Universidad Técnica de AmbatoFacultad de Ciencias Humanas y de la Educación

Carrera de Docencia en Informática

AUDITORIA EN INFORMÀTICA

COBIT

COBIT

Siglas

Objetivos de Control para Tecnología de

Información y Tecnologías

relacionadas

Año

Fue publicada en 1996

Empresa creadora

Fue creada porISACA (Asociación

de Auditoría y Control de Sistemas

de Información)

Misión

Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de

control para tecnología de información.

Objetivo

Ayudar al entendimiento y a la administración de riesgos asociados con las tecnologías de la

información y con las tecnologías relacionadas.

Definición de COBIT

Una herramienta que permite evaluar la calidad del soporte de TI

Niveles del COBIT

Dominios•Agrupación natural de procesos,

normalmente corresponden a undominio o una responsabilidadorganizacional.

Procesos •Conjuntos o series de

actividades unidascon delimitación ocortes de control.

Actividades•Acciones requeridas

para lograr unresultado medible.

Estructura del cubo del método COBIT

Estudio de caso

Información de la Compañía

Ecopetrol es la compañía más grande de Colombia y es una empresa

integrada en la cadena del petróleo.

Ubicada entre las 40 petroleras más grandes del mundo y entre las

cuatro principales en Latinoamérica.

Además de Colombia, presencia en actividades de exploración y

producción en Brasil, Perú y Estados Unidos.

Ecopetrol cuenta con la mayor refinería de Colombia, la mayor parte de

la red de oleoductos y poliductos del país.

Está incrementando significativamente su participación en

biocombustibles.

ITIL

Siglas

Las siglas de ITIL significan (Information Technology Infrastructure Library) o Librería deInfraestructura de Tecnologías de Información.

AñoITIL son las siglas de una metodología desarrollada a finales de los años

Desarrollo

ITIL son las siglas de una metodología desarrollada a finales de los años 80’s por iniciativadel gobierno del Reino Unido, específicamente por la OGC u Oficina Gubernativa deComercio Británica (Office of Goverment Comerce)

Orientación método (clave)

ITIL es un conjunto de las mejores prácticas para la gestión deservicios de Tecnologías de la Información que haevolucionado desde 1987, comenzó como un conjunto deprocesos que utilizaba el Gobierno Británico para mejorar lagestión de los servicios de TI. (Ramírez, 2006).

ITIL incluye cinco disciplinas que proporcionan a las empresas flexibilidad y estabilidad para

ofrecer servicios de TI, estas son:

1. Gestión de incidencias

2. Gestión de problemas

3. Gestión de cambios

4. Gestión de versiones

5. Gestión de configuración.

La versión 2.0 de ITIL mostrada en la Figura 2.7, tiene como una de sus metas principales

alinear los objetivos de los servicios de la infraestructura de TI a los objetivos del negocio. Los

servicios de TI no serían posibles sin su correspondiente soporte, ITIL trata de hacer una revisión

y corrección de los procesos, de realizar una documentación apropiada para que de esta

manera la información permita brindar un adecuado soporte a estos servicios.

Gestión de Incidentes

Propone recuperar la operación de los

servicios en el menor tiempo posible de

manera que no se propicie una baja enlos niveles de calidad y disponibilidad,

minimizando así el impacto

desfavorable a las operaciones de la

institución. Los incidentes tanto de

hardware como software son atendidospor el proceso de gestión de incidentes

que requiere la detección del

incidente, su registro, clasificación,

soporte, investigación, diagnóstico,

resolución, recuperación y cierre,

finalmente es necesaria la asignación,

supervisión, seguimiento ycomunicación del proceso.

GESTIÓN DE PROBLEMAS

Intenta prevenir la abundancia de

problemas e incidentes producidos por

errores de la infraestructura de TI,

encontrando sus causas, dándoles

tratamiento e implementando sus

soluciones. A diferencia de la gestión de

incidentes que busca una solución temporal

e inmediata, la gestión de problemas

intenta hallar una solución permanente

cuyo objetivo principal es identificar la

causa raíz del incidente, darle solución y

prevenirlo. El control de problemas trata de

trasformar problemas en errores conocidos,

mientras que el control de errores trata de

resolver errores conocidos a partir del

control de cambios.

GESTIÓN DE CONFIGURACION

Pretende proveer la información y documentación que permita que se conozcan todos

los bienes de la infraestructura de TI, su software, configuraciones y servicios, de manera

que proporcione una base sólida para la gestión de incidentes, problemas, cambios y

versiones. Para facilitar el manejo de esta información debe existir una base de datos de

configuración, Configuration Management Database (CMDB). La CMDB está íntimamente

relacionada con otros procesos.

GESTIÓN DE CAMBIOS

Aspira brindar garantía en los métodos y procedimientos que se utilizan a la hora

de realizar cambios, permite minimizar el impacto que producen los incidentes y

problemas en la infraestructura, relacionados con cambios en las operaciones

de la institución, en su búsqueda de beneficios, reducción de costos o mejora

del servicio. Para tener una buena gestión de cambios es necesario tomar en

cuenta la evaluación del riesgo, la continuidad del negocio, los requerimientosde recursos y su aprobación.

GESTIÓN DE VERSIONES

Su función es proteger el ambiente de producción y

servicios, cuidando del software, hardware y los elementos

relacionados, asegurando que estén en uso solamente las

versiones correctas, probadas y autorizadas, garantizando

que los componentes utilizados en determinado lugar sean

los adecuados y estén disponibles en el momento oportuno.

La gestión de versiones incluye un escenario de

planificación, uno de preparación, uno de pruebas y uno de

construcción y distribución. Durante éste último escenario, los

registros de la gestión de configuraciones deben ser

actualizados para asegurar versiones confiables que puedan

ser revertidas en caso de problemas, es claro entonces que

intervienen directamente la base de datos de

configuraciones (CMDB), la Librería de Software definitivo,

Definitivo Software Library (DSL) y el depósito de hardware

definitivo, Definitive Hardware Store (DHS).

Casos de Estudio

Historia de ITIL en CISCO

2003.- ITIL comienza a ser tema de conversación en las reuniones con los

clientes

2004.- ITIL es adoptado como marco referencial para programas sobre mejora

de proceso.

2004.- Adoptado formalmente para el desarrollo de tecnología de la

información.

2014.- Se establece en operaciones de desarrollo global

2005.- Entrenamiento formal de planes y certificaciones

2006.- Establecimiento de un modelo Operativo de Tecnología de laInformación.

2007.- Se avanza a un proceso organizacional de planes establecidas para

áreas operativas criticas.

2008.- Estrategia de amplio espectro abarcando a toda la Organización

Que Hace ITIL por CISCO?

• Robustecer los Procesos

• Enfoque integrado

• Lineamientos que permiten la prestación eficiente de servicios de las

Tecnologías de la Información.

• Gestión de servicios sostenible.

• Experiencia de usuario mejorada.

• Costeo basado en el servicio

Que Hace ITIL por los empleados?

• Desarrollar conocimientos y habilidades

• fundamentos de ITIL

• ITIL practicante• ITIL experto en gestión de servicios

• Utilización de un lenguaje consistente

• Reduce frustraciones de comunicación

• Certificaciones y crecimiento profesional.

• Gestión de servicios y enfoque basado en procesos es proactivo.

BS 15000

Empresa que lo creo

Grupo de Gestión de Servicio de BSI (British Standards Institution)

Orientación / Método

BS 15000 contiene conceptos cuidadosamente concebidos que definen y

demarcan los elementos que una organización, debe tener en cuenta

para estructurar y soportar los Servicios de IT (Tecnología de la Información) a sus clientes, ya sean internos o externos.

BS 15000

Método (Proceso).

El estándar BS 15000 consiste de 2 partes:

Primera Parte

Es la especificación formal y define los requisitos de una organización para ofrecer servicios

gestionados de una calidad aceptable para sus clientes.

El ámbito de aplicación incluye: Requisitos para un sistema de gestión, planificación y

ejecución de la gestión de servicios, Planificación e implementación de servicios nuevos o

modificados, el proceso de prestación de servicios, los procesos de relación, los procesos de

resolución, los procesos de control y los procesos de lanzamiento.

En general BS 15000 define lo que requiere hacer y cumplir una organización para alcanzar su

certificación respecto al estándar. Cubre el cumplimiento de requisitos para:

El Sistema de Gestión (Management Systems),

El Planeamiento del servicio (Service Planning),

Las Relaciones entre procesos (Process Reationships),

La Estructuración del Servicio (Delivery Service),

El Control, y

La Liberación de Servicios (Release).

Segunda Parte

La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle

sobre cada requisito, ofreciendo dirección y guía al Proveedor del Servicio que desee

alcanzar el estándar.

Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminología.

Provee guía y dirección practica respecto a cómo debe ser considerado el proceso,

como debe ser documentado, que debería ser realizado, y que debería monitorearse

para lograr una efectividad real del proceso en la práctica.

Detalles

Es el primer estándar mundial para la gestión de servicios de TI. Se dirige tanto a

proveedores de la gestión de servicios, así como a empresas que subcontratan o

gestionan sus propios requisitos.

BS 15000 especifica un conjunto de procesos de gestión interrelacionados basados en

gran medida en el marco de trabajo ITIL y se pretende que formen una base de una

auditoría del servicio gestionado.

Su estructura y vocabulario está cuidadosamente manejado, logrando que las dos

partes de la norma manejen los mismos conceptos y sean totalmente complementarias

Casos de estudio

Equiver, empresa mexicana dedicada la comercialización de equipo médico y

agentes de diagnóstico, mantenimiento de dispositivos médicos y servicios

integrales, se sube al barco de la competencia internacional en el sector de

equipo y tecnología para el cuidado de la salud, gracias a la estandarización de

sus procesos, de la mano de BSI, como parte de sus estrategias de ampliar su

mercado más allá de las fronteras nacionales.

Muchas de las empresas utilizan BS 15000 no sólo para su propio beneficio sino

también para ayudar a calificar y elegir a los proveedores y las

organizaciones asociadas. BS 15000 no es una panacea para todos los

problemas de calidad, pero puede traer una amplia gama de beneficios

comerciales, incluso cuando los procesos de gestión de servicios están muy por

debajo de la norma BS 15000 de requisitos.

Bibliografía

Cobit

https://oscarvasan21.wordpress.com/2010/06/02/norma-cobit-2/

http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologia-

informacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-y-

relacionadas.shtml#conclusioa

http://www.isaca.org/chapters7/Madrid/Events/Eventos/Documents/Jornadas%20T%

C3%A9cnicas%202014/A.%20Leon%20-%20Caso%20Ecopetrol.pdf

ITILhttp://myslide.es/documents/empresas-que-utilizan-itilpdf.html

http://www.ati.es/article.php3?id_article=294

http://ar.groups.yahoo.com/group/foro-itil/

BS 15000https://docs.google.com/document/d/1WY0_XHM8GY4DNytEuSwZ4uudwW5sS0Cxqpwc

d7DpIoE/edit?hl=en_US&pli=1

http://www.bsigroup.com/LocalFiles/es-MX/casoExitoV2.pdf

Integrantes:

Christian Cruz

Miguel Miranda

Noé Yuccha