1. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Héctor Calderazzi
CISA, CISM, CRISC e ITIL v3 Fundation
Ex – Supervisor en Auditoría de Riesgos SI-TI Banco Macro S.A.
Miembro fundador de AGGASI.
Responsable de Membresía ISACA Capítulo Buenos Aires (ADACSI).
Experto, con más de 40 años de trabajo en Análisis y Desarrollo de Sistemas, Procesamiento
de Datos, Jefatura de Centro de Cómputos, de Seguridad Informática y Auditoría de
Sistemas/Riesgos de TI.
Diplomado en Seguridad Informática
Unidad 01: Gobierno de TI
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 1
hcalderazzi@gmail.com
linkedin.com Héctor Calderazzi
Skype: hrcalderazzi
Twitter: @hcalderazzi
2. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 2
3. 1. Marco de Gobierno de TI.
Contenido:
Estrategia de TI;
Arquitectura empresarial;
Estructuras, funciones y responsabilidades;
Gestión de cambios organizativos, de procesos y culturales;
Rendición de cuentas;
Monitoreo;
Reportes;
Comunicación y promoción y;
Aseguramiento
Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 3
4. 1. Marco de Gobierno de TI.
Estrategia de TI (técnicas utilizadas para su identifiación)
Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 4
Fortalezas Oportunidades
Calidad de resultados; Servicio
al usuario; Desarrollo de
procesos, sistemas y/o
servicios
Capacidad tecnológica para
soportar nuevos procesos de
negocio.
Nuevas tecnologías.
Debilidades Amenazas
Escasa inversión en I+D
Ventas bajas
Falta protección legal sobre
derecho de autor y aspectos
de seguridad
Entorno económico nacional;
Costo de la renovación
tecnológica.
Ref.: ISACA CGEIT 2014
5. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Estrategia de TI (cont.)
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 5
Ref.: ISACA CGEIT 2014
6. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Estrategia de TI (cont.)
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 6
Ref.:ITIL (Technology Infrastructure Library)
7. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Arquitectura empresarial
Ref.:Fong, Elizabeth; Alan Goldfine;
Information Management Decisions: The
Integration Challenge, US Department of
Commerce, National Institute of Standards and
Technology (NIST); NIST Special Publication
500-167, USA, September 1989.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 7
8. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Estructuras, funciones y responsabilidades
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 8
9. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Estructuras, funciones y responsabilidades (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
Respo
nsible
Este rol corresponde
a quien
efectivamente
realiza la tarea.
Infor
med
Debe ser informado sobre el
avance y los resultados de
la ejecución de la tarea.
Con
sul
ted
Posee alguna información
o capacidad necesaria
para realizar la tarea.
Acc
oun
tabl
e
Es quién debe rendir
cuentas sobre la ejecución
de la tarea. Sólo puede
existir una persona que
deba rendir cuentas (A) x
tarea.
9
10. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Gestión de cambios organizativos, de procesos y culturales
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 10
11. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Rendición de cuentas.
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 11
12. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Monitoreo de gobierno de TI
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 12
13. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Monitoreo de gobierno de TI (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 13
14. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Reportes sobre Gobierno de TI
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 14
Ref.:Balanced Scorecard (BSC / Cuadro de Mando
Integral); permite enlazar estrategias y objetivos clave
con desempeño y resultados a través de las cuatro áreas
críticas de una empresa.
15. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Reportes sobre Gobierno de TI (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 15
16. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Reportes sobre Gobierno de TI (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 16
17. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Reportes sobre Gobierno de TI (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 17
18. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Reportes sobre Gobierno de TI (cont.)
Ref.:ISACA: COBIT5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 18
19. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Comunicación y promoción
Ejemplo de mensajes claves de comunicación.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 19
Capacidad de abordar estos objetivos Realice estos beneficios
Alineación estratégica y operacional de TI y de negocio.
- La TI y los negocios trabajan con los mismos objetivos
corporativos.
- Arquitectura y otros enfoques tecnológicos considerados
relevantes y que agregan valor al negocio.
ROI Valor, transparencia y responsabilidad de las partes
interesadas.
- Valor para el accionista.
- Movilización de inversiones para mayor rentabilidad.
- Mejor uso de las capacidades de TI.
- Soluciones de TI rentables.
Gestión efectiva de las relaciones (interna y externa).
- Comprensión mutua de los objetivos.
- Lenguaje y terminología compartidos.
- Trabajar en asociación - igualdad de inversión y
responsabilidad.
- Responsabilidad clara.
Oportunidades y asociaciones.
- Mayor sinergia.
- Mayor velocidad al mercado.
- Mejora de la eficiencia, especialmente con terceros.
- Agilidad para responder al cambio.
Control de gestión / Gestión de la calidad.
- Procesos estandarizados.
- Enfoques coherentes.
- Comparación / adopción de buenas prácticas (ej. ISO, CMMI,
COBIT, ITIL).
- Servicios profesionales de TI.
- Gestión de riesgos.
Mejora del rendimiento.
- Mitigación de riesgos.
- Mejoras continuas en eficiencia y calidad.
- Mayor seguridad de que los controles funcionan.
- Transparencia y confianza en las medidas.
Ref.:UK National Computing Centre, IT Governance: Developing a Successful Governance
Strategy – A Best Practice Guide for Decision Maters in IT, UK, 2005. www.ncc.co.uk
20. Afirmando Persuadiendo Brindando Atrayendo
Inicio de las expectativas de
mejora de la gobernanza de
TI y las consecuencias de
no adoptar el nuevo modelo
de control.
Evaluar la capacidad actual,
la gestión de riesgos, la
calidad de la entrega, etc. y
exponer un rendimiento
inaceptable.
Crear incentivos
estableciendo objetivos
claros de gobernanza de TI
- basados en las prioridades
empresariales y
respaldados por el plan de
recompensas personales.
Proponer nuevos enfoques
de gestión y mejores
prácticas y normas para las
actividades de TI, basadas
en talleres de desarrollo.
Razonando que los cambios
son necesarios - por parte
de la alta dirección de la
educación sobre los temas
clave de TI y los beneficios
que la gobernanza de TI
puede proporcionar (por
ejemplo, más participación
en el negocio de los
proyectos de TI).
Involucrar el negocio en la
toma de decisiones de TI -
al desglosar las dificultades
técnicas y alentar la
responsabilidad compartida
por los resultados de TI.
Escuchar las opiniones de
los usuarios sobre los
servicios de TI y
sugerencias alentadoras a
través de encuestas de
satisfacción.
Divulgar los problemas de
TI e incidentes que buscan
soluciones viables en lugar
de encubrirlos
Encontrar un terreno común
mediante el desarrollo de
declaraciones de misión
corporativa y políticas sobre
gobernanza de TI con el
apoyo de la junta directiva.
Visión por la TI y el negocio
desarrollando estrategias y
planes de acción
compartidos, respaldados
por objetivos y metas
mensurables y
responsables.
Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Comunicación y promoción (cont.).
Ref.: UK National Computing Centre, IT Governance: Developing a Successful
Governance Strategy – A Best Practice Guide for Decision Maters in IT, UK, 2005.
www.ncc.co.uk
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 20
Ejemplo de influencias en las caracterizaciones de estilo
21. Una relación de 3
partes que
involucra: 1) el
responsable, 2) el
profesional y, 3)
el usuario del
informe de
aseguramiento
Una materia
sobre la cual se
debe
proporcionar
aseguramiento
(ej. datos,
sistemas,
procesados).
Criterios
adecuados
respecto a los
cuales se
evaluará el tema
(ej. estándares,
“benhmarks”,
legislación).
Un proceso que el
profesional de
aseguramiento
llevará a cabo.
Una conclusión
emitida por el
profesional de
aseguramiento.
Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Aseguramiento
Ref.: ISACA CGEIT – Five components of an Assurance Initiative
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 21
22. ‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
Aseguramiento (cont.)
Planificación
• Establecer el universo de aseguramiento de TI.
• Seleccionar el marco de control.
• Planificar la seguridad de TI enfocado en riesgos.
• Realizar evaluaciones de alto nivel.
• Definir el alcance y los objetivos de alto nivel de la iniciativa.
Alcance
• Objetivos de negocio;
• Objetivos de TI;
• Principales procesos de TI y recursos clave de TI;
• Principales objetivos de control y;
• Objetivos de control clave personalizados.
Ejecución
• Refinar la comprensión de aseguramiento de TI.
• Refinar el alcance de los objetivos clave de control de aseguramiento de TI.
• Comprobar la eficacia del diseño de control de los objetivos clave de control.
• Alternativamente, también se puede probar el resultado de los objetivos clave de control.
• Documentar el impacto de las debilidades de control.
• Desarrollar y comunicar conclusiones generales y recomendaciones.
.
22
Ref.: ISACA CGEIT – IT Assurance Road Map
23. Diplomatura en Seguridad Informátida
Unidad 01: Gobierno de TI.
1. Marco de Gobierno de TI.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI 23
hcalderazzi@gmail.com
linkedin.com Héctor Calderazzi
Skype: hrcalderazzi
Twitter: @hcalderazzi