Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Integrando
Temas ITIL, COBIT e ISO 27002
como parte de un marco de
Gobierno y Control de TI
Temario
1. Reflexiones sobre el gobierno de TI
2. Introducción a los estándares y mejores
prácticas
• ITIL
• COBIT
• ISO 17799 / 27002
3. Como articular los estándares para definir un
marco de trabajo de gobierno y control
Reflexiones sobre el Gobierno
de TI
Governance:
¿Gobierno o Gobernabilidad?
• Governance: Se traduce como Forma de Gobierno o simplemente
como Gobierno
• Governability: Se traduce como Gobernabilidad, y se refiere a la
capacidad de gobernar
Governance ≠ Gobernabilidad
http://translation2.paralink.com
http://babelfish.altavista.com
http://www.online-translator.com
Gobierno de TI
El gobierno de TI es el grupo de liderazgo, las
estructuras y los procesos organizacionales
que aseguran que las TIs de la organización
soportan y extienden las estrategias y los
objetivos organizacionales
Equipo de
Liderazgo
Gobierno de TI
Estructuras
Organizacionales
Procesos y
Procedimientos
El Gobierno de TI como parte de un
marco de Gobierno Corporativo
Gobierno Corporativo
Gobierno de TI
Gobierno de
Seguridad de TI
Alineación de las TIs y los
objetivos del negocio
• El Gobierno de TI permite asegurar que las TIs
estén alineadas con los objetivos y las metas
organizacionales
Actores primarios y secundarios
en el Gobierno de TI
Accionistas
Clientes IT Vendors
Proveedores
Gobierno de TI vs. Gestión de TI
Entorno
Organizacional
Externo
Gobierno de TI
Gestión de TI
Interno
Tiempo
Presente Futuro
El Gobierno de TI depende de
unas buenas prácticas de
Gestión de TI
Buenas
Prácticas de PREREQUISITO Gobierno de TI
Gestión de TI adecuado
La Gestión de TI
• Busca prestar servicios de tecnología seguros,
confiables, predecibles, sostenibles y costo-
efectivos, con un nivel de servicio adecuado a las
necesidades del negocio y un nivel de riesgo
razonable para el negocio
• Se basa en construir y mantener tres pilares:
– Optimización de Infraestructura
– Operaciones de TI adecuadas
– Seguridad de TI adecuada
Optimización
de Infraestructura
Requerimientos del Negocio
IT Service Delivery
Operaciones
Seguridad
Los pilares de una gestión exitosa de TI
Optimización
de Infraestructura
Operaciones
Seguridad
Optimización de Infraestructura
• Adquirir la infraestructura óptima para las
necesidades de la organización
• Utilizar de manera óptima los recursos
computacionales de la organización de manera
que le agreguen valor a las operaciones del
de Infraestructura
Optimización
negocio
– Incrementar la integración, el intercambio de
información y la utilización compartida de recursos
– Mejorar la eficiencia, eliminar la redundancia y
aumentar la automatización
Operaciones de TI
– Procesos y procedimientos
– Personas
• Mantener niveles de servicio adecuados a las
necesidades del negocio
Seguridad Informática
• Asegurar y mantener seguros todos los
componentes del sistema de información
• Mantener la confidencialidad, integridad y
disponibilidad de la información
• Garantizar la continuidad del servicio
Seguridad
Es
Y tánd
M a
Pr ejo res
ác re
tic s
as
COBIT
• Control Objectives for Information and related Technology (Objetivos de
Control para la información y tecnologías relacionadas)
• Fué publicado inicialmente en 1996 por la ISACF (Information Systems
Audit and Control Foundation), Hoy en dia ISACA (Information Systems
Audit and Control Association)
• Hoy es mantenida por el IT Governance Institute
• Su versión actual es la 4.0
• Está compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de
control detallados, diseñados para ayudar a las organizaciones a mantener
un control efectivo sobre sus TICs
COBIT
• Es un estándar muy bien construído, ampliamente reconocido y
aceptado.
• Toda la documentación de COBIT se encuentra en línea incluyendo
su resumen ejecutivo, el marco de trabajo (framework), los objetivos
de control, las guías de auditoría, gestión e implementación.
• La versión "QuickStart" de COBIT para organizaciones pequeñas y
medianas contiene un subconjunto de COBIT enfocado a los
elementos más críticos para organizaciones que no tienen los
recursos para buscar una implantación completa del estándar.
• COBIT tiene 4 dominios:
– PO: Planning & Organizing
– AI: Acquisition & Implementation
– DS: Delivery & Support
– M: Monitoring
COBIT
• Critical Success Factors – Provee a la gerencia
con guías para implementar controles sobre TI y
procesos de TI de manera exitosa
• Key Goal Indicators – Representan los objetivos
de los procesos. Son la medida de lo que se
debe lograr, la meta a lograr.
• Key Performance Indicators – Son medidas que
le indican a la gerencia si un proceso de TI esta
logrando sus objetivos, a través del monitoreo
del desempeño del proceso. Esta relacionado
con el cómo se realiza el proceso.
ITIL / ISO 20000
• Information Technology Infrastructure library
• Compendio de publicaciones de mejores prácticas de TI
• Su foco central es la entrega (delivery) y el soporte (support) de
servicios de TI alineados con las necesidades de la organización
• Los procesos de gestión de servicio de ITIL buscan soportar (no
dictar) los procesos de negocios de una organización.
• Los procesos genéricos descritos en ITIL promueven mejores
prácticas
• Los procesos más conocidos de la gestión de servicio de ITIL se
describen en dos publicaciones: Service Support (Soporte de
servicio) y Service Delivery (entrega de servicio).
ITIL / ISO 20000
• Los procesos de soporte de servicio son:
– Administración de Incidentes
– Administración de Problemas
– Administración de Configuraciones
– Administración del Cambio
– Administración de Liberaciones
– Mesa de Ayuda (Service desk)
• Los procesos de entrega de servicio
son:
– Administración de Capacidad
– Administración de Disponibilidad
– Administración Financiera de Servicios de TI
– Administración de Nivel de Servicio
– de la continuidad de servicio de TI
ITIL / ISO 20000
• Dos conceptos principales caracterizan la
línea de pensamiento de ITIL
– Administración de Servicios (y gerentes de
servicios) Holisticos:
– Orientación al cliente – Los servicios de TI se
deben proveer en un nivel de calidad que el
negocio pueda depender continuamente de
ellos
ITIL / ISO 20000
• Otras publicaciones que conforman ITIL trascienden la entrega y el
soporte de servicio, y buscan cubrir las actividades principales
necesarias para definir y desarrollar procesos efectivos de TI
incluyendo:
– El desarrollo de sistemas nuevos
– El diseño y la planeación de infraestructura de TICs (tecnologías de
información y comunicaciones
– La operación y el mantenimiento de sistemas existentes
– El ajuste de la entrega de servicio a la evolución de los requerimientos
del negocio
• Otros libros que conforman ITIL
– Planning to Implement Service Management
– ICT Infrastructure Management
– Applications Management
– ITIL Security Management
ISO 17799 /
27002
• El ISO/IEC 17799 es un “conjunto completo de controles
que comprende las mejores prácticas en seguridad
informática”, siendo un estándar genérico ampliamente
reconocido internacionalmente
• El ISO / IEC 17799 tiene como objetivos “dar
recomendaciones para la administración de la seguridad
informática para que sean usadas por aquellos que son
responsables de iniciar, implementar, o mantener la
seguridad en su organización”.
• Aunque está diseñado para ayudar a optimizar la
seguridad informática, también es ideal para ayudar al
diagnóstico del sistema de seguridad desde una
perspectiva netamente operativa, aplicando la
metodología de evaluación anteriormente propuesta.
ISO 17799 / 27002
• Inicialmente, este estándar se originó como el estándar
británico (British Standard) BS7799 en febrero de 1995,
y tras una revisión exhaustiva en 1999, fue adoptado por
la ISO en el 2000, siendo publicada una segunda parte
en el 2002.
• ISO 27002: Es una guía de buenas prácticas que
describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
No es certificable. Es la sustituta de la ISO17799:2005,
que es la que actualmente está en vigor, y que contiene
39 objetivos de control y 133 controles, agrupados en 11
cláusulas. La norma ISO27001 contiene un anexo que
resume los controles de ISO17799:2005.
Estándares y Mejores Prácticas
Operaciones de
Tecnología :
ITIL (ISO/IEC20000)
COBIT
¿Comentarios?