341ez - integrando itil, cobit e iso27002 como...

44
TITULO • Temas XXVI Salón de INFORMÁTICA La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA [email protected]

Upload: phamdang

Post on 20-Sep-2018

219 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

TITULO

• Temas

XXVISalón de INFORMÁTICALa gobernabilidad de TI: Una responsabilidad y

reto para los directivos de TI

Integrando ITIL, COBIT e ISO 27002 como parte de un marco de

Gobierno y Control de TI

Roberto C. Arbeláez, M.Sc, CISSP, [email protected]

Page 2: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Temario

1. Reflexiones sobre el gobierno de TI

2. Introducción a los estándares y mejores prácticas• ITIL• COBIT • ISO 17799 / 27002

3. Como articular los estándares para definir un marco de trabajo de gobierno y control

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 3: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Reflexiones sobre el Gobierno de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 4: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Governance:¿Gobierno o Gobernabilidad?

• Governance: Se traduce como Forma de Gobierno o simplemente como Gobierno

• Governability: Se traduce como Gobernabilidad, y se refiere a la capacidad de gobernar

Governance ≠ Gobernabilidad

http://translation2.paralink.comhttp://babelfish.altavista.comhttp://www.online-translator.com

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 5: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Gobierno de TI

El gobierno de TI es el grupo de liderazgo, lasestructuras y los procesos organizacionalesque aseguran que las TIs de la organización soportan y extienden las estrategias y los objetivos organizacionales

(Fuente: IT Governance Institute)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 6: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Los pilares del Gobierno de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TIP

rocesos y P

rocedimientos

Estructuras

Organizacionales

Equipo de

Liderazgo

Gobierno de TI

Page 7: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

El Gobierno de TI como parte de un marco de Gobierno Corporativo

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Gobierno Corporativo

Gobierno de TI

Gobierno de Seguridad de TI

Page 8: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Alineación de las TIs y los objetivos del negocio

• El Gobierno de TI permite asegurar que las TIsestén alineadas con los objetivos y las metas organizacionales

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 9: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Actores primarios y secundariosen el Gobierno de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Proveedores

Gerentes de

Tecnología

Accionistas

Clientes IT Vendors

Gerentes del

Negocio

Ejecutivos y Alta Gerencia Corporativa

Page 10: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Gobierno de TI vs. Gestión de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Entorno

Organizacional

Tiempo

Externo

FuturoPresente

Interno

Gestión de TI

Gobierno de TI

Page 11: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

El Gobierno de TI depende de unas buenas prácticas de

Gestión de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Buenas Prácticas de Gestión de TI

Gobierno de TI adecuado

PREREQUISITO

Page 12: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

La Gestión de TI

• Busca prestar servicios de tecnología seguros, confiables, predecibles, sostenibles y costo-efectivos, con un nivel de servicio adecuado a las necesidades del negocio y un nivel de riesgo razonable para el negocio

• Se basa en construir y mantener tres pilares:– Optimización de Infraestructura– Operaciones de TI adecuadas– Seguridad de TI adecuada

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 13: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Seguridad

Operaciones

Optim

ización de Infraestructura

IT Service Delivery

Requerimientos del Negocio

Page 14: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Los pilares de una gestión exitosa de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Seguridad

Operaciones

Optim

ización de Infraestructura

Page 15: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Optimización de Infraestructura

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Optim

ización de Infraestructura

• Adquirir la infraestructura óptima para las necesidades de la organización

• Utilizar de manera óptima los recursos computacionales de la organización de manera que le agreguen valor a las operaciones del negocio– Incrementar la integración, el intercambio de

información y la utilización compartida de recursos

– Mejorar la eficiencia, eliminar la redundancia y aumentar la automatización

Page 16: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Operaciones de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Operaciones

• Administrar, Gestionar y Operar adecuadamente un sistema de información y todos sus componentes:– Infraestructura computacional y de

comunicaciones– Procesos y procedimientos– Personas

• Mantener niveles de servicio adecuados a las necesidades del negocio

Page 17: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Seguridad Informática

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Seguridad

• Asegurar y mantener seguros todos los componentes del sistema de información

• Mantener la confidencialidad, integridad y disponibilidad de la información

• Garantizar la continuidad del servicio• Diseñar elementos de control que

garanticen el acceso controlado a los recursos del sistema

Page 18: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Relaciones• TIs: La herramienta

• Operaciones de TI: Especifica la forma adecuada (óptima) de utilizar la herramienta

• Seguridad de TI: Especifica la forma segura de utilizar la herramienta

• Gobierno de TI: Es la forma de garantizar que la herramienta se utilice para lograr los objetivos de la organización

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 19: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Introducción a los Estándares y Mejores Prácticas

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 20: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Los Estándares y Mejores Prácticas

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Estándares

Y Mejores Prácticas

Page 21: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

COBIT• Control Objectives for Information and related Technology (Objetivos de

Control para la información y tecnologías relacionadas)• Fué publicado inicialmente en 1996 por la ISACF (Information Systems

Audit and Control Foundation), Hoy en dia ISACA (Information Systems Audit and Control Association)

• Hoy es mantenida por el IT Governance Institute• Su versión actual es la 4.0• Está compuesto por 34 Objetivos de control de alto nivel, y 318 objetivos de

control detallados, diseñados para ayudar a las organizaciones a mantener un control efectivo sobre sus TICs

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 22: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

COBIT• Es un estándar muy bien construído, ampliamente reconocido y

aceptado.• Toda la documentación de COBIT se encuentra en línea incluyendo

su resumen ejecutivo, el marco de trabajo (framework), los objetivos de control, las guías de auditoría, gestión e implementación.

• La versión "QuickStart" de COBIT para organizaciones pequeñas y medianas contiene un subconjunto de COBIT enfocado a los elementos más críticos para organizaciones que no tienen los recursos para buscar una implantación completa del estándar.

• COBIT tiene 4 dominios:– PO: Planning & Organizing– AI: Acquisition & Implementation– DS: Delivery & Support– M: Monitoring

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 23: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

COBIT• Critical Success Factors – Provee a la gerencia

con guías para implementar controles sobre TI y procesos de TI de manera exitosa

• Key Goal Indicators – Representan los objetivosde los procesos. Son la medida de lo que se debe lograr, la meta a lograr.

• Key Performance Indicators – Son medidas quele indican a la gerencia si un proceso de TI estalogrando sus objetivos, a través del monitoreodel desempeño del proceso. Esta relacionadocon el cómo se realiza el proceso.

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 24: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ITIL / ISO 20000• Information Technology Infrastructure library• Compendio de publicaciones de mejores prácticas de TI• Su foco central es la entrega (delivery) y el soporte (support) de

servicios de TI alineados con las necesidades de la organización• Los procesos de gestión de servicio de ITIL buscan soportar (no

dictar) los procesos de negocios de una organización. • Los procesos genéricos descritos en ITIL promueven mejores

prácticas• Los procesos más conocidos de la gestión de servicio de ITIL se

describen en dos publicaciones: Service Support (Soporte de servicio) y Service Delivery (entrega de servicio).

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 25: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ITIL / ISO 20000

• Los procesos de soporte de servicio son:– Administración de Incidentes– Admiistración de Pfroblemas– Administraciónde Configuraciones– Administración del Cambio– Administración de Liberaciones– Mesa de Ayuda (Service desk)

• Los procesos de entrega de servicio son:– Administración de Capacidad– Administración de Disponibilidad– Administración Financiera de Servicios de TI– Administración de Nivel de Servicio– Administración de la continuidad de servicio de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 26: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ITIL / ISO 20000

• Dos conceptos principales caracterizan la línea de pensamiento de ITIL– Administración de Servicios (y gerentes de

servicios) Holisticos:– Orientación al cliente – Los servicios de TI se

deben proveer en un nivel de calidad que el negocio pueda depender continuamente de ellos

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 27: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ITIL / ISO 20000

• Otras publicaciones que conforman ITIL trascienden la entrega y el soporte de servicio, y buscan cubrir las actividades principalesnecesarias para definir y desarrollar procesos efectivos de TI incluyendo:– El desarrollo de sistemas nuevos– El diseño y la planeación de infraestructura de TICs (tecnologías de

información y comunicaciones– La operación y el mantenimiento de sistemas existentes– El ajuste de la entrega de servicio a la evolución de los requerimientos

del negocio• Otros libros que conforman ITIL

– Planning to Implement Service Management– ICT Infrastructure Management– Applications Management– ITIL Security Management

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 28: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ISO 17799 / 27002

• El ISO/IEC 17799 es un “conjunto completo de controles que comprende las mejores prácticas en seguridad informática”, siendo un estándar genérico ampliamente reconocido internacionalmente

• El ISO / IEC 17799 tiene como objetivos “dar recomendaciones para la administración de la seguridad informática para que sean usadas por aquellos que son responsables de iniciar, implementar, o mantener la seguridad en su organización”.

• Aunque está diseñado para ayudar a optimizar la seguridad informática, también es ideal para ayudar al diagnóstico del sistema de seguridad desde una perspectiva netamente operativa, aplicando la metodología de evaluación anteriormente propuesta.

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 29: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

ISO 17799 / 27002

• Inicialmente, este estándar se originó como el estándar británico (British Standard) BS7799 en febrero de 1995, y tras una revisión exhaustiva en 1999, fue adoptado por la ISO en el 2000, siendo publicada una segunda parte en el 2002.

• ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Es la sustituta de la ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 cláusulas. La norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 30: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Estándares y Mejores Prácticas

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Operaciones de Tecnología :

ITIL (ISO/IEC20000)

Gobierno, Control y Auditabilidad :

COBIT

Seguridad, Continuidad del Negocio ,

Administración de Riesgos: ISO/IEC17799 (ISO/IEC27002)

Page 31: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Como articular los estándares para definir un marco de

trabajo de gobierno y control

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 32: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

¿Qué es un marco de trabajo de Gobierno de TI?

• Es un sistema de control• Es una estrategia completa explícitamente ligada con las

TIs y los objetivos organizacionales. • Permite que las organizaciones puedan asegurarse de

que sus TIs están alineadas con los objetivosorganizacionales

• Esto permite maximizar los beneficios recibidos por lasTIs, garantizar que estas sean usadas eficientemente y que los riesgos sean manejados de manera adecuada

• Además, un marco de trabajo de Goberno de TI debepermitir medir el desempeño!

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 33: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

¿Cómo soportan los estándares/mejores prácticas el Gobierno de TI?

• Proveen un marco de políticas de gestión y control

• Permiten que las personas se puedan adueñar de los procesos, estableciendo responsabilidad (accountability) sobre las actividades de TI

• Alinean los objetivos de TI con los objetivos del negocio, definiendo prioridades y asignando recursos

• Aseguran el retorno a la inversión y la optimización de costos

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 34: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

¿Cómo soportan los estándares/mejores prácticas el Gobierno de TI? (2)

• Permiten asegurarse de que los riesgos significativos han sido identificados y son visibles para la gerencia, que la responsabilidad de la administración de riesgos ha sido asignada y embebida en la organización y que se han implementado controles adecuados para manejarlos

• Aseguran que los recursos han sido eficientemente organizados y que existe una capacidad suficiente (técnica, de procesos, de habilidades y de competencias) para asegurar la ejecución de la estrategia de TI.

• Permiten asegurar que las actividades críticas de TI sean monitoreadas y medidas, de manera que se puedan identificar los problemas y se puedan emprender acciones correctivas

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 35: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Funciones Primarias del Gobierno de TI (y los

estándares que las soportan)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

•Planeación y Alineamiento Estratégico (ITIL, COBIT)

•Operaciones de TI (ITIL, ISO/IEC 27002)

•Manejo Financiero (ITIL)

•Marcos de Control (COBIT, ISO/IEC 27002)

Page 36: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de

TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

ITIL

ISO/IEC 27002

COBIT

Qué se debe hacer

Cómo se debe hacer

Page 37: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Roles de ITIL, COBIT e ISO/IEC27002 en un marco de trabajo de Gobierno de TI (2)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

• COBIT es usado como el estándar principal, proveyendo un marco de control y gobiernobasado en modelos de procesos de TI genéricos aplicables a cualquier organización.

• Los Estándares y mejores prácticas como ITIL e ISO 17799/27002 cubren áreas específicas, y pueden ser mapeados al marco de trabajode COBIT.

Page 38: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Proceso de Articulación de un marco de Gobierno de TI

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

1. Definir un marco organizacional (como parte de una iniciativa degobierno de TI) con responsabilidades y objetivos claros, y la participación de todos los actores interesados, que lidere la implementación y se adueñe (y se haga responsable) de ella.

2. Alinear la estrategia de TI con los objetivos del negocio. • ¿En cuáles objetivos de negocios contribuyen las TIs de manera

significativa? • Se debe lograr un entendimiento adecuado del entorno de negocios, los

riesgos (y la tolerancia corporativa frente al riesgo), y la estrategia de negocios (y cómo se relaciona con las TIs).

• Las guías de gestión de COBIT (específicamente los KGIs) y los criterios de información del marco de COBIT ayudan a definir los objetivos de TI, en conjunto con ITIL, de esta manera definiendo niveles de servicio y estructurando Acuerdos de Nivel de Servicio (Service LevelAgreements - SLAs), ajustandose a las necesidades del cliente.

Page 39: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Proceso de Articulación de un marco de Gobierno de TI (2)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

3. Entender y definir los riesgos. Dados los objetivos de negocio, ¿cuales son los riesgos que afectan la capacidad de las TIs de proveer un servicio adecuado? El proceso de COBIT para la administración del riesgo (PO9) y la aplicación del marco de control y de los criterios de información ayudan a asegurar que los riesgos sean identificados y que se les asigne un dueño. ITIL ayuda a definir los riesgos operacionales e ISO 17799 define los riesgos de seguridad.

4. Delimitar las áreas a optimizar, y en ellas, identificar los procesos de TI que son críticos para administrar adecuadamente los diferentes riesgos. El marco de Procesos de COBIT puede ser usado como la base, apoyado en la definición de procesos de entrega de servicios críticos (key service delivery processes) de ITIL y los objetivos de seguridad de ISO 17799.

Page 40: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Proceso de Articulación de un marco de Gobierno de TI (3)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

5. Analizar la capacidad actual de prestación de servicios de TI respecto a las necesidades del negocio, e identificar las brechas. Llevar a cabo un análisis de capacidad de madurez (maturity capability assessment) para identificar en dónde se necesitan más urgentemente mejoras (puede usarse el modelo de madurez de COBIT, o el de ITIL!). Las guías de gestión de COBIT proveen una base, soportada en más detalle por ITIL e ISO 17799.

6. Desarrollar una estrategia de mejora continua, y articularla a través de un portafolio de proyectos. Se debe decidir cuáles proyectos deben tener una prioridad mayor, priorizando aquellos que ayuden a mejorar la gestión y el gobierno de áreas que provean servicios de TI significativos para el negocio. La decisión debe tomarse basado en el beneficio potencial, la facilidad de implementación de las mejoras, y con un claro foco en procesos importantes de TI. Se deberá establecer un proceso de mejora continua (Continuous Improvement Process) que garantice que la optimización será permanente a lo largo del tiempo.Los CSFs de COBIT, los objetivos de control y las prácticas de control son soportadas con mayor nivel de detalle por ITIL e ISO17799.

Page 41: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Proceso de Articulación de un marco de Gobierno de TI (4)

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

7. Medir los resultados a través de la definición de metas-objetivos, métricas, y la creación de indicadores e índices de gestión, y la articulación de un tablero de control, que permita medir el desempeño actual y monitorear los resultados de nuevas mejoras. Las guías de gestión de COBIT (específicamente los KPIs, alineados a KGIspreviamente definidos) pueden formar la base del scorecard.

Page 42: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Modelos de Madurez

• COBIT’s GMM (Governance Maturity Model)

• ITIL’s PMF (Process Maturity Model)

Si se planea utilizar COBIT como la estructura de control que define los Critical Success Factors (CSF) y los Key Performance Indicators (KPI) de la implementación de ITIL, es mejor utilizar GMM. Si no se va a utilizar COBIT para esto, PMF es una alternativa adecuada.

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 43: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

Bibliografía

• Aligning COBIT, ITIL and ISO 17799 forBusiness Benefithttp://www.itgovernance.co.uk/files/ITIL-COBiT-ISO17799JointFramework.pdf

• ITIL: What is it? How does ITIL link to COBIT and ISO 17799? http://www.isaca-ottawa.ca/itil_16may2006.pdf

• COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance http://www.forrester.com/Research/Document/Excerpt/0,7211,38442,00.html

XXVISalón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI

Page 44: 341ez - Integrando ITIL, COBIT e ISO27002 como …52.0.140.184/typo43/fileadmin/Base_de_Conocimiento/XXVI_Salon... · ISO 17799 / 27002 • El ISO/IEC 17799 es un “conjunto completo

¿Preguntas?

¿Comentarios?

Roberto. [email protected]ón de INFORMÁTICA

La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI