Introducción ISO38500 PDF

LOGO DEL CLIENTE
(no debe superar el tamaño del logo de Atos Origin)
Introducción ISO38500
26 Noviembre 2009
21 de abril de 2006 | Nº oferta | v1.0

© ATOS ORIGIN Sociedad Anónima Española 0000. Este documento ha sido generado y es propiedad de ATOS ORIGIN Sae para uso exclusivo de Nombre del cliente y para los fines
expresamente previstos en el mismo. Su contenido es confidencial, por lo que no puede ser difundido a terceros no autorizados expresamente por Atos Origin Sae.
© ATOS y ATOS ORIGIN son marcas registradas.
Reflexión Inicial
EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES
PORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR
Francis Bacon (1561-1626)
Página 1 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

1
OBJETIVOS
*** OBJETIVOS ***
▶ Conocer los aspectos más importantes del modelo Gobierno TIC
▶ Comprender la importancia del concepto de Gobernanza de TI para la

dirección, el control y la gestión de la información y sus tecnologías
afines.
▶ Comprender la utilización de los modelos CobiT, Val IT, ISO38500

como marco para implantar una estrategia de Gobernanza de TIC.

2
CRÉDITOS Y RECONOCIMIENTOS
*** CRÉDITOS Y RECONOCIMIENTOS ***
Parte del material empleado en esta presentación procede, o está basado, en la

documentación original, oficial, pública, del Máster de Buen Gobierno de la Universidad de
Deusto, CobiT® y Val IT™, propiedad de ISACA y/o de ITGI.
Asimismo, también han sido consultadas - y, en su caso, traducidas, adaptadas y/o

actualizadas - las siguientes fuentes:
▶ CobiT® 4.1
▶ Val IT
▶ ISO
▶ COSO

3
INFORMACIÓN PERSONAL
José Manuel Ballester Fernández
▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT

» Consejero Delegado TEMANOVA
» Socio ALINTEC
» Director Máster Buen Gobierno Universidad Deusto
» Director Cátedra Buen Gobierno Universidad Deusto
▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR
▶ Former President de ASIA / ISACA Madrid Chapter
▶ CobiT® Foundation Certificate
▶ Certified Information Systems Auditor
▶ Certified Information Security Manager
▶ Cerified Corporate Governance Enterprise IT
▶ Accredited CobiT® Trainer

4
Acerca de los instructores ...
D. Tomás Arroyo Salido

CGEIT,COBIT,CISA
Diplomado en Auditoría de la Información y Dirección de la Seguridad de la Información-UPM

35 años de experiencia en Sistemas de Información, funciones operativas y de control,
entorno financiero .
Ex CISO y Responsable de Calidad del Servicio y Control Interno del área de TI de BBVA
Profesor y Coordinador del área de “Protección de los Activos de Información”
Máster en Buen Gobierno de las TIC, Universidad de Deusto
Profesor del Máster en Dirección de Seguridad de la Universidad Europea de Madrid
Profesor del Máster de Seguridad y Auditoria de la UPM.
Auditor interno calidad ISO9001, Evaluador de calidad modelo EFQM
Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”
Miembro de ISACA: CISA, CGEIT, Accredited CobiT® Trainer
Secretario General del Grupo de Usuarios de GSE de IBM

5
AGENDA
▶ 01/ Antecedentes
▶ 02/ Alcance de CobiT®
▶ 03/ Gobernanza de TI
▶ 04/ Puesta en marcha de una estrategia de Gobernanza de TI
▶ 05/ Val IT™ o sobre la Gobernanza de las inversiones en actividades apoyadas en TI
▶ 06/ CobiT® y otros modelos
▶ 07/ Certificación ISO38500

6
LOGO DEL CLIENTE
01/ ANTECEDENTES

Introducción
01/ ANTECEDENTES
Evolución social
S. XX
- ORIENTACIÓN A LA PRODUCCIÓN
- ORIENTACIÓN PRODUCTO/SERVICIO
- ORIENTACIÓN A LA VENTA
- ORIENTACIÓN AL CLIENTE
S. XXI
- ORIENTACIÓN STAKEHOLDERS
Texto menú 2

8
Introducción
01/ ANTECEDENTES
Complejidad social
Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones
que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o
terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier
sistema.
Texto menú 2

9
01/ ANTECEDENTES
Acciones Sociales
- Promover la participación activa de la ciudadanía en el desarrollo de la RSC.

- Denunciar las malas prácticas empresariales.
- Aprender a identificar aspectos de la gestión empresarial que afecten
directamente al ciudadano y dónde recurrir para denunciarlo.

10
01/ ANTECEDENTES
COSO – Internal Control Integrated Framework

En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece
una definición común de control interno y proporciona un estándar mediante el cual las
organizaciones pueden evaluar y mejorar sus sistemas de control.
Control Interno OBJETIVOS DE COSO
 Mejorar la calidad de la información financiera

concentrándose en el manejo corporativo, las normas
éticas y el control interno.
 Unificar criterios ante la existencia de una importante
variedad de interpretaciones y conceptos sobre el
control interno.

11
01/ ANTECEDENTES
El Gobierno Corporativos incluye las siguientes capacidades:
 Alinear el riesgo aceptado y la estrategia

 Mejorar las decisiones de respuesta a los riesgos.
 Reducir las sorpresas y pérdidas operativas
 Identificar y gestionar la diversidad de riesgos para toda la entidad
 Aprovechar las oportunidades
 Mejorar la dotación de capital
Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de

rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos.
Con el Gobierno Corporativo permite asegurar una información eficaz y el

cumplimiento de leyes y normas, además de ayudar a evitar daños a la
reputación de la entidad y sus consecuencias derivadas.

12
01/ ANTECEDENTES
Definición de la Gobierno Corporativo
El Gobierno Corporativo es un proceso efectuado por el
consejo de administración de una entidad, su dirección y
restante personal, aplicable a la definición de estrategias
en toda la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de
los objetivos.
El marco de Gobierno Corporativo está orientado a alcanzar los

objetivos de la entidad, que se pueden clasificar en cuatro categorías:
 Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo
 Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos
 Información: objetivos de fiabilidad de la información suministrada.
 Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.

13
Coso – Internal Control Integrated Framework
01/ ANTECEDENTES
Funciones y responsabilidades
El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un
papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías
de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna.
La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser
elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son
los responsables en sus respectivas áreas.
La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de
los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada.
Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control
interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben
comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas
establecidas o la legalidad de las acciones realizadas.

14
LOGO DEL CLIENTE
02/ ALCANCE DE CobiT®

CobiT®: “EL” Modelo

16
01/ ANTECEDENTES
La evolución de CobiT®
Gobernanza de TIC
Gestión de TIC
Control Interno TIC
Auditoria
TIC
1996 Abr. 1998 Jul. 2000 Nov. 2005 / Mar.2007

CobiT CobiT 2 CobiT 3 CobiT 4 / 4.1
De la AUDITORÍA a la GOBERNANZA

17
Las siglas CobiT®
C Control
OB objectives
I for information
T and related Technology
OBjetivos de Control para la Información y Tecnologías afines

18
Estructura de CobiT® 4.1
¿Cúales son sus Resumen Ejecutivo

Responsabilidades?
Consejos de Administración y
Altos Ejecutivos
• Indicadores Clave de Rendimiento

• Indicadores Clave de Objetivo
Directrices
• Modelos de Madurez
de Gestión
Gerencias de Línea y de TI
¿Qué es el Marco de
¿Como presentarlo e
Referencia para la ¿Cómo evaluarlo?
implantarlo?
Gobernanza de TI?
Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad
Guía de
Marco de Referencia Evaluación de Garantía de TI Guía de Implantación de
Gobernanza de TI
Objetivos de Control
Prácticas de Control

19
Contenido nuclear de CobiT® 4/4.1
Framework
Framework
Control Marco de Referencia

Management
Guidelines
Objectives Maturity
Models
Management
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models

20
Framework
Framework

Management
Guidelines
Objectives Maturity
Models
Management
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models

21
Marco de Referencia
La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de

la ACTIVIDAD de la Organización y cómo TI apoya su logro
La Organización requiere INFORMACIÓN proporcionada por TI para alcanzar los

OBJETIVOS propios de su actividad.
Dicha información ha de cumplir una serie de CRITERIOS.
22
Marco de Referencia. Definiendo las metas de TI y la arquitectura
empresarial para TI
Objetivos Arquitectura Cuadro de

Estrategia Metas de Mando
de la Empresarial
Empresarial Entidad TI para TI
Integral para
TI
RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Información
Organización Gobierno Corp.
requieren influencian
Servicios de ejecutan
Información Procesos de TI Aplicaciones
implican
Criterios de
Infraestructura y
Información
Gente
necesitan
Objetivos de la Entidad Arquitectura Empresarial para TI

23
Marco de Referencia. Objetivos de la Entidad vs. Objetivos de TI
20 Metas de la Entidad VS. 28 Metas de TI

24
Marco de Referencia. Objetivos de TI vs. Procesos de TI
28 Metas de TI
VS.
34 Procesos

25
Framework
Framework

Management
Guidelines
Objectives Maturity
Models
Management
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models

26
Objetivos de Control. Los dominios de CobiT®
El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa

de forma natural en 4 DOMINIOS.
▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI
▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI
▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI
▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI

27
Objetivos de Control. Los dominios de CobiT® (y II)
OBJETIVOS DE LA ENTIDAD
OBJETIVOS DE GOBIERNO CORPORATIVO
Cubre las estrategias y las tácticas

para identificar la forma en
la que la TI puede
Todos los procesos han de evaluarse contribuir de la mejor
periódicamente para verificar su MARCO DE REFERENCIA manera al logro de los
calidad y suficiencia en cuanto a C O B I T objetivos de la
los requisitos de control. INFORMACION Organización.
Advierte a la Dirección sobre la La consecución de la visión

Eficiencia Integridad
necesidad de garantizar estratégica debe planearse,
procesos de control Eficacia Disponibilidad comunicarse y gestionarse
independientes (auditorías). Conformidad Confidencialidad desde diferentes
Fiabilidad perspectivas.
MONITORIZAR PLANIFICAR
Y Y Es necesario establecer una
organización e
EVALUAR ORGANIZAR
RECURSOS infraestructura tecnológica
DE apropiada.
TI
Trata la entrega o la prestación de
los servicios requeridos -
desde las operaciones
tradicionales, hasta la
Personas
formación; pasando por la Aplicaciones Para llevar a cabo la estrategia de
seguridad en los sistemas y Infraestructura TI, éstas deben identificarse,
las continuidad de las Información construirse o adquirirse,
operaciones -. ENTREGAR ADQUIRIR implantándose e
Y E integrándose en el proceso
Deberán establecerse los procesos SOPORTAR de la Organización.
IMPLANTAR
necesarios para la provisión
de los servicios. Contempla, asimismo, los cambios
y mantenimiento de
sistemas existentes, para
garantizar su continuidad.

28
Objetivos de Control. Repositorio de Procesos de TI
OBJETIVOS DE LA ENTIDAD
PO1 Definir un plan estratégico
de TI.
PO2 Definir la arquitectura de
información.
ME1 Monitorear y Evaluar el PO3 Determinar la dirección
desempeño de TI. MARCO DE REFERENCIA tecnológica.
ME2 Monitorear y Evaluar el C O B I T PO4 Definir los procesos de TI,
control interno. INFORMACION la organización y sus
ME3 Garantizar el relaciones.
cumplimiento PO5 Administrar las inversiones
regulatorio. en TI.
ME4 Proveer Gobierno de TI. Eficacia Disponibilidad PO6 Comunicar la dirección y
Conformidad Confidencialidad objetivos de la gerencia.
Fiabilidad PO7 Administrar los recursos
DS1 Definir y administrar niveles MONITORIZAR PLANIFICAR humanos de TI.
de servicio. Y Y PO8 Administrar calidad.
PO9 Evaluar y administrar
DS2 Administrar servicios de EVALUAR ORGANIZAR
terceros. RECURSOS riesgos de TI.
DS3 Administrar desempeño y DE PO10 Administrar proyectos.
TI
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
Personas
sistemas. Aplicaciones AI1 Identificar soluciones de
DS6 Identificar y asignar costos. Infraestructura automatización.
DS7 Educar y capacitar usuarios. Información AI2 Adquirir y mantener
DS8 Administrar servicios de ENTREGAR ADQUIRIR software de aplicación.
apoyo e incidentes. Y E AI3 Adquirir y mantener la
DS9 Administrar la configuración. SOPORTAR infraestructura tecnológica.
IMPLANTAR
DS10 Administrar problemas. AI4 Permitir la operación y uso.
DS11 Administrar datos. AI5 Obtener recursos de TI.
DS12 Administrar el ambiente AI6 Administrar cambios.
físico. AI7 Instalar y acreditar
DS13 Administrar operaciones. soluciones y cambios.

29
Objetivos de Control. De alto nivel
Descripción del
proceso
Dominio de TI y
Criterios de Información
Meta de TI
Metas del proceso
Prácticas clave
Métricas clave
Gobernanza de TI y
Recursos de TI

30
Objetivos de Control. Detallados
210 Objetivos de Control Detallados

31
Framework
Framework

Management
Guidelines
Objectives Maturity
Models
Management
Guidelines
Objetivos
Control
Directrices
Objectives
de de
Maturity
Control Gestión
Models

32
Directrices de Gestión
Entradas y Salidas del Proceso
Actividades y Matriz RACI
Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades
KGI - Indicadores clave de objetivos

KPI - Indicadores clave de rendimiento

33
Directrices de Gestión. Objetivos e indicadores: KGI y KPI
Objetivo
¿Lo
Alcanzaremos?
Hacer el KPI
trabajo Actuar
¿Lo hemos
KGI alcanzamos?

34
Directrices de Gestión. Modelos de madurez

35
Un ejemplo
Meta de la Entidad 19
Obtener información fiable y útil para la toma de decisiones estratégicas

36
Un ejemplo
Meta de la Entidad
19
Obtener información
fiable y útil para la
toma de decisiones
estratégicas

37
Un ejemplo OBJETIVOS DE LA ENTIDAD
Meta de TI 26 PO1 Definir un plan estratégico
Mantener integridad y procesamientos de TI.
PO2 Definir la arquitectura de
información.
ME1 Monitorear y Evaluar el PO3 Determinar la dirección
desempeño de TI. MARCO DE REFERENCIA tecnológica.
ME2 Monitorear y Evaluar el C O B I T PO4 Definir los procesos de TI,
control interno. INFORMACION la organización y sus
ME3 Garantizar el relaciones.
cumplimiento PO5 Administrar las inversiones
regulatorio. en TI.
ME4 Proveer Gobierno de TI. Eficacia Disponibilidad PO6 Comunicar la dirección y
Conformidad Confidencialidad objetivos de la gerencia.
Fiabilidad PO7 Administrar los recursos
DS1 Definir y administrar niveles MONITORIZAR PLANIFICAR humanos de TI.
de servicio. Y Y PO8 Administrar calidad.
PO9 Evaluar y administrar
DS2 Administrar servicios de EVALUAR ORGANIZAR
terceros. RECURSOS riesgos de TI.
DS3 Administrar desempeño y DE PO10 Administrar proyectos.
TI
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
Personas
sistemas. Aplicaciones AI1 Identificar soluciones de
DS6 Identificar y asignar costos. Infraestructura automatización.
DS7 Educar y capacitar usuarios. Información AI2 Adquirir y mantener
DS8 Administrar servicios de ENTREGAR ADQUIRIR software de aplicación.
apoyo e incidentes. Y E AI3 Adquirir y mantener la
DS9 Administrar la configuración. SOPORTAR infraestructura tecnológica.
IMPLANTAR
DS10 Administrar problemas. AI4 Permitir la operación y uso.
DS11 Administrar datos. AI5 Obtener recursos de TI.
DS12 Administrar el ambiente AI6 Administrar cambios.
físico. AI7 Instalar y acreditar
DS13 Administrar operaciones. soluciones y cambios.

38
LOGO DEL CLIENTE
03/ GOBERNANZA DE TI

La triste realidad …

40
La triste realidad …
¡¡DESGOBIERNO!!

41
… o de ¿cuál es al actitud de la Alta Dirección con respecto a
las TI de la Organización?
»¿Formarán las TI parte de la agenda de las reuniones del Consejo?
»De ser así, ¿Lo serán de una forma estructurada?
»¿Revisará e, incluso, aprobará el Consejo la estrategia con respecto a las TI?
»¿Tendrá el Consejo una perspectiva clara de la cartera total de inversiones en TI, desde el
punto de vista del riesgo y del retorno de tales inversiones?
»¿Recibirá el Consejo, de forma regular, informes de progreso de los principales proyectos de

TI?
»¿Será informado el Consejo, periódicamente, de los riesgos de carácter tecnológico a los que
la Organización está expuesta?
»¿Estará el Consejo obteniendo garantía independiente de que se están alcanzando los

objetivos definidos para las TI y de que se están mitigando los riesgos?

42
… lleva a una imperiosa necesidad: Gobernanza

43
Niveles de gobernanza
Gobernanza corporativa
La provisión de la estructura que permita determinar los objetivos de la
Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son
cumplidos.
OCDE (2004)
Gobernanza de SI Gobernanza de la Información y Tecnologías afines

La especificación del marco de derechos a la toma de decisiones y la alta
responsabilidad para favorecer un comportamiento deseable en el uso de las TI.
MIT/Sloan School of Management (2004)
No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas -
Gobernanza de TI
eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo
se toman.
Gobernanza
Corporativa Gobernanza de la Seguridad de la Información y Tecnologías afines
El establecimiento y mantenimiento de un marco que provea garantía de que las
estrategias de seguridad de la información están alineadas con los objetivos del
Niveles de Gobernanza negocio y son conformes a las leyes y regulaciones aplicables
ISACA/CISM BoK (2002)

44
Los datos
“… [dados los mismos objetivos estratégicos] las

compañías con una Gobernanza de TI superior tienen, al
menos, unos beneficios un 20% más altos que aquellas
otras que cuentan con una Gobernanza más pobre…”
IT Governance. Weill P. & J.W.Ross. MIT/Sloan School of Management
(2004)
ISBN: 1-59139-253-5

45
Alineamiento estratégico
Se orienta a asegurar el vínculo entre los planes de negocio y los de TI; a definir,
mantener y validar la propuesta de valor de las TI; y a alinear las operaciones de TI,
con las operaciones de la Entidad.
Aporte de valor
Guarda relación con la ejecución de la propuesta de valor a través de un ciclo de
entrega; garantizando que las TI ofrecen los beneficios esperados, con respecto a la
estrategia marcada; y ello, concentrándose en optimizar los costes y probando el valor
intrínseco de las TI.
Gestión de recursos
Hace referencia a la inversión óptima, y la gestión apropiada, de los recursos críticos
de TI: aplicaciones, información, infraestructura y personas. Los temas clave tienen
que ven con la optimización del conocimiento y la infraestructura.
Gestión del riesgo
Requiere la concienciación de la Alta Dirección; un claro entendimiento del apetito de
la Entidad por el riesgo; comprensión de los requisitos de conformidad normativa;
Dimensiones de la Gobernanza de TI transparencia sobre los riesgos significativos para la Empresa; y la incorporación de
responsabilidades de gestión de riesgos dentro de la Organización.
Medida del rendimiento
Sigue y supervisa la puesta en marcha de la estrategia, la finalización de los
proyectos, el empleo de recursos, el rendimiento de los procesos y la entrega de
servicios, empleado, por ejemplo, cuadros de mando integral que traducen la
estrategia en acciones para para alcanzar resultados medibles, más allá de la simple
contabilización.
46
Gobernanza de la Información y Tecnologías afines
» Es una responsabilidad de la Junta Directiva y de la Alta Dirección
» Una parte integral de la Gobernanza Corporativa
» Consta de liderazgo, estructuras, organizaciones y procesos que garantizan

que las TI soportan y extienden las estrategias y objetivos de la Entidad

47
LOGO DEL CLIENTE
04/ PUESTA EN MARCHA DE UNA ESTRATEGIA DE

GOBERNANZA DE TI

GOBERNANZA DE TI
Los derechohabientes (stakeholders) en la Gobernanza de TI
Junta y Fijan la dirección de TI, monitorean los resultados

ejecutivos e insisten en las medidas correctivas
Gerencia de Define los requerimientos del negocio para TI y

garantiza que se agrega valor y que los riesgos
Negocios son administrados
Entrega y mejora los servicios de TI tal como los

Gerencia de TI requiere el negocio
Proporciona garantía independiente de que TI

Auditoría de TI entrega lo que se necesita
Gerencia de Mide que las políticas obedecen a y están

Riesgo y cumplimiento enfocadas en alertar nuevos riesgos

49
GOBERNANZA DE TI
¿Qué necesitan los derechohabientes (stakeholders)?
Junta
▶ Información total sobre conformidad y desempeño de TI
Gerencia Ejecutiva
▶ Obtener valor a partir de las inversiones de TI
▶ Balancear el riesgo y el control de la inversión en un ambiente de TI que
frecuentemente es impredecible
▶ Establecer puntos de referencia (benchmark) de ambientes de TI existentes y futuros
▶ Ayudar a dar respuesta a los crecientes requerimientos regulatorios
Gerencia de Riesgo y Cumplimiento
▶ Validar que tanto el negocio como TI cumplan con los requerimientos internos y
externos
Gerencia de Negocios
▶ Obtener garantías sobre la seguridad y los controles de los productos y servicios
provistos internamente y por terceras partes
Auditores de TI
▶ Confirmar opiniones a la administración sobre los controles internos
▶ Responder a la pregunta: Qué controles mínimos son necesarios?

50
GOBERNANZA DE TI
Objetivo:
- Salvar las brechas entre los RIESGOS del negocio, las necesidades de CONTROL y
los procesos TÉCNICOS.
-Provee buenas prácticas a través de un marco de referencia de dominios y procesos
- Presenta actividades en una estructura administrable y lógica.
 Parte de los requerimientos del negocio

 Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente
aceptado
 Identifica los principales recursos de TI que deben ser potenciados
 Define los objetivos de control administrativos a ser considerados
 Incorpora los principales estándares internacionales
 Se ha convertido en el estándar de facto para el control general de TI
Los recursos de TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
51
GOBERNANZA DE TI
» Posibilita mapear las metas de TI a las metas del negocio y viceversa
» Mejor alineación, basada en un enfoque del negocio
» Una visión, comprensible para la administración, de lo que es TI
» Claridad en la propiedad y responsabilidades, basada en una orientación a procesos
» Aceptabilidad general con terceras partes y reguladores
» Entendimiento compartido entre todos los involucrados, basado en un lenguaje

común
» Cumplimiento de los requerimientos de COSO para el ambiente de control de TI

52
GOBERNANZA DE TI
CONFORMIDAD
Directrices DESEMPEÑO: Basilea II, Sarbanes-
Metas del negocio Oxley Act, etc
Balanced Scorecard
“Gobierno Corporativo” COSO
“Gobierno de TI” ISO38500 /COBIT / Val IT
ISO ISO ISO

Estándares de mejores prácticas 15504 27000 20000
Procedimientos Principios
Procesos y Procedimientos de ITIL
Desarrollo
Software Seguridad

53
GOBERNANZA DE TI
Camino hacia la implantación
Actividad
Normal del
Una secuencia de actividades para Negocio
Desarrollar
construir un Gobierno de TI organización
sostenible en la Organización de Gobierno
de TI
Evaluación
Proyectos de
Mejoramiento
Análisis
de
Brechas
Análisis de
Necesidades
Un mapa de ruta genérico ayuda a las
Concienci-
ación
organizaciones a diseñar los
esfuerzos de implementación del
Gobierno de TI ……
Nada

54
GOBERNANZA DE TI
Camino hacia la implantación (y II)
Éxito
Una secuencia de actividades para Cómo podemos

construir un Gobierno de TI mantener el
control?
sostenible en la Organización
Ya lo hemos
arreglado?
Qué lograr?
Qué se
está
olvidando?
Qué es
critico?
Un mapa de ruta genérico ayuda a las
Existen
problemas?
organizaciones a diseñar los esfuerzos de
implementación del Gobierno de TI ……
Qué debe
Entregar TI?

55
GOBERNANZA DE TI
Mapa de ruta
IDENTIFICAR
NECESIDADES
Fomentar la Analizar
Seleccionar
conciencia y metas del Analizar Definir el
procesos y
obtener negocio & riesgos Alcance
controles
compromiso TI
PREVER LA
SOLUCIÓN Definir el Definir Analizar
desempeño objetivos de inconsistencias
actual mejora e identificar
mejoras
PLANEAR LA
SOLUCIÓN Desarrollar
Definir
un plan de
proyectos
mejora
IMPLEMENTAR LA
SOLUCIÓN Integrar Revisión
Implementar
medidas en Post
las mejoras
el ITBSC implementación
CONSTRUIR
SOSTENIBILIDAD Desarrollar
Estructura &
Procesos del
Gobierno de TI

56
LOGO DEL CLIENTE
05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS INVERSIONES EN

ACTIVIDADES APOYADAS EN TI

05/ Val IT™ O SOBRE LA GOBERNANZA DE LAS
INVERSIONES EN ACTIVIDADES APOYADAS EN TI
Val IT™: Basado en CobiT®

58
Val IT™. Un nuevo miembro en la familia CobiT®
“Val IT™ - Enterprise Value:

Governance of IT investments”
Marzo 2006

59
Presentación

60
La paradoja de la información
El VALOR de las TI está siendo cada vez más cuestionado …
… mientras las organizaciones continúan gastando más y más en tecnología

61
El dato
Más de 600.000 millones de dólares tirados

cada año en proyectos de TI, mal concebidos
o mal ejecutados.
Fuente: Gartner

62
La cuestión fundamental
¿Estamos gestionando nuestras inversiones en TI, de forma tal, que:
▶ … obtenemos el nivel óptimo de valor;
▶ … a un coste razonable; y,
▶ … con un aceptable nivel de riesgo?

63
05 Val IT™ O SOBRE LA GOBERNANZA DE LAS
Procesos y prácticas clave de gestión
Val IT consta de tres (3) PROCESOS,

soportados en un total de cuarenta (40) PRÁCTICAS clave de gestión
64
LOGO DEL CLIENTE
06/ MODELOS y MAPPING

06/ OTROS MODELOS
~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios
de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.
ISO TC68-SC2-WG4
COSO CISA
Criterios Comunes
OCDE IFAC
EDIFACT
DTI NIST SP 500-153
TickIT
ISO 9000-3 GAO/GAS
ESF/Comunicaciones
NIST SP 800-12 SPICE
ESF/Microordenadores
ITIL ISAA (Dinamarca)
EDPAF/CISAM
IBAG DRI International
GAO/AIMD-00-21.3.1
NSW IIA/SAC
NIST SP 800-18
DCB IIA/PPP 97-1
GAO/FISCAM
EDPAF/Monográfico 7 E&Y/TRS
BS7799
PCIE C&L/Audit Guide SAP R/3
CICA
JISAS ISO IEC JTC1-SC27
ISO IEC 13335-n (1..5)
EDPAF/Objetivos de Control ISO IEC JTC1-SC7
SysTrustTM
66
06/ OTROS MODELOS
Committee of Sponsoring Organisations of the Treadway Commission (COSO)

Internal Control – Integrated Framework, 1994
Enterprise Risk Management – Integrated Framework, 2004
Office of Government Commerce (OGC®)
IT Infrastructure Library® (ITIL®), 1999-2004
Internation Organisation for Standardization
ISO/IEC 17799:2005, Code of Practice for Information Security Management
Software Engineering Institute (SEI®)
SEI Capability Maturity Model (CMM®), 1993
SEI Capability Maturity Model Integration (CMMI®), 2000
Project Management Institute (PMI®)
Project Management Professional Body of Knowledge (PMBOK®), 2000
Information Security Forum (ISF)
The Standard of Good Practice for Information Security, 2003

67
06/ OTROS MODELOS

68
06/ OTROS MODELOS
Plan and Organize Plan and Organize

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7
1 2 3 4 5 6 7
Monitor and Evaluate

Acquire and Maintain

4
4
CobiT 4.0 processes addressed by
3
3
COSO Internal Control -
FIPS PUB 200
2
2
Integrated Framework
1
1
by Jimmy Heschl by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13
Deliver and Support Deliver and Support

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7
1 2 3 4 5 6 7


4
4
3
3
CobiT 4.0 processes addressed by CobiT 4.0 processes addressed by
ISO/IEC TR 13335 ISO/IEC 15408:2005
2
2
1
1
by Jimmy Heschl by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13

1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10
1 2 3 4 5 6 7

1 2 3 4 5 6 7
4
4

3

TickIT NIST 800-14
2
2
1
1
by Jimmy Heschl
by Jimmy Heschl
1 2 3 4 5 6 7 8 9 10 11 12 13 1 2 3 4 5 6 7 8 9 10 11 12 13

69
06/ OTROS MODELOS
Figura 2- Relación de ITGI Productos e ISO / IEC 38500
ISO / IEC 38500 de Áreas

ITGI Producto
Responsabilidades
Comportamiento
Funcionamiento
Conformidad
Adquisición
Estrategias
nitorizar
humano
Evaluar
Dirigir
Reunión informativa sobre la Junta de √ √ √ √ √ √
Gobierno de TI, 2 ª edición
Desbloqueo de Valor: El Primer Ejecutivo √ √ √ √ √ √
sobre
el papel fundamental de Gobierno de TI
COBIT ® √ √ √ √ √ √ √ √ √
Val de TI ™ √ √ √ √ √ √ √ √ √
Guía para la implementación de Gobierno de √ √ √
TI: Uso de ® COBIT y Val IT, 2da Edicin
Guía de Aseguramiento de TI: Uso de COBIT √ √ √ √
®
COBIT ® Quickstart ™, 2a Edición √ √
Valor de empresa: la gobernanza de la TI √
Inversiones, Primeros pasos con Valor
Gestión
COBIT ® ™ Seguridad de referencia, 2 ª √ √ √
edición
Valor de empresa: la gobernanza de la TI √ √ √ √ √
Inversiones, el asunto de Negocios

70
06/ CobiT® Y OTROS MODELOS
El efecto “sombrilla” de CobiT®
COSO
ISO38500 / COBIT / Val IT
ISO 27000
ISO 15504
QUE ISO20000 COMO
CAMPO DE COBERTURA

71
LOGO DEL CLIENTE
07/ CERTIFICACIÓN ISO38500


73
OBJETIVOS DE LA NORMA
Objetivo de la norma: El uso de las tecnologías de la información de manera
efectiva, optima y eficiente en las organizaciones, con la finalidad de:
Generar confianza en los stakeholders (empleados, clientes, proveedores,

socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organización.
Informar y guiar a la alta dirección en el gobierno TIC en su organización.
Proveer de bases para la evaluación objetiva del Gobierno Corporativo TIC

ISO 38500

74
BENEFICIOS DE LA IMPLANTACIÓN DEL ESTÁNDAR:
 Adecuada aplicación y operación de activos de TIC.
 Asignación de responsabilidades.
 Continuidad del negocio
 Sostenibilidad.
 Alineación de TIC con los objetivos del negocio.
 Asignación eficiente de recursos.
 Innovación en los servicios, los mercados y las empresas.
 Mejora de imagen y reputación en el mercado frente a los reguladores, y con los stakeholders.
 Optimización en los costes de una organización
 Inversión efectiva en TIC.
 Cumplimiento legal.
Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y
rentabilidad de la entidad y prevenir la pérdida de recursos.
Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y
normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias
derivadas.
75
ISO 38500

76
MODELO:
La Norma establece los principios para el buen gobierno corporativo de TIC:
Responsabilidad
Estrategia
Inversión
Rendición de Resultados
Cumplimiento
Recursos Humanos
En cada uno de los principios de la Norma es necesario realizar tres tareas principales:
EVALUAR el uso actual y futuro de las TIC.

DIRIGIR la preparación y ejecución de planes y políticas para garantizar que el uso de
TIC cumple los objetivos empresariales.
MONITORIZAR la conformidad con las políticas, y los resultados de los planes.

77
PRINCIPIOS:
◊ Claro establecimiento de responsabilidades sobre las TIC

◊ Planificación de las TIC para un mejor soporte de la organización
◊ Adquisición de TIC de forma válida
◊ Garantía de unas TIC que funcionan bien y cuando son requeridas
◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la
normativa formalmente establecida
◊ Garantía de unas TIC cuyo uso respeta los factores humanos

78
◊ Independencia de las herramientas
◊ Definición clara del concepto y sus límites
◊ Identificación de los destinatarios del mensaje
◊ Sencillez del propio mensaje a través de la

proclamación de unos principios
79
79
◊ Claro establecimiento de responsabilidades sobre las TIC

◊ Planificación de las TIC para un mejor soporte de la
organización
◊ Adquisición de TIC de forma válida
◊ Garantía de unas TIC que funcionan bien y cuando son
requeridas
◊ Garantía de unas TIC que cumplen (y ayudan a cumplir)
con la normativa formalmente establecida
◊ Garantía de unas TIC cuyo uso respeta los factores
humanos
80
80
◊ ¿Los individuos de su organización entienden y aceptan su

responsabilidad sobre las TIC?
◊ ¿Sus planes tecnológicos soportan los planes corporativos de su
organización y cubren las necesidades presentes y futuras de la
misma?
◊ ¿Las adquisiciones de TIC se realizan por razones aprobadas y de la
forma aprobada?
◊ ¿Su marco TIC garantiza adecuadamente la continuidad y
sostenibilidad de su organización?
◊ ¿Su marco TIC es conforme a regulaciones externas y/o internas?
◊ ¿Su entorno TIC cumple con las necesidades de la “gente
involucrada en el proceso”?
81
81
LOGO DEL CLIENTE
DEBATE

DEBATE
Discusiones,
Preguntas y
Respuestas

83
Reflexión Final
LAS IDEAS NO DURAN MUCHO. HAY QUE HACER ALGO CON ELLAS
Santiago Ramón y Cajal (1854-1934)

84
LOGO DEL CLIENTE
Muchas gracias por contribuir al éxito de la sesión


Introducción ISO38500 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introducción ISO38500 PDF

Cargado por

Copyright:

Formatos disponibles

LOGO DEL CLIENTE

(no debe superar el tamaño del logo de Atos Origin)

21 de abril de 2006 | Nº oferta | v1.0

EL QUE NO APLIQUE NUEVOS REMEDIOS, DEBE ESPERAR NUEVOS MALES

PORQUE EL TIEMPO ES EL MÁXIMO INNOVADOR

Francis Bacon (1561-1626)

Página 1 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

*** OBJETIVOS ***

▶ Conocer los aspectos más importantes del modelo Gobierno TIC

▶ Comprender la importancia del concepto de Gobernanza de TI para la

▶ Comprender la utilización de los modelos CobiT, Val IT, ISO38500

Página 2 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

*** CRÉDITOS Y RECONOCIMIENTOS ***

Parte del material empleado en esta presentación procede, o está basado, en la

Asimismo, también han sido consultadas - y, en su caso, traducidas, adaptadas y/o

Página 3 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

José Manuel Ballester Fernández

▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT

Página 4 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

D. Tomás Arroyo Salido

Diplomado en Auditoría de la Información y Dirección de la Seguridad de la Información-UPM

Página 5 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

▶ 02/ Alcance de CobiT®

▶ 04/ Puesta en marcha de una estrategia de Gobernanza de TI

▶ 05/ Val IT™ o sobre la Gobernanza de las inversiones en actividades apoyadas en TI

▶ 06/ CobiT® y otros modelos

▶ 07/ Certificación ISO38500

Página 6 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

21 de abril de 2006 | Nº oferta | v1.0

Página 8 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

Página 9 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

- Promover la participación activa de la ciudadanía en el desarrollo de la RSC.

Página 10 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

COSO – Internal Control Integrated Framework

Control Interno OBJETIVOS DE COSO

 Mejorar la calidad de la información financiera

Página 11 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

El Gobierno Corporativos incluye las siguientes capacidades:

 Alinear el riesgo aceptado y la estrategia

Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de

Con el Gobierno Corporativo permite asegurar una información eficaz y el

Página 12 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

El marco de Gobierno Corporativo está orientado a alcanzar los

Página 13 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

Página 14 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

02/ ALCANCE DE CobiT®

21 de abril de 2006 | Nº oferta | v1.0

Página 16 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

Control Interno TIC

1996 Abr. 1998 Jul. 2000 Nov. 2005 / Mar.2007

Página 17 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

OBjetivos de Control para la Información y Tecnologías afines

Página 18 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

¿Cúales son sus Resumen Ejecutivo

• Indicadores Clave de Rendimiento

Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad

Página 19 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

Control Marco de Referencia

Página 20 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

Control Marco de Referencia

Página 21 | © ® ATOS | 21 de abril de 2006 | Nº oferta | v1.0

La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de

La Organización requiere INFORMACIÓN proporcionada por TI para alcanzar los

* OBJETIVOS *

* CRÉDITOS Y RECONOCIMIENTOS *