© 2007 copyright - tomás arroyo tomás arroyo salido - cisa correo -...

© 2007 Copyright - Tomás Arroyo

Tomás Arroyo Salido - CISACorreo - [email protected]

[email protected]

Alineamientos marcos de control y gestion


ITIL estandariza procesos con un claro enfoque a la Gestión del Servicio – Entregables.

ISO 17799 – Normativa – estándar de SEGURIDAD DE LA INFORMACIÓN

COBIT Proporciona un Enlace Claro entre los Requerimientos del Gobierno de TI, los Procesos de TI y los Controles de TI

Quien es quien?


ITIL 10 procesos,

Procesos de soporte

1. Gestión de la Configuración (Configuration Management). 2. Gestión de Incidencias (Incident Management).Service Desk3. Gestión de Problemas (Problem Management).4. Gestión de Cambios (Change Management).5. Gestión de la Distribución (Release Management).

Procesos de entrega de servicios

6. Gestión de la Capacidad (Capacity Management).7. Gestión de la Disponibilidad (Availability Management).8. Gestión de la Continuidad (Continuity Management).9. Gestión Financiera (Financial Management).

10. Gestión del Nivel de Servicio (Service Level Management).

ITIL estandariza procesos con un claro enfoque a la Gestión del Servicio – Entregables.


1. Política de Seguridad

2. Organización de Seguridad

3. Clasificación y Control de Activos

4. Aspectos humanos de la seguridad

5. Seguridad Física y Ambiental

6. Gestión de Comunicaciones y Operaciones

7. Sistema de Control de Accesos

8. Desarrollo y Mantenimiento de Sistemas

9. Plan de Continuidad del Negocio

10.Cumplimiento

ISO 17799 – Normativa - estandard SEGURIDAD DE LA INFORMACIÓN


OBJETIVOS DEL NEGOCIOOBJETIVOS DE GOBIERNO

Eficiencia

AplicacionesInformación

InfraestructuraPersonas

ENTREGA Y

SOPORTE

MONITOREARY

EVALUAR

ADQUISICIÓNE

IMPLEMENTACIÓN

INFORMACION

RECURSOSDETI

MARCO DE REFERENCIA C O B I T

Efectividad

Confidencialidad

Integridad

DisponibilidadCumplimiento

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de

apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente

físico. DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeño de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos de TI, la organización y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la dirección y objetivos de la gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.PO9 Evaluar y administrar

riesgos de TI.PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar

soluciones y cambios.

PLANEACIÓNY

ORGANIZACIÓN

COBIT Proporciona un Enlace Claro entre los Requerimientos del Gobierno de TI, los Procesos de TI y los Controles de TI

Confiabilidad


¿Qué entendemos por Control?

Definición de control

Conjunto de estructuras, políticas y procedimientos que permiten:

• Verificar el cumplimiento de los objetivos y estrategias de gestión fijados por la Dirección

• Conocer y gestionar los riesgos a los que está expuesta la entidad

Definición


Entorno y Objetivos de Control

ControlSe define como las políticas, procedimientos, prácticas e infraestructuras organizativas, diseñadas para garantizar razonablemente, que los objetivos de negocio se llevarán a cabo, y que las incidencias no deseadas se pueden prevenir o detectar y corregir. (COSO 1992)

Objetivo de control de TISe define como el propósito o resultado que se desea alcanzar, mediante la implantación de procedimientos de control para una actividad de TI específica.


COBIT, ITIL e ISO 17799 son normativas valiosas para el crecimiento y éxito de una organización por las siguientes razones:

Definición


-- Los directivos empresariales y los consejos de administración exigen mejores beneficios de las inversiones en TI. -- Las mejores prácticas ayudan a cumplir los requisitos reglamentarios de los controles de las TI en áreas como la confidencialidad y la preparación de informes financieros. -- Las organizaciones se enfrentan a riesgos relacionados con las TI, tales como la seguridad de la red. -- Las organizaciones pueden optimizar los costes siguiendo enfoques normalizados.

Definición


Como las normas trabajan conjuntamente

-- Las mejores prácticas ayudan a las organizaciones a evaluar su rendimiento en comparación con normas aceptadas generalmente y por sus compañeros.

-- Utilizando COBIT como un marco de control general para la gestión de las TI, e ITIL e ISO 17799 proporcionan procesos normalizados pormenorizados. Los 34 procesos de TI de COBIT y los objetivos de control de alto nivel se mapean en secciones de ITIL y de ISO 17799.

Definición


Control interno, es una expresión que utilizamos con el fin de describir las acciones adoptadas por los directores de entidades, gerentes o administradores, para evaluar y monitorear las operaciones en sus entidades. Por ello, a fin de lograr una adecuada comprensión de su naturaleza y alcance.

Definición de control interno

Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a sí están lográndose los objetivos siguientes:

•Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios

•Proteger y conservar los recursos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal;

•·Cumplir las leyes, reglamentos y otras normas gubernamentales, •· Elaborar información financiera válida y confiable, presentada con oportunidad; •· Promoción de la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios.

Este objetivo se refiere a los controles internos que adopta la administración para asegurar que se ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia y economía. Tales controles comprenden los procesos de planificación, organización, dirección y control de las operaciones en los programas, así como sistemas para medir el rendimiento y monitorizar las actividades ejecutadas.

La efectividad tiene relación directa con el logro de los objetivos y metas programados, en tanto que la eficiencia se refiere a la relación existente entre los bienes y servicios producidos y recursos utilizados para producirlos y su comparación con un estándar de desempeño establecido. La economía, se relaciona con la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y oportuna entrega, al mínimo costo posible.

Informe COSO, notas


COBIT:

Parte de los requerimientos del negocio

Es orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente aceptado

Identifica los principales recursos de TI que deben ser potencializados

Define los objetivos de control administrativos a ser considerados

Incorpora los principales estándares internacionales

Se ha convertido en el estándar de facto para el control general de TI

COBIT ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de control y los asuntos técnicos. Provee buenas prácticas a través de un marco de referencia de dominios y procesos y presenta actividades en una estructura administrable y lógica.

Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados.

COBIT proporciona un marco de referencia que logra este objetivo.

COBIT proporciona un marco de referencia para el Gobierno de TI


Posibilita mapear las metas de TI a las metas del negocio y viceversa

Mejor alineación, basada en un enfoque del negocio

Una visión, comprensible para la administración, de lo que es TI

Claridad en la propiedad y responsabilidades, basada en una orientación a procesos

Aceptabilidad general con terceras partes y reguladores

Entendimiento compartido entre todos los involucrados, basado en un lenguaje común

Cumplimiento de los requerimientos de COSO para el ambiente de control de TI

Cómo ayuda COBIT a implementar un Gobierno de TI Efectivo?


Las organizaciones deberán considerar y usar una variedad de modelos, estándares y mejores practicas de TI – por lo tanto asegúrese de que entiende esto con el fin de considerar como pueden usarse juntos, con COBIT actuando como consolidador (“Sombrilla”) e.g.

COBITIS

O 9

000

ISO 17799

ITIL

COSO

QUE COMO

COBIT y otros Marcos de Referencia de Administración de TI

CAMPO DE COBERTURA


DESEMPEÑO: Metas del negocio

CONFORMIDADBasilea II, Sarbanes-

Oxley Act, etc

“Gobierno Corporativo”

“Gobierno de TI”

ISO 9001:2000

ISO 17799

ISO 20000Estándares de mejores prácticas

Procedimientos de QA

Procesos y Procedimientos

Directrices

COBIT

COSO

Principios de

SeguridadITIL

Balanced Scorecard

Dónde encajar


COBIT se usa mejor como un marco de referencia amplio de TI y como un conjunto de mejores prácticas y recursos de alto nivel

Otros estándares y mejores prácticas complementan COBIT y pueden trabajar con COBIT

Es mejor tener una directriz rectora del negocio y la administración para un efectivo Gobierno de TI y una administración de TI que sólo tener COBIT por si mismo.

COBIT es un “toolkit” facilitador

Adoptando el marco de referencia de COBIT



ITIL® es un conjunto de buenas prácticas más aceptado y utilizado en el mundo, extraido de organismos del sector público y privado que están a la vanguardia tecnológica a nivel internacional. ITIL® es aplicable a todo tipo de organización en todo el mundo debido a que han experimentado una creciente dependencia en los servicios informaticos de calidad.Fue desarrollado por la actual Office of Government Comerce (OGC) del gobierno británico durante los años ochenta, ITIL® propone una terminología éstandar independiente de la industria y la tecnología, que nos define "que hacer" y "que no hacer" al interior de una organización que aplica la administración de servicios de la TI.

Definición



ITIL es para certificar personas, no organizaciones. ITIL certifica a directores y profesionales. No se puede hablar de un producto con certificación ITIL ni de conformidad con ITIL. Sin embargo, lo que se dice es que si una organización quiere alcanzar un estándar, es más fácil hacerlo con ITIL. ITIL tiene que ver con la implementación de un cambio cultural. Se implementa una nueva manera de hacer negocios. No es un producto ni paquete sw.ITIL y Cobit en conjunto, es un gran paso hacia la conformidad con Sarbanes-Oxley y Basilea II. Pero, nuevamente, ITIL no arreglará los problemas ni garantizará esa conformidad. Se necesita una auditoria externa para eso, pero es un gran paso adelante.

Definición



“COBIT e ITIL no son mútuamente excluyentes ypueden ser combinados para proporcionar un sólidoframework de gobierno TI y de control y mejoresprácticas en gestión de servicios TI. Empresas quedeseen colocar su programa ITIL en un contexto másamplio de un framework de control y gobierno deberíanutilizar COBIT.”

Gartner research note, Junio 2002

Definición


Cualquier actividad, tarea o procedimiento que permite conocer, gestionar, seguir, reducir y/o

mitigar el riesgo al cual está expuesta la entidad

DEFINICIÓN

CONTROL

Introducción

IMPORTANTE Los controles están integrados dentro de la operativa y procesos diarios desarrollados por la entidad, por eso es

importante, abstraerse de esta operativa y poder pensar de forma global para poder reconocer los controles de la

entidad


Enlaces de interésPodréis encontrar información adicional en:http://www.itil.co.uk -El Sitio Oficial de ITIL http://www.exin.nl -Organismo de Certificación http://www.itsmf.com -Forum Internacional de Gestión de Servicios TI http://www.isaca.org – El sitio oficial de ISACAhttp://itsmf.es - Forum http://www.itgi.org http://www.ogc.gov.uk y en google……..

Enlaces de interés


ESTÁNDARES

• Despegar es opcional•Despegamos con …..

•COBIT•ITIL•BS - ISO 17799 •ISO- 2700x •UNE…….•CMM…..

•Aterrizar es Obligatorio, •Aterrizamos con…..

•RD-994/1999 •la norma elevada a rango legal


Preguntas

GRACIASPOR SUATENCIÓN

[email protected]

© 2007 copyright - tomás arroyo tomás arroyo salido - cisa correo -...

Documents