TITULO

• Integrando
Temas ITIL, COBIT e ISO 27002
como parte de un marco de
Gobierno y Control de TI
 Temario
1. Reflexiones sobre el gobierno de TI
2. Introducción a los estándares y mejores
prácticas
• ITIL
• COBIT
• ISO 17799 / 27002
3. Como articular los estándares para definir un
marco de trabajo de gobierno y control
Reflexiones sobre el Gobierno
de TI
 Governance:
¿Gobierno o Gobernabilidad?
• Governance: Se traduce como Forma de Gobierno o simplemente
como Gobierno
• Governability: Se traduce como Gobernabilidad, y se refiere a la
capacidad de gobernar

Governance ≠ Gobernabilidad

http://translation2.paralink.com
http://babelfish.altavista.com
http://www.online-translator.com
 Gobierno de TI
El gobierno de TI es el grupo de liderazgo, las
estructuras y los procesos organizacionales
que aseguran que las TIs de la organización
soportan y extienden las estrategias y los
objetivos organizacionales

(Fuente: IT Governance Institute)

Los pilares del Gobierno de TI

Equipo de
Liderazgo
Gobierno de TI

Estructuras
Organizacionales
Procesos y
Procedimientos
 El Gobierno de TI como parte de un
marco de Gobierno Corporativo

Gobierno Corporativo

Gobierno de TI

Gobierno de
Seguridad de TI
 Alineación de las TIs y los
objetivos del negocio
• El Gobierno de TI permite asegurar que las TIs
estén alineadas con los objetivos y las metas
organizacionales
Actores primarios y secundarios
en el Gobierno de TI
Accionistas

Ejecutivos y Alta Gerencia Corporativa

Clientes IT Vendors

Gerentes del Gerentes de

Negocio Tecnología

Proveedores
Gobierno de TI vs. Gestión de TI
Entorno
Organizacional
Externo

Gobierno de TI

Gestión de TI

Interno
Tiempo
Presente Futuro
 El Gobierno de TI depende de
unas buenas prácticas de
Gestión de TI

Buenas
Prácticas de PREREQUISITO Gobierno de TI
Gestión de TI adecuado
 La Gestión de TI
• Busca prestar servicios de tecnología seguros,
confiables, predecibles, sostenibles y costo-
efectivos, con un nivel de servicio adecuado a las
necesidades del negocio y un nivel de riesgo
razonable para el negocio
• Se basa en construir y mantener tres pilares:
– Optimización de Infraestructura
– Operaciones de TI adecuadas
– Seguridad de TI adecuada
 Optimización
de Infraestructura
Requerimientos del Negocio
IT Service Delivery

Operaciones
Seguridad
Los pilares de una gestión exitosa de TI

Optimización
de Infraestructura
Operaciones
Seguridad
Optimización de Infraestructura
• Adquirir la infraestructura óptima para las
necesidades de la organización
• Utilizar de manera óptima los recursos
computacionales de la organización de manera
que le agreguen valor a las operaciones del
de Infraestructura
Optimización

negocio
– Incrementar la integración, el intercambio de
información y la utilización compartida de recursos
– Mejorar la eficiencia, eliminar la redundancia y
aumentar la automatización
 Operaciones de TI

• Administrar, Gestionar y Operar adecuadamente

un sistema de información y todos sus
componentes:
– Infraestructura computacional y de
comunicaciones
Operaciones

– Procesos y procedimientos
– Personas
• Mantener niveles de servicio adecuados a las
necesidades del negocio
 Seguridad Informática
• Asegurar y mantener seguros todos los
componentes del sistema de información
• Mantener la confidencialidad, integridad y
disponibilidad de la información
• Garantizar la continuidad del servicio
Seguridad

• Diseñar elementos de control que

garanticen el acceso controlado a los
recursos del sistema
 Relaciones
• TIs: La herramienta

• Operaciones de TI: Especifica

la forma adecuada (óptima) de
utilizar la herramienta

• Seguridad de TI: Especifica la

forma segura de utilizar la
herramienta

• Gobierno de TI: Es la forma de

garantizar que la herramienta
se utilice para lograr los
objetivos de la organización
Introducción a los Estándares y
Mejores Prácticas
Los Estándares y Mejores
Prácticas

Es
Y tánd
M a
Pr ejo res
ác re
tic s
as
 COBIT
• Control Objectives for Information and related Technology (Objetivos de
Control para la información y tecnologías relacionadas)
• Fué publicado inicialmente en 1996 por la ISACF (Information Systems
Audit and Control Foundation), Hoy en dia ISACA (Information Systems
Audit and Control Association)
• Hoy es mantenida por el IT Governance Institute
• Su versión actual es la 4.0
• Está compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de
control detallados, diseñados para ayudar a las organizaciones a mantener
un control efectivo sobre sus TICs
 COBIT
• Es un estándar muy bien construído, ampliamente reconocido y
aceptado.
• Toda la documentación de COBIT se encuentra en línea incluyendo
su resumen ejecutivo, el marco de trabajo (framework), los objetivos
de control, las guías de auditoría, gestión e implementación.
• La versión "QuickStart" de COBIT para organizaciones pequeñas y
medianas contiene un subconjunto de COBIT enfocado a los
elementos más críticos para organizaciones que no tienen los
recursos para buscar una implantación completa del estándar.
• COBIT tiene 4 dominios:
– PO: Planning & Organizing
– AI: Acquisition & Implementation
– DS: Delivery & Support
– M: Monitoring
 COBIT
• Critical Success Factors – Provee a la gerencia
con guías para implementar controles sobre TI y
procesos de TI de manera exitosa
• Key Goal Indicators – Representan los objetivos
de los procesos. Son la medida de lo que se
debe lograr, la meta a lograr.
• Key Performance Indicators – Son medidas que
le indican a la gerencia si un proceso de TI esta
logrando sus objetivos, a través del monitoreo
del desempeño del proceso. Esta relacionado
con el cómo se realiza el proceso.
 ITIL / ISO 20000
• Information Technology Infrastructure library
• Compendio de publicaciones de mejores prácticas de TI
• Su foco central es la entrega (delivery) y el soporte (support) de
servicios de TI alineados con las necesidades de la organización
• Los procesos de gestión de servicio de ITIL buscan soportar (no
dictar) los procesos de negocios de una organización.
• Los procesos genéricos descritos en ITIL promueven mejores
prácticas
• Los procesos más conocidos de la gestión de servicio de ITIL se
describen en dos publicaciones: Service Support (Soporte de
servicio) y Service Delivery (entrega de servicio).
 ITIL / ISO 20000
• Los procesos de soporte de servicio son:
– Administración de Incidentes
– Administración de Problemas
– Administración de Configuraciones
– Administración del Cambio
– Administración de Liberaciones
– Mesa de Ayuda (Service desk)
• Los procesos de entrega de servicio
son:
– Administración de Capacidad
– Administración de Disponibilidad
– Administración Financiera de Servicios de TI
– Administración de Nivel de Servicio
– de la continuidad de servicio de TI
 ITIL / ISO 20000
• Dos conceptos principales caracterizan la
línea de pensamiento de ITIL
– Administración de Servicios (y gerentes de
servicios) Holisticos:
– Orientación al cliente – Los servicios de TI se
deben proveer en un nivel de calidad que el
negocio pueda depender continuamente de
ellos
 ITIL / ISO 20000
• Otras publicaciones que conforman ITIL trascienden la entrega y el
soporte de servicio, y buscan cubrir las actividades principales
necesarias para definir y desarrollar procesos efectivos de TI
incluyendo:
– El desarrollo de sistemas nuevos
– El diseño y la planeación de infraestructura de TICs (tecnologías de
información y comunicaciones
– La operación y el mantenimiento de sistemas existentes
– El ajuste de la entrega de servicio a la evolución de los requerimientos
del negocio
• Otros libros que conforman ITIL
– Planning to Implement Service Management
– ICT Infrastructure Management
– Applications Management
– ITIL Security Management
 ISO 17799 /
27002
• El ISO/IEC 17799 es un “conjunto completo de controles
que comprende las mejores prácticas en seguridad
informática”, siendo un estándar genérico ampliamente
reconocido internacionalmente
• El ISO / IEC 17799 tiene como objetivos “dar
recomendaciones para la administración de la seguridad
informática para que sean usadas por aquellos que son
responsables de iniciar, implementar, o mantener la
seguridad en su organización”.
• Aunque está diseñado para ayudar a optimizar la
seguridad informática, también es ideal para ayudar al
diagnóstico del sistema de seguridad desde una
perspectiva netamente operativa, aplicando la
metodología de evaluación anteriormente propuesta.
 ISO 17799 / 27002
• Inicialmente, este estándar se originó como el estándar
británico (British Standard) BS7799 en febrero de 1995,
y tras una revisión exhaustiva en 1999, fue adoptado por
la ISO en el 2000, siendo publicada una segunda parte
en el 2002.
• ISO 27002: Es una guía de buenas prácticas que
describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
No es certificable. Es la sustituta de la ISO17799:2005,
que es la que actualmente está en vigor, y que contiene
39 objetivos de control y 133 controles, agrupados en 11
cláusulas. La norma ISO27001 contiene un anexo que
resume los controles de ISO17799:2005.
 Estándares y Mejores Prácticas
Operaciones de
Tecnología :
ITIL (ISO/IEC20000)

Seguridad, Gobierno, Control y

Continuidad del Negocio , Auditabilidad :
Administración de Riesgos: COBIT
ISO/IEC17799 (ISO/IEC27002)
Como articular los estándares
para definir un marco de
trabajo de gobierno y control
 ¿Qué es un marco de trabajo de
Gobierno de TI?
• Es un sistema de control
• Es una estrategia completa explícitamente ligada con las
TIs y los objetivos organizacionales.
• Permite que las organizaciones puedan asegurarse de
que sus TIs están alineadas con los objetivos
organizacionales
• Esto permite maximizar los beneficios recibidos por las
TIs, garantizar que estas sean usadas eficientemente y
que los riesgos sean manejados de manera adecuada
• Además, un marco de trabajo de Goberno de TI debe
permitir medir el desempeño!
 ¿Cómo soportan los estándares/mejores
prácticas el Gobierno de TI?
• Proveen un marco de políticas de gestión y
control
• Permiten que las personas se puedan adueñar
de los procesos, estableciendo responsabilidad
(accountability) sobre las actividades de TI
• Alinean los objetivos de TI con los objetivos del
negocio, definiendo prioridades y asignando
recursos
• Aseguran el retorno a la inversión y la
optimización de costos
 ¿Cómo soportan los estándares/mejores
prácticas el Gobierno de TI? (2)
• Permiten asegurarse de que los riesgos significativos han
sido identificados y son visibles para la gerencia, que la
responsabilidad de la administración de riesgos ha sido
asignada y embebida en la organización y que se han
implementado controles adecuados para manejarlos
• Aseguran que los recursos han sido eficientemente
organizados y que existe una capacidad suficiente
(técnica, de procesos, de habilidades y de competencias)
para asegurar la ejecución de la estrategia de TI.
• Permiten asegurar que las actividades críticas de TI sean
monitoreadas y medidas, de manera que se puedan
identificar los problemas y se puedan emprender
acciones correctivas
 Funciones Primarias del
Gobierno de TI (y los
estándares que las soportan)
•Planeación y Alineamiento Estratégico (ITIL, COBIT)

•Operaciones de TI (ITIL, ISO/IEC 27002)

•Manejo Financiero (ITIL)

•Marcos de Control (COBIT, ISO/IEC 27002)

Roles de ITIL, COBIT e ISO/IEC27002
en un marco de trabajo de Gobierno de
TI

ISO/IEC 27002 Qué se debe hacer

COBIT

ITIL Cómo se debe hacer

 Roles de ITIL, COBIT e ISO/IEC27002
en un marco de trabajo de Gobierno
de TI (2)
• COBIT es usado como el estándar principal,
proveyendo un marco de control y gobierno
basado en modelos de procesos de TI
genéricos aplicables a cualquier organización.
• Los Estándares y mejores prácticas como ITIL
e ISO 17799/27002 cubren áreas específicas,
y pueden ser mapeados al marco de trabajo
de COBIT.
 Proceso de Articulación de un
marco de Gobierno de TI
1. Definir un marco organizacional (como parte de una iniciativa de
gobierno de TI) con responsabilidades y objetivos claros, y la
participación de todos los actores interesados, que lidere la
implementación y se adueñe (y se haga responsable) de ella.
2. Alinear la estrategia de TI con los objetivos del negocio.
• ¿En cuáles objetivos de negocios contribuyen las TIs de manera
significativa?
• Se debe lograr un entendimiento adecuado del entorno de negocios, los
riesgos (y la tolerancia corporativa frente al riesgo), y la estrategia de
negocios (y cómo se relaciona con las TIs).
• Las guías de gestión de COBIT (específicamente los KGIs) y los
criterios de información del marco de COBIT ayudan a definir los
objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles
de servicio y estructurando Acuerdos de Nivel de Servicio (Service Level
Agreements - SLAs), ajustandose a las necesidades del cliente.
 Proceso de Articulación de un
marco de Gobierno de TI (2)
3. Entender y definir los riesgos. Dados los objetivos de negocio,
¿cuales son los riesgos que afectan la capacidad de las TIs de
proveer un servicio adecuado?
El proceso de COBIT para la administración del riesgo (PO9) y la
aplicación del marco de control y de los criterios de información
ayudan a asegurar que los riesgos sean identificados y que se les
asigne un dueño. ITIL ayuda a definir los riesgos operacionales e
ISO 17799 define los riesgos de seguridad.
4. Delimitar las áreas a optimizar, y en ellas, identificar los procesos
de TI que son críticos para administrar adecuadamente los
diferentes riesgos. El marco de Procesos de COBIT puede ser
usado como la base, apoyado en la definición de procesos de
entrega de servicios críticos (key service delivery processes) de
ITIL y los objetivos de seguridad de ISO 17799.
 Proceso de Articulación de un
marco de Gobierno de TI (3)
5. Analizar la capacidad actual de prestación de servicios de TI respecto a las
necesidades del negocio, e identificar las brechas. Llevar a cabo un
análisis de capacidad de madurez (maturity capability assessment) para
identificar en dónde se necesitan más urgentemente mejoras (puede
usarse el modelo de madurez de COBIT, o el de ITIL!). Las guías de
gestión de COBIT proveen una base, soportada en más detalle por ITIL e
ISO 17799.
6. Desarrollar una estrategia de mejora continua, y articularla a través de un
portafolio de proyectos. Se debe decidir cuáles proyectos deben tener una
prioridad mayor, priorizando aquellos que ayuden a mejorar la gestión y el
gobierno de áreas que provean servicios de TI significativos para el
negocio. La decisión debe tomarse basado en el beneficio potencial, la
facilidad de implementación de las mejoras, y con un claro foco en
procesos importantes de TI. Se deberá establecer un proceso de mejora
continua (Continuous Improvement Process) que garantice que la
optimización será permanente a lo largo del tiempo.
Los CSFs de COBIT, los objetivos de control y las prácticas de control son
soportadas con mayor nivel de detalle por ITIL e ISO
17799.
 Proceso de Articulación de un
marco de Gobierno de TI (4)
7. Medir los resultados a través de la definición de
metas-objetivos, métricas, y la creación de
indicadores e índices de gestión, y la articulación
de un tablero de control, que permita medir el
desempeño actual y monitorear los resultados de
nuevas mejoras. Las guías de gestión de COBIT
(específicamente los KPIs, alineados a KGIs
previamente definidos) pueden formar la base
del scorecard.
 Modelos de Madurez
• COBIT’s GMM (Governance Maturity Model)
• ITIL’s PMF (Process Maturity Model)

Si se planea utilizar COBIT como la estructura de

control que define los Critical Success Factors
(CSF) y los Key Performance Indicators (KPI) de
la implementación de ITIL, es mejor utilizar
GMM. Si no se va a utilizar COBIT para esto,
PMF es una alternativa adecuada.
 Bibliografía
• Aligning COBIT, ITIL and ISO 17799 for
Business Benefit
http://www.itgovernance.co.uk/files/ITIL-COBiT-
ISO17799JointFramework.pdf
• ITIL: What is it? How does ITIL link to COBIT
and ISO 17799? http://www.isaca-
ottawa.ca/itil_16may2006.pdf
• COBIT Versus Other Frameworks: A Road Map
To Comprehensive IT Governance
http://www.forrester.com/Research/Document/E
xcerpt/0,7211,38442,00.html
 ¿Preguntas?

¿Comentarios?