
Mejoramiento
Análisis
de
Brechas
Análisis de
Necesidades
Un mapa de ruta genérico ayuda a las
Concienci-
ación
organizaciones a diseñar los
esfuerzos de implementación del
Gobierno de TI ……
Nada
Ya lo hemos
arreglado?
Qué lograr?
Qué se
está
olvidando?
Qué es
critico?
Un mapa de ruta genérico ayuda a las
Existen
problemas?
organizaciones a diseñar los esfuerzos de
implementación del Gobierno de TI ……
Qué debe
Entregar TI?
PREVER LA
SOLUCIÓN Definir el Definir Analizar
desempeño objetivos de inconsistencias
actual mejora e identificar
mejoras
PLANEAR LA
SOLUCIÓN Desarrollar
Definir
un plan de
proyectos
mejora
IMPLEMENTAR LA
SOLUCIÓN Integrar Revisión
Implementar
medidas en Post
las mejoras
el ITBSC implementación
CONSTRUIR
SOSTENIBILIDAD Desarrollar
Estructura &
Procesos del
Gobierno de TI
▶ … a un coste razonable; y,
~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios
de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.
ISO TC68-SC2-WG4
COSO CISA
Criterios Comunes
OCDE IFAC
EDIFACT
DTI NIST SP 500-153
TickIT
ISO 9000-3 GAO/GAS
ESF/Comunicaciones
NIST SP 800-12 SPICE
ESF/Microordenadores
ITIL ISAA (Dinamarca)
EDPAF/CISAM
IBAG DRI International
GAO/AIMD-00-21.3.1
NSW IIA/SAC
NIST SP 800-18
DCB IIA/PPP 97-1
GAO/FISCAM
EDPAF/Monográfico 7 E&Y/TRS
BS7799
PCIE C&L/Audit Guide SAP R/3
CICA
JISAS ISO IEC JTC1-SC27
ISO IEC 13335-n (1..5)
EDPAF/Objetivos de Control ISO IEC JTC1-SC7
SysTrustTM
Página 66 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
66
06/ OTROS MODELOS
1 2 3 4 5 6 7
1 2 3 4 5 6 7
Monitor and Evaluate
4
CobiT 4.0 processes addressed by
3
3
CobiT 4.0 processes addressed by
COSO Internal Control -
FIPS PUB 200
2
2
Integrated Framework
1
1
by Jimmy Heschl by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13
Deliver and Support Deliver and Support
1 2 3 4 5 6 7
1 2 3 4 5 6 7
Monitor and Evaluate
4
3
3
CobiT 4.0 processes addressed by CobiT 4.0 processes addressed by
ISO/IEC TR 13335 ISO/IEC 15408:2005
2
2
1
1
by Jimmy Heschl by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13
Deliver and Support Deliver and Support
1 2 3 4 5 6 7
Monitor and Evaluate
4
4
1
1
by Jimmy Heschl
by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13
Deliver and Support Deliver and Support
Responsabilidades
Comportamiento
Funcionamiento
Conformidad
Adquisición
Estrategias
nitorizar
humano
Evaluar
Dirigir
Reunión informativa sobre la Junta de √ √ √ √ √ √
Gobierno de TI, 2 ª edición
Desbloqueo de Valor: El Primer Ejecutivo √ √ √ √ √ √
sobre
el papel fundamental de Gobierno de TI
COBIT ® √ √ √ √ √ √ √ √ √
Val de TI ™ √ √ √ √ √ √ √ √ √
Guía para la implementación de Gobierno de √ √ √
TI: Uso de ® COBIT y Val IT, 2da Edicin
Guía de Aseguramiento de TI: Uso de COBIT √ √ √ √
®
COBIT ® Quickstart ™, 2a Edición √ √
Valor de empresa: la gobernanza de la TI √
Inversiones, Primeros pasos con Valor
Gestión
COBIT ® ™ Seguridad de referencia, 2 ª √ √ √
edición
Valor de empresa: la gobernanza de la TI √ √ √ √ √
Inversiones, el asunto de Negocios
COSO
ISO 27000
ISO 15504
QUE ISO20000 COMO
CAMPO DE COBERTURA
Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y
normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias
derivadas.
Página 75 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
75
07/ CERTIFICACIÓN ISO38500
ISO 38500
Responsabilidad
Estrategia
Inversión
Rendición de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar tres tareas principales:
PRINCIPIOS:
79
Página 79 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
79
07/ CERTIFICACIÓN ISO38500
80
Página 80 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
80
07/ CERTIFICACIÓN ISO38500
81
Página 81 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0
81
LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
DEBATE
Discusiones,
Preguntas y
Respuestas
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS