1. REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR
PARA LA EDUCACIÓN SUPERIOR
UNIVERSIDAD “UNIOJEDA”
EXTENSIÓN CARORA
CARORA, MAYO 2014
Lervys Cuicas
Pedro Meléndez
José Piñango
2. NORMA COBIT
El COBIT es precisamente un modelo para
auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los
sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los
auditores involucrados en el proceso. El COBIT es un
modelo de evaluación y monitoreo que enfatiza en
el control de negocios y la seguridad IT y que abarca
controles específicos de IT desde una perspectiva de
negocios.
3. • Las siglas COBIT significan Objetivos de Control
para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el
resultado de una investigación con expertos de
varios países, desarrollado por ISACA
(Information Systems Audit and Control
Association).
4. • COBIT se aplica a los sistemas de información de toda la
empresa, incluyendo los computadores personales y las redes.
Está basado en la filosofía de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable
que requiere una organización para lograr sus objetivos.
Misión del COBIT
• Buscar, desarrollar, publicar y promover un autoritario y
actualizado conjunto internacional de objetivos de control de
tecnologías de la información, generalmente aceptadas, para
el uso diario por parte de gestores de negocio y auditores.
5. • BENEFICIOS COBIT
• Mejor alineación basado en una focalización sobre el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados
en un lenguaje común.
6. NORMA ITIL
• La Biblioteca de Infraestructura de Tecnologías de
Información, frecuentemente abreviada ITIL (del inglés
Information Technology Infrastructure Library), es un conjunto
de conceptos y prácticas para la gestión de servicios de
tecnologías de la información, el desarrollo de tecnologías de
la información y las operaciones relacionadas con la misma en
general. ITIL da descripciones detalladas de un extenso
conjunto de procedimientos de gestión ideados para ayudar a
las organizaciones a lograr calidad y eficiencia en las
operaciones de TI.
7. Certificación
• Los particulares pueden conseguir varias certificaciones
oficiales ITIL. Los estándares de calificación ITIL son
gestionados por la ITIL Certification Management Board
(ICMB) que agrupa a la OGC, a itSMF International y a los dos
Institutos Examinadores existentes: EXIN (con sede en los
Países Bajos) e ISEB (con sede en el Reino Unido).
8. Existen tres niveles de certificación ITIL para profesionales:
• Foundation Certificate (Certificado Básico): acredita un
conocimiento básico de ITIL en gestión de servicios de
tecnologías de la información y la comprensión de la
terminología propia de ITIL. Está destinado a aquellas
personas que deseen conocer las buenas prácticas
especificadas en ITIL.
9. • Practitioner's Certificate (Certificado de Responsable):
destinado a quienes tienen responsabilidad en el diseño
de procesos de administración de departamentos de
tecnologías de la información y en la planificación de las
actividades asociadas a los procesos.
• Manager's Certificate (Certificado de Director):
garantiza que quien lo posee dispone de profundos
conocimientos en todas las materias relacionadas con la
administración de departamentos de tecnologías de la
información, y lo habilita para dirigir la implantación de
soluciones basadas en ITIL.
10. • La norma ISO 20000 se concentra en la gestión
de problemas de tecnología de la información
mediante el uso de un planteamiento de servicio
de asistencia. La norma ISO 20000 considera
también la capacidad del sistema, los niveles de
gestión necesarios cuando cambia el sistema, la
asignación de presupuestos financieros y el
control y distribución del software.
11. • Estructura de la norma ISO 20000
• La norma ISO/IEC 20000 está formada por tres partes publicadas bajo el
mismo título “Tecnología de la información. Gestión del servicio":
• • Parte 1: Especificaciones
• La norma ISO 20000-1 es la especificación formal y define los requisitos
que tiene que cumplir una organización para proporcionar servicios
gestionados de una calidad aceptable a los clientes. Su alcance incluye:
• o Requisitos para un sistema de gestión
• o Planificación e implantación de la gestión del servicio
• o Planificación e implantación de servicios nuevos o modificados
• o Proceso de provisión del servicio
• o Procesos de relación
• o Procesos de resolución
• o Procesos de control
• o Procesos de entrega
12. • Parte 2: Código de buenas prácticas
• Código de procedimiento y describe los mejores
procedimientos para procesos de gestión de
servicios dentro del ámbito de la norma ISO
20000-1. El Código de procedimiento resulta
especialmente útil para organizaciones que se
preparan para someterse a una auditoría según
la norma ISO 20000-1 o para planificar mejoras
del servicio.
13. • Parte 3: Guía sobre la definición del alcance y la aplicabilidad de la
norma ISO / IEC 20000-1
• ISO/IEC TR 20000-3:2009 proporciona orientación sobre la
definición del alcance, la aplicabilidad y la demostración de la
conformidad de los proveedores de servicios orientados a satisfacer
los requisitos de la norma ISO / IEC 20000-1, así como los
proveedores de servicios que están planeando mejoras en el
servicio con la intención de utilizar la norma ISO/IEC 20000 como
un objetivo de negocio. También puede ayudar a los proveedores
de servicios que están considerando utilizar la norma ISO/IEC
20000-1 para la aplicación de un sistema de gestión de servicios
(SMS) y que necesitan asesoramiento específico sobre si la norma
ISO/IEC 20000-1 se aplica a sus circunstancias y la forma de definir
el alcance de su SMS.
14. • La norma ISO/IEC 20000 se encuentra actualmente bajo un
proceso de revisión para alinearse mejor con ITSM y con otros
estándares ISO. Es por esto, por lo que tras la reciente
publicación de la norma ISO/IEC 20000-3, se están
desarrollando dos nuevas partes:
• Parte 4: Modelo de Procesos de Referencia (PRM) de gestión
de servicios
• Este modelo establece las bases del modelo de madurez y el
marco de evaluación.
• Parte 5: Ejemplar del Plan de Implementación para la norma
ISO/IEC 20000-1
• Actualmente se encuentra en la etapa final de su preparación
para ser publicada. Se espera que esté disponible para la
primavera de 2010.
15. • CMMI
• Capability Maturity Model® Integration (CMMI) es un modelo
de aseguramiento de la calidad que busca la mejora continua
de las organizaciones mediante el análisis y re-diseño de los
procesos que subyacen en la organización. Fue creado por el
SEI (Software Engineering Institute) de la Universidad de
Carnegie-Mellon y patrocinado por el Ministerio de Defensa
de los Estados Unidos. Con el propósito de lograr la mejora de
los procesos, CMMI provee:
- Una forma de integrar los elementos funcionales de una
organización .
- Un conjunto de mejores prácticas basadas en casos de éxito
probado de organizaciones experimentadas en la mejora de
procesos.
16. • Ayuda para identificar objetivos y prioridades para mejorar los
procesos de la organización, dependiendo de las fortalezas y
debilidades de la organización que son obtenidas mediante un
método de evaluación.
• Un apoyo para que las empresas complejas en actividades
productivas puedan coordinar sus actividades en la mejora de
los procesos.
• Un punto de referencia para evaluar los procesos actuales de
la organización.
17. • CMMI corresponde a la tercera versión entregable del modelo
CMMI, posterior a las versiones 1.02 (primera versión año
2000) y 1.1 (año 2002) [Chr06]. Las versiones previas sirvieron
como retroalimentación para que los propios usuarios,
evaluadores y evaluados hicieran acotaciones sobre posibles
mejoras, las cuales fueron estudiadas, refinadas y algunas
incluidas en la versión 1.2. CMMI v1.2 para desarrollo, que
corresponde a una de tres constelaciones de prácticas, es una
guía que ayuda a manejar, medir y monitorear procesos
[SEI07a] utilizados en el desarrollo de productos y servicios de
una organización, y contiene prácticas ligadas a la
administración de proyectos, administración de procesos,
ingeniería y soporte.
18. • Junto con CMMI se desarrolló y publicó el método de
evaluación "Assessment Requirements for CMMI (ARC)"
[SEI00] en el año 2000, el cual define los requerimientos
considerados esenciales para realizar una evaluación de CMMI
en una organización y "Standard CMMI Appraisal Method for
Process Improvement", (SCAMPI) [SEI01], manual seguido por
los evaluadores para medir el nivel de madurez de una
organización. Estos dos documentos también se han
actualizado como consecuencia de la retroalimentación de la
comunidad involucrada en CMMI, generando la última
versión 1.2 de SCAMPI [SEI06a] y ARC [SEI06b] ambas
publicadas el año 2006.
19. •Representaciones
• La representación usada en CMMI entrega una guía para
efectuar las actividades de mejora de los procesos y es
utilizada en el método de evaluación. Según el modelo se
tienen dos formas para mejorar. Una forma es mejorar un
proceso específico o un conjunto de ellos usando la
Representación Continua (Continuous Representation) y la
otra es la mejora de la organización completa según los
procesos definidos y ocupados usando la Representación
Escalonada o por Etapas (Staged Representation). En la Tabla 1
se muestran los niveles para estos dos tipos de
representaciones.
20. • Representación Continua
-La representación continua se focaliza en la mejora de un proceso o
un conjunto de ellos relacionado(s) estrechamente a un área de
proceso en que una organización desea mejorar, por lo tanto una
organización puede ser certificada para un área de proceso en
cierto nivel de capacidad. Existen seis niveles de capacidad por
donde transitan los procesos asociados a un área de proceso y cada
nivel es construido sobre el nivel anterior, es decir para que un
proceso alcance un nivel de capacidad necesariamente debe haber
alcanzado el nivel anterior.