341ez - integrando itil, cobit e iso27002 como...

of 44/44
TITULO • Temas XXVI Salón de INFORMÁTICA La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA [email protected]

Post on 20-Sep-2018

215 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

  • TITULO

    Temas

    XXVISaln de INFORMTICALa gobernabilidad de TI: Una responsabilidad y

    reto para los directivos de TI

    Integrando ITIL, COBIT e ISO 27002 como parte de un marco de

    Gobierno y Control de TI

    Roberto C. Arbelez, M.Sc, CISSP, [email protected]

  • Temario

    1. Reflexiones sobre el gobierno de TI

    2. Introduccin a los estndares y mejores prcticas ITIL COBIT ISO 17799 / 27002

    3. Como articular los estndares para definir un marco de trabajo de gobierno y control

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Reflexiones sobre el Gobierno de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Governance:Gobierno o Gobernabilidad?

    Governance: Se traduce como Forma de Gobierno o simplemente como Gobierno

    Governability: Se traduce como Gobernabilidad, y se refiere a la capacidad de gobernar

    Governance Gobernabilidad

    http://translation2.paralink.comhttp://babelfish.altavista.comhttp://www.online-translator.com

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Gobierno de TI

    El gobierno de TI es el grupo de liderazgo, lasestructuras y los procesos organizacionalesque aseguran que las TIs de la organizacin soportan y extienden las estrategias y los objetivos organizacionales

    (Fuente: IT Governance Institute)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Los pilares del Gobierno de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TIP

    roceso

    s y P

    roced

    imien

    tos

    Estru

    cturas

    Org

    anizacio

    nales

    Eq

    uip

    o d

    e L

    iderazg

    o

    Gobierno de TI

  • El Gobierno de TI como parte de un marco de Gobierno Corporativo

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Gobierno Corporativo

    Gobierno de TI

    Gobierno de Seguridad de TI

  • Alineacin de las TIs y los objetivos del negocio

    El Gobierno de TI permite asegurar que las TIsestn alineadas con los objetivos y las metas organizacionales

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Actores primarios y secundariosen el Gobierno de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Proveedores

    Gerentes de

    Tecnologa

    Accionistas

    Clientes IT Vendors

    Gerentes del

    Negocio

    Ejecutivos y Alta Gerencia Corporativa

  • Gobierno de TI vs. Gestin de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Entorno

    Organizacional

    Tiempo

    Externo

    FuturoPresente

    Interno

    Gestin de TI

    Gobierno de TI

  • El Gobierno de TI depende de unas buenas prcticas de

    Gestin de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Buenas Prcticas de Gestin de TI

    Gobierno de TI adecuado

    PREREQUISITO

  • La Gestin de TI

    Busca prestar servicios de tecnologa seguros, confiables, predecibles, sostenibles y costo-efectivos, con un nivel de servicio adecuado a las necesidades del negocio y un nivel de riesgo razonable para el negocio

    Se basa en construir y mantener tres pilares: Optimizacin de Infraestructura Operaciones de TI adecuadas Seguridad de TI adecuada

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Seg

    urid

    ad

    Op

    eracion

    es

    Op

    timizaci

    n

    de In

    fraestructu

    ra

    IT Service Delivery

    Requerimientos del Negocio

  • Los pilares de una gestin exitosa de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Seg

    urid

    ad

    Op

    eracion

    es

    Op

    timizaci

    n

    de In

    fraestructu

    ra

  • Optimizacin de Infraestructura

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Op

    timizaci

    n

    de In

    fraestructu

    ra

    Adquirir la infraestructura ptima para las necesidades de la organizacin

    Utilizar de manera ptima los recursos computacionales de la organizacin de manera que le agreguen valor a las operaciones del negocio Incrementar la integracin, el intercambio de

    informacin y la utilizacin compartida de recursos

    Mejorar la eficiencia, eliminar la redundancia y aumentar la automatizacin

  • Operaciones de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Op

    eracion

    es

    Administrar, Gestionar y Operar adecuadamente un sistema de informacin y todos sus componentes: Infraestructura computacional y de

    comunicaciones Procesos y procedimientos Personas

    Mantener niveles de servicio adecuados a las necesidades del negocio

  • Seguridad Informtica

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Seg

    urid

    ad

    Asegurar y mantener seguros todos los componentes del sistema de informacin

    Mantener la confidencialidad, integridad y disponibilidad de la informacin

    Garantizar la continuidad del servicio Disear elementos de control que

    garanticen el acceso controlado a los recursos del sistema

  • Relaciones TIs: La herramienta

    Operaciones de TI: Especifica la forma adecuada (ptima) de utilizar la herramienta

    Seguridad de TI: Especifica la forma segura de utilizar la herramienta

    Gobierno de TI: Es la forma de garantizar que la herramienta se utilice para lograr los objetivos de la organizacin

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Introduccin a los Estndares y Mejores Prcticas

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Los Estndares y Mejores Prcticas

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Estndares

    Y Mejores Prcticas

  • COBIT Control Objectives for Information and related Technology (Objetivos de

    Control para la informacin y tecnologas relacionadas) Fu publicado inicialmente en 1996 por la ISACF (Information Systems

    Audit and Control Foundation), Hoy en dia ISACA (Information Systems Audit and Control Association)

    Hoy es mantenida por el IT Governance Institute Su versin actual es la 4.0 Est compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de

    control detallados, diseados para ayudar a las organizaciones a mantener un control efectivo sobre sus TICs

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • COBIT Es un estndar muy bien construdo, ampliamente reconocido y

    aceptado. Toda la documentacin de COBIT se encuentra en lnea incluyendo

    su resumen ejecutivo, el marco de trabajo (framework), los objetivos de control, las guas de auditora, gestin e implementacin.

    La versin "QuickStart" de COBIT para organizaciones pequeas y medianas contiene un subconjunto de COBIT enfocado a los elementos ms crticos para organizaciones que no tienen los recursos para buscar una implantacin completa del estndar.

    COBIT tiene 4 dominios: PO: Planning & Organizing AI: Acquisition & Implementation DS: Delivery & Support M: Monitoring

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • COBIT Critical Success Factors Provee a la gerencia

    con guas para implementar controles sobre TI y procesos de TI de manera exitosa

    Key Goal Indicators Representan los objetivosde los procesos. Son la medida de lo que se debe lograr, la meta a lograr.

    Key Performance Indicators Son medidas quele indican a la gerencia si un proceso de TI estalogrando sus objetivos, a travs del monitoreodel desempeo del proceso. Esta relacionadocon el cmo se realiza el proceso.

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ITIL / ISO 20000 Information Technology Infrastructure library Compendio de publicaciones de mejores prcticas de TI Su foco central es la entrega (delivery) y el soporte (support) de

    servicios de TI alineados con las necesidades de la organizacin Los procesos de gestin de servicio de ITIL buscan soportar (no

    dictar) los procesos de negocios de una organizacin. Los procesos genricos descritos en ITIL promueven mejores

    prcticas Los procesos ms conocidos de la gestin de servicio de ITIL se

    describen en dos publicaciones: Service Support (Soporte de servicio) y Service Delivery (entrega de servicio).

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ITIL / ISO 20000

    Los procesos de soporte de servicio son: Administracin de Incidentes Admiistracin de Pfroblemas Administracinde Configuraciones Administracin del Cambio Administracin de Liberaciones Mesa de Ayuda (Service desk)

    Los procesos de entrega de servicio son: Administracin de Capacidad Administracin de Disponibilidad Administracin Financiera de Servicios de TI Administracin de Nivel de Servicio Administracin de la continuidad de servicio de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ITIL / ISO 20000

    Dos conceptos principales caracterizan la lnea de pensamiento de ITIL Administracin de Servicios (y gerentes de

    servicios) Holisticos: Orientacin al cliente Los servicios de TI se

    deben proveer en un nivel de calidad que el negocio pueda depender continuamente de ellos

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ITIL / ISO 20000

    Otras publicaciones que conforman ITIL trascienden la entrega y el soporte de servicio, y buscan cubrir las actividades principalesnecesarias para definir y desarrollar procesos efectivos de TI incluyendo: El desarrollo de sistemas nuevos El diseo y la planeacin de infraestructura de TICs (tecnologas de

    informacin y comunicaciones La operacin y el mantenimiento de sistemas existentes El ajuste de la entrega de servicio a la evolucin de los requerimientos

    del negocio Otros libros que conforman ITIL

    Planning to Implement Service Management ICT Infrastructure Management Applications Management ITIL Security Management

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ISO 17799 / 27002

    El ISO/IEC 17799 es un conjunto completo de controles que comprende las mejores prcticas en seguridad informtica, siendo un estndar genrico ampliamente reconocido internacionalmente

    El ISO / IEC 17799 tiene como objetivos dar recomendaciones para la administracin de la seguridad informtica para que sean usadas por aquellos que son responsables de iniciar, implementar, o mantener la seguridad en su organizacin.

    Aunque est diseado para ayudar a optimizar la seguridad informtica, tambin es ideal para ayudar al diagnstico del sistema de seguridad desde una perspectiva netamente operativa, aplicando la metodologa de evaluacin anteriormente propuesta.

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • ISO 17799 / 27002

    Inicialmente, este estndar se origin como el estndar britnico (British Standard) BS7799 en febrero de 1995, y tras una revisin exhaustiva en 1999, fue adoptado por la ISO en el 2000, siendo publicada una segunda parte en el 2002.

    ISO 27002: Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Es la sustituta de la ISO17799:2005, que es la que actualmente est en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 clusulas. La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Estndares y Mejores Prcticas

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Operaciones de Tecnologa :

    ITIL (ISO/IEC20000)

    Gobierno, Control y Auditabilidad :

    COBIT

    Seguridad, Continuidad del Negocio ,

    Administracin de Riesgos: ISO/IEC17799 (ISO/IEC27002)

  • Como articular los estndares para definir un marco de

    trabajo de gobierno y control

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Qu es un marco de trabajo de Gobierno de TI?

    Es un sistema de control Es una estrategia completa explcitamente ligada con las

    TIs y los objetivos organizacionales. Permite que las organizaciones puedan asegurarse de

    que sus TIs estn alineadas con los objetivosorganizacionales

    Esto permite maximizar los beneficios recibidos por lasTIs, garantizar que estas sean usadas eficientemente y que los riesgos sean manejados de manera adecuada

    Adems, un marco de trabajo de Goberno de TI debepermitir medir el desempeo!

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Cmo soportan los estndares/mejores prcticas el Gobierno de TI?

    Proveen un marco de polticas de gestin y control

    Permiten que las personas se puedan aduear de los procesos, estableciendo responsabilidad (accountability) sobre las actividades de TI

    Alinean los objetivos de TI con los objetivos del negocio, definiendo prioridades y asignando recursos

    Aseguran el retorno a la inversin y la optimizacin de costos

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Cmo soportan los estndares/mejores prcticas el Gobierno de TI? (2)

    Permiten asegurarse de que los riesgos significativos han sido identificados y son visibles para la gerencia, que la responsabilidad de la administracin de riesgos ha sido asignada y embebida en la organizacin y que se han implementado controles adecuados para manejarlos

    Aseguran que los recursos han sido eficientemente organizados y que existe una capacidad suficiente (tcnica, de procesos, de habilidades y de competencias) para asegurar la ejecucin de la estrategia de TI.

    Permiten asegurar que las actividades crticas de TI sean monitoreadas y medidas, de manera que se puedan identificar los problemas y se puedan emprender acciones correctivas

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Funciones Primarias del Gobierno de TI (y los

    estndares que las soportan)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    Planeacin y Alineamiento Estratgico (ITIL, COBIT)

    Operaciones de TI (ITIL, ISO/IEC 27002)

    Manejo Financiero (ITIL)

    Marcos de Control (COBIT, ISO/IEC 27002)

  • Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de

    TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    ITIL

    ISO/IEC 27002

    COBIT

    Qu se debe hacer

    Cmo se debe hacer

  • Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI (2)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    COBIT es usado como el estndar principal, proveyendo un marco de control y gobiernobasado en modelos de procesos de TI genricos aplicables a cualquier organizacin.

    Los Estndares y mejores prcticas como ITIL e ISO 17799/27002 cubren reas especficas, y pueden ser mapeados al marco de trabajode COBIT.

  • Proceso de Articulacin de un marco de Gobierno de TI

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    1. Definir un marco organizacional (como parte de una iniciativa degobierno de TI) con responsabilidades y objetivos claros, y la participacin de todos los actores interesados, que lidere la implementacin y se aduee (y se haga responsable) de ella.

    2. Alinear la estrategia de TI con los objetivos del negocio. En cules objetivos de negocios contribuyen las TIs de manera

    significativa? Se debe lograr un entendimiento adecuado del entorno de negocios, los

    riesgos (y la tolerancia corporativa frente al riesgo), y la estrategia de negocios (y cmo se relaciona con las TIs).

    Las guas de gestin de COBIT (especficamente los KGIs) y los criterios de informacin del marco de COBIT ayudan a definir los objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles de servicio y estructurando Acuerdos de Nivel de Servicio (Service LevelAgreements - SLAs), ajustandose a las necesidades del cliente.

  • Proceso de Articulacin de un marco de Gobierno de TI (2)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    3. Entender y definir los riesgos. Dados los objetivos de negocio, cuales son los riesgos que afectan la capacidad de las TIs de proveer un servicio adecuado? El proceso de COBIT para la administracin del riesgo (PO9) y la aplicacin del marco de control y de los criterios de informacin ayudan a asegurar que los riesgos sean identificados y que se les asigne un dueo. ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los riesgos de seguridad.

    4. Delimitar las reas a optimizar, y en ellas, identificar los procesos de TI que son crticos para administrar adecuadamente los diferentes riesgos. El marco de Procesos de COBIT puede ser usado como la base, apoyado en la definicin de procesos de entrega de servicios crticos (key service delivery processes) de ITIL y los objetivos de seguridad de ISO 17799.

  • Proceso de Articulacin de un marco de Gobierno de TI (3)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    5. Analizar la capacidad actual de prestacin de servicios de TI respecto a las necesidades del negocio, e identificar las brechas. Llevar a cabo un anlisis de capacidad de madurez (maturity capability assessment) para identificar en dnde se necesitan ms urgentemente mejoras (puede usarse el modelo de madurez de COBIT, o el de ITIL!). Las guas de gestin de COBIT proveen una base, soportada en ms detalle por ITIL e ISO 17799.

    6. Desarrollar una estrategia de mejora continua, y articularla a travs de un portafolio de proyectos. Se debe decidir cules proyectos deben tener una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestin y el gobierno de reas que provean servicios de TI significativos para el negocio. La decisin debe tomarse basado en el beneficio potencial, la facilidad de implementacin de las mejoras, y con un claro foco en procesos importantes de TI. Se deber establecer un proceso de mejora continua (Continuous Improvement Process) que garantice que la optimizacin ser permanente a lo largo del tiempo.Los CSFs de COBIT, los objetivos de control y las prcticas de control son soportadas con mayor nivel de detalle por ITIL e ISO17799.

  • Proceso de Articulacin de un marco de Gobierno de TI (4)

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

    7. Medir los resultados a travs de la definicin de metas-objetivos, mtricas, y la creacin de indicadores e ndices de gestin, y la articulacin de un tablero de control, que permita medir el desempeo actual y monitorear los resultados de nuevas mejoras. Las guas de gestin de COBIT (especficamente los KPIs, alineados a KGIspreviamente definidos) pueden formar la base del scorecard.

  • Modelos de Madurez

    COBITs GMM (Governance Maturity Model)

    ITILs PMF (Process Maturity Model)

    Si se planea utilizar COBIT como la estructura de control que define los Critical Success Factors (CSF) y los Key Performance Indicators (KPI) de la implementacin de ITIL, es mejor utilizar GMM. Si no se va a utilizar COBIT para esto, PMF es una alternativa adecuada.

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Bibliografa

    Aligning COBIT, ITIL and ISO 17799 forBusiness Benefithttp://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf

    ITIL: What is it? How does ITIL link to COBIT and ISO 17799? http://www.isaca-ottawa.ca/itil_16may2006.pdf

    COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance http://www.forrester.com/Research/Document/Excerpt/0,7211,38442,00.html

    XXVISaln de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

  • Preguntas?

    Comentarios?

    Roberto. [email protected] de INFORMTICA

    La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI