SlideShare una empresa de Scribd logo

Standard iso38500

Floricel Lobo
Floricel Lobo

auditoria

Ingeniería
1 de 66
Descargar para leer sin conexión
GOBIERNO CORPORATIVO TIC AUREN Francisco Rover 4 Entresuelo 07003 Palma Mallorca Avda. General Perón, 38 3ª 28020 Madrid Objetivos y Metodología para su implantación
GOBIERNO CORPORATIVO TIC ÍNDICE 1. Introducción 2. Coso – Internal Control Integrated Framework 3. Balance Scorecard – Cumplimiento Legal 4. ISO 38500 - COBIT / ValIT 5. ISO 27000 – ISO 20000 (ITIL V3) - ISO 24762 6. Metodología. 6. Desarrollo del proyecto. 7. Fases de desarrollo del proyecto
José Manuel Ballester Fernández mballester@temanova.commballester@temanova.commballester@temanova.commballester@temanova.com ALGUNA INFORMACIÓN PERSONAL ▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT » Consejero Delegado TEMANOVA » Socio ALINTEC » Director Estratégia Fundación DINTEL » Director Postgrado Buen Gobierno Universidad Deusto » Director Cátedra Buen Gobierno Universidad Deusto ▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR ▶ Former President de ASIA / ISACA Madrid Chapter ▶ CobiT® Foundation Certificate ▶ Certified Information Systems Auditor (CISA) ▶ Certified Information Security Manager (CISM) ▶ Certified Governance Enterprise IT (CGEIT) ▶ Accredited CobiT® Trainer
Texto menú 2 Introducción Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier sistema. Complejidad social
Las organizaciones requieren una aproximación estructurada para abordar éstos y otros desafíos. Administrar los servicios de TI Seguridad Valor/Costo Manejar la complejidadAlineamiento de TI con el Negocio Cumplir con requerimientos regulativos
Texto menú 2 Introducción Gobierno Corporativo TIC es • Un conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración ejecutiva con el fin de proveer dirección estratégica, • garantizando que los objetivos sean alcanzados, • estableciendo que los riesgos son administrados apropiadamente y • verificando que los recursos de la empresa son usados responsablemente. MEDICIÓNDEL DESEMPEÑO ADMINISTRACIÓN DE LOS RECURSOS ADMINISTRACIÓNDELRIESGO AGREGAR VALOR ALINEACIÓN ESTRATÉGICA www.itgi.orgwww.itgi.org
Texto menú 2 Introducción Niveles de Gobernanza La provisión de la estructura que permita determinar los objetivos de la Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos. OCDE (2004) Gobernanza corporativa (COSO) La especificación del marco de derechos a la toma de decisiones y la alta responsabilidad para favorecer un comportamiento deseable en el uso de las TIC. MIT/Sloan School of Management (2004) No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas - eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo se toman. El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK (2002) Gobernanza de la Seguridad de la Información y Tecnologías afines Gobernanza Corporativa Gobernanza de TIC Gobernanza de SI Niveles de gobernanza Gobernanza de la TIC ISO 38500 – COBIT / Val IT
Texto menú 2 Introducción ISO38500 COBIT / Val IT ISO24762 ISO 27000 ISO 20000 ITIL COSO – Cumplimiento Legal QUE COMO CAMPO DE COBERTURA En la actualidad existe diferentes metodologías orientadas al control de las organizaciones, cada una de ellas abarca diferentes ámbitos, de forma que se complementan. Marcos de Control
Texto menú 2 Introducción Niveles de gobernanza Continuidad de Negocio Procesos y Procedimientos Principios de Seguridad ITIL “Gobierno de TI” ISO38500 COBIT / Val IT DESEMPEÑO: Metas del negocio CONFORMIDAD Basilea II, Sarbanes- Oxley Act,LOPD, etc Directrices ISO 24762 ISO 27000 ISO 20000Estándares de mejores prácticas “Gobierno Corporativo” COSO Balanced Scorecard
Coso – Internal Control Integrated Framework En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. Mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno. OBJETIVOS DE COSOControl Interno
Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta a los riesgos. Reducir las sorpresas y pérdidas operativas Identificar y gestionar la diversidad de riesgos para toda la entidad Aprovechar las oportunidades Mejorar la dotación de capital El Gobierno Corporativos incluye las siguientes capacidades: Coso – Internal Control Integrated Framework Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas.
Definición de la Gobierno Corporativo Coso – Internal Control Integrated Framework El marco de Gobierno Corporativo está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías: El Gobierno Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos Información: objetivos de fiabilidad de la información suministrada. Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.
Componentes del Gobierno Corporativo EL Gobierno Corporativo consta de ocho componentes relacionados entre sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión. Ambiente interno: establece la base de cómo el personal de la entidad percibe y trata los riesgos. Establecimiento de objetivos: los objetivos deben de existir antes de que la dirección pueda identificar potenciales eventos que puedan afectar a su consecución. Identificación de eventos: tanto internos como externos que afectan a los objetivos de la entidad. Evaluación de riesgos: se analizan considerando su probabilidad e impacto como base para determinar como deben de ser gestionados. Respuesta al riesgo: las posibles respuestas – evitar, aceptar, reducir o compartir – los riesgos. Actividades de control: las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos son eficaces. Información y comunicación: la información relevante se identifica, capta y comunica para que el personal pueda afrontar sus responsabilidades. Supervisión: la supervisión se lleva a cabo mediante actividades de la dirección o evaluaciones independientes.
Componentes de la gestión de Buen Gobierno Corporativo
Funciones y responsabilidades La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas. El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna. La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada. Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas establecidas o la legalidad de las acciones realizadas. Coso – Internal Control Integrated Framework
Determinación de los Objetivos. Objetivos globales (tales como la Misión). Objetivos específicos de las diversas actividades (por ej. Producción), estos sub- objetivos medibles a través de metas deben ser coherentes. Coso – Internal Control Integrated Framework Los objetivos deben ser: Definidos de modo de identificar los criterios para medir el rendimiento y establecer factores críticos de éxito (que pueden ser a nivel de actividad o unidad operacional). Coherentes y compatibles. Como ejemplo se puede considerar: efectuar pagos sólo para compras autorizadas, que los sistemas informáticos se encuentren disponibles según los requerimientos del negocio, etc. Evaluación de riesgos
Debe asegurase que se obtenga información de calidad y no meros datos. La información debe ser protegida ya que se trata de un activo valioso. Las vías de comunicación interna deben asegurar que el personal conozca los elementos suficientes para cumplir con su tarea. Información y comunicación Las actividades de supervisión continua y evaluaciones puntuales. Las deficiencias detectadas deben ser oportunamente comunicadas. Supervisión
Marcos Regulatorios del Buen Gobierno • Legislación extranjera de implantación en "branch offices". • Decisiones del Consejo Europeo (emergentes). – Pretender preparar un marco para el desarrollo nacional. • Agencias Gubernamentales: – AGPD. – Ministerio de Industria. – Ministerio del Interior. • Foros sectoriales: – Asociaciones Profesionales. – Basilea II
Utilidad del Cuadro de Mando Integral • BalancedScoredCard: – Lenguaje común entre entornos diferentes. – Establecimiento de un mapa estratégico con "dónde queremos estar". – Estudio del impacto de determinadas acciones: • Seleccionar acciones. • Estudiar el impacto en el BSC. • Elaborar una regla.
20 • ISO/IEC 38500. Corporate Governance of IT URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
ISO 38500 OBJETIVOS DE LA NORMA Objetivo de la norma: El uso de las tecnologías de la información de manera efectiva, optima y eficiente en las organizaciones, con la finalidad de: Generar confianza en los stakeholders (empleados, clientes, proveedores, socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organización. Informar y guiar a la alta dirección en el gobierno TIC en su organización. Proveer de bases para la evaluación objetiva del Gobierno Corporativo TIC ISO/IEC 38500:2008
Adecuada aplicación y operación de activos de TIC. Asignación de responsabilidades. Continuidad del negocio Sostenibilidad. Alineación de TIC con los objetivos del negocio. Asignación eficiente de recursos. Innovación en los servicios, los mercados y las empresas. Mejora de imagen y reputación en el mercado frente a los reguladores, agentes sociales y con los stakeholders. Optimización en los costes de una organización Inversión efectiva en TIC. Cumplimiento legal. BENEFICIOS DE LA IMPLANTACIÓN DEL ESTÁNDAR: ISO/IEC 38500:2008 Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas.
ISO38500
MODELO ISO/IEC 38500:2008 La Norma establece los principios para el buen gobierno corporativo de TIC: Responsabilidad Estrategia Inversión Rendición de Resultados Cumplimiento Recursos Humanos En cada uno de los principios de la Norma es necesario realizar estas tres tareas principales: EVALUAR el uso actual y futuro de las TIC. DIRIGIR la preparación y ejecución de planes y políticas para garantizar que el uso de TIC cumple los objetivos empresariales. MONITORIZAR la conformidad con las políticas, y los resultados de los planes.
25 • ISO/IEC 38500. Corporate Governance of IT ◊ Independencia de las herramientas ◊ Definición clara del concepto y sus límites ◊ Identificación de los destinatarios del mensaje ◊ Sencillez del propio mensaje a través de la proclamación de unos principios
26 • ISO/IEC 38500. Principios ◊ Claro establecimiento de responsabilidades sobre las TIC ◊ Planificación de las TIC para un mejor soporte de la organización ◊ Adquisición de TIC de forma válida ◊ Garantía de unas TIC que funcionan bien y cuando son requeridas ◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la normativa formalmente establecida ◊ Garantía de unas TIC cuyo uso respeta los factores humanos
27 • ISO/IEC 38500. Cuestiones comprensibles ◊ ¿Los individuos de su organización entienden y aceptan su responsabilidad sobre las TIC? ◊ ¿Sus planes tecnológicos soportan los planes corporativos de su organización y cubren las necesidades presentes y futuras de la misma? ◊ ¿Las adquisiciones de TIC se realizan por razones aprobadas y de la forma aprobada? ◊ ¿Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad de su organización? ◊ ¿Su marco TIC es conforme a regulaciones externas y/o internas? ◊ ¿Su entorno TIC cumple con las necesidades de la “gente involucrada en el proceso”?
Control Objetives for Information and Related Tecnology ISO38500 COBIT Consejos de Administración y Altos Ejecutivos Gerencias de Línea y de TI Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad • Indicadores Clave de Rendimiento • Indicadores Clave de Objetivo • Modelos de Madurez Resumen Ejecutivo Directrices de Gestión ¿Qué es el Marco de Referencia para la Gobernanza de TI? ¿Cómo evaluarlo? ¿Como presentarlo e implantarlo? Objetivos de Control ¿Cúales son sus Responsabilidades? Marco de Referencia Guía de Evaluación de Garantía de TI Guía de Implantación de Gobernanza de TI Prácticas de Control
MARCO DE REFERENCIA La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de la ACTIVIDAD de la Organización y cómo TIC apoya su logro ISO38500 COBIT
MARCO DE REFERENCIA EL CUBO DE COBIT R EC U R SO S de TI EFIC A C IA EFIC A C IA EFIC IEN C IA EFIC IEN C IA C O N FO R M ID A D C O N FO R M ID A D FIA B ILID AD FIA B ILID AD C O N FID EN C IA LID AD C O N FID EN C IA LID AD D ISPO N IB ILID AD D ISPO N IB ILID AD IN TEG R ID A D IN TEG R ID A D DOMINIOSDOMINIOS PROCESOSPROCESOS ACTIVIDADESACTIVIDADES PERSONASPERSONAS APLICACIONESAPLICACIONES INFRAESTRUCTURAINFRAESTRUCTURA INFORMACIINFORMACIÓÓNN Conjuntoestrucutradode PROCESOSdeTI REQUISITOS de la ORGANIZACIÓN para la INFORMACIÓN ISO38500 COBIT
OBJETIVOS DE CONTROL El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa de forma natural en 4 DOMINIOS. ▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI ▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI ▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI ▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI ISO38500 COBIT
OBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO Eficiencia Personas Aplicaciones Infraestructura Información ENTREGAR Y SOPORTAR MONITORIZAR Y EVALUAR ADQUIRIR E IMPLANTAR INFORMACION RECURSOS DE TI MARCO DE REFERENCIA C O B I T Eficacia Confidencialidad Integridad Disponibilidad Conformidad Trata la entrega o la prestación de los servicios requeridos - desde las operaciones tradicionales, hasta la formación; pasando por la seguridad en los sistemas y las continuidad de las operaciones -. Deberán establecerse los procesos necesarios para la provisión de los servicios. Todos los procesos han de evaluarse periódicamente para verificar su calidad y suficiencia en cuanto a los requisitos de control. Advierte a la Dirección sobre la necesidad de garantizar procesos de control independientes (auditorías). Cubre las estrategias y las tácticas para identificar la forma en la que la TI puede contribuir de la mejor manera al logro de los objetivos de la Organización. La consecución de la visión estratégica debe planearse, comunicarse y gestionarse desde diferentes perspectivas. Es necesario establecer una organización e infraestructura tecnológica apropiada. Para llevar a cabo la estrategia de TI, éstas deben identificarse, construirse o adquirirse, implantándose e integrándose en el proceso de la Organización. Contempla, asimismo, los cambios y mantenimiento de sistemas existentes, para garantizar su continuidad. PLANIFICAR Y ORGANIZAR Fiabilidad OBJETIVOS DE CONTROL ISO38500 COBIT
OBJETIVOS DE CONTROLOBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO Eficiencia Personas Aplicaciones Infraestructura Información ENTREGAR Y SOPORTAR MONITORIZAR Y EVALUAR ADQUIRIR E IMPLANTAR INFORMACION RECURSOS DE TI MARCO DE REFERENCIA C O B I T Eficacia Confidencialidad Integridad Disponibilidad Conformidad DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones. ME1 Monitorear y Evaluar el desempeño de TI. ME2 Monitorear y Evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proveer Gobierno de TI. PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de información. PO3 Determinar la dirección tecnológica. PO4 Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos. AI1 Identificar soluciones de automatización. AI2 Adquirir y mantener software de aplicación. AI3 Adquirir y mantener la infraestructura tecnológica. AI4 Permitir la operación y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. PLANIFICAR Y ORGANIZAR Fiabilidad ISO38500 COBIT
DIRECTRICES DE GESTIÓN Entradas y Salidas del Proceso Actividades y Matriz RACI Objetivos (metas) de TI Objetivos (metas) de los procesos Objetivos (metas) de las actividades KGI - Indicadores clave de objetivos KPI - Indicadores clave de rendimiento ISO38500 COBIT
ISO 38500 – COBIT DIRECTRICES DE GESTIÓN. MODELOS DE MADUREZ
Val IT™ y CobiT®, complementarios; dos planos distintos Val IT ofrece un marco complementario al de CobiT; pero con un enfoque estratégico y de gobernanza, al más alto nivel.
Procesos y prácticas clave de Gobernanza de Valor Val IT consta de tres (3) PROCESOS, soportados en un total de cuarenta (40) PRÁCTICAS clave de gobernanza
ISO 20000 - ITIL V3 Gestión y Calidad del Servicio TIC
ISO27000 Gestión y Seguridad TIC ISO/IEC 17799:2005, Code of Practice for Information Security Management Año: 2005 (primera edición, 2000) Editor: International Organization for Standardization (ISO) URL: http://www.iso.ch 11 Áreas de Control – Política de Seguridad – Organización de la Seguridad de la Información – Gestión de Activos – Seguridad en los Recursos Humanos – Seguridad física y del entorno – Gestión de comunicaciones y operaciones – Control de accesos – Adquisición, desarrollo y mantenimiento de sistemas de información – Gestión de incidentes de seguridad – Gestión de continuidad del negocio – Conformidad
Continuidad de Negocio
Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC Requisitos de la Organización requieren Requisitos de Gobierno Corp. Servicios de Información Criterios de Información influencian implican aportan necesitan ejecutan Procesos TIC Información Aplicaciones Infraestructura y Gente Estrategia Empresarial Objetivos de la Entidad Arquitectura Empresarial para TIC Metas de TIC Cuadro de Mando Integral TIC Objetivos de la Entidad Arquitectura Empresarial TIC RECURSOS DE TI
– KPI (Key Performance Indicator / Indicador Clave de Rendimiento): Indican cómo se está desarrollando el proceso, cuál está siendo su comportamiento. Predicen la probabilidad es éxito o fracaso en el futuro. Son indicadores “guía”. Ayudarán a mejorar el proceso de Seguridad de la Información cuando sean medidos y se actúe sobre ellos. – KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo): Indican, después del hecho, si un determinado objetivo se ha alcanzado. Objetivos e indicadores KGI Número de incidentes que han afectado a la imagen pública Hacer el trabajo Objetivo Mantener la reputación y el liderazgo empresarial KPI Número de accesos no autorizados en el último mes Actuar ¿Lo alcanzaremos? ¿Lo hemos alcanzamos?
– El Cuadro de Mando Integral (BSC, Balanced ScoreCard) presenta el rendimiento desde cuatro perspectivas. – Los KGI hacen referencia a las vertientes financiera y del cliente, dentro del BSC. – Los KPI se enfocan hacia el proceso y la dimensión del aprendizaje. Cuadro de Mando Integral TIC Financiera Qué objetivos financieros se deben alcanzar Cliente Qué necesidades del cliente deben ser servidas Aprendizaje Cómo debe aprender e innovar la Organización Interna En qué procesos internos debe distinguirse la Organización
Cuadro de Mando Integral. Un ejemplo Perspectiva del cliente Implantar la nueva infraestructura de red Perspectiva Financiera Perspectiva InternaObjetivos de negocio / Preocupaciones de TI KGI KGI KPIKGI Objetivo de TI Mayor dirección al neg. KGI KPI Aprender e innovar Reducir el número de interrupciones causadas por errores de gestión de cambios. Reducir el número de soluciones de emergencia. Reducir el trabajo adicional causado por especificaciones de cambio inadecuadas. Reducir el tiempo y esfuerzo requeridos para hacer cambios. Formación completada en cuatro (4) meses. KGI KPI KPI
PROCESO DE AUDITORÍA ADQUIRIR EVALUAR VALORAR JUSTIFICAR Las directrices de auditoría de COBIT Orientan en la preparación de programas de auditoría, a través de una estructura comúnmente aceptada del PROCESO de AUDITORÍA … … basada en: [ADQUIRIR] conocimiento, a través de: - entrevistando … - obteniendo … [EVALUAR] la conveniencia de los controles establecidos: - considerando … [VALORAR] la suficiencia: - probando que … [JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen: - ejecutando … - identificando …
Camino hacia la implantación Una secuencia de actividades para construir un Gobierno TIC sostenible en la Organización Nada Nada Concienciación Concienciación Análisis de Necesidades Análisis de Necesidades Análisis de Brechas Análisis de Brechas Proyectos de Mejoramiento Proyectos de Mejoramiento Evaluación Evaluación Desarrollar organización de Gobierno de TI Desarrollar organización de Gobierno de TI Actividad Normal del Negocio Actividad Normal del Negocio Un mapa de ruta genérico ayuda a las organizaciones a diseñar los esfuerzos de implementación del Gobierno TIC ……
Camino hacia la implantación (y II) Una secuencia de actividades para construir un Gobierno TIC sostenible en la Organización Qué debe Entregar TIC? Qué debe Entregar TIC? Existen problemas? Existen problemas? Qué es critico? Qué es critico? Qué se está olvidando? Qué se está olvidando? Qué lograr? Qué lograr? Ya lo hemos arreglado? Ya lo hemos arreglado? Cómo podemos mantener el control? Cómo podemos mantener el control? Éxito Éxito Un mapa de ruta genérico ayuda a las organizaciones a diseñar los esfuerzos de implementación del Gobierno TIC ……
Hoja de Ruta de Implantación Gobernanza TIC IMPLEMENTAR LA SOLUCIÓN PLANEAR LA SOLUCIÓN PREVER LA SOLUCIÓN IDENTIFICAR NECESIDADES Fomentar la conciencia y obtener compromiso Analizar metas del negocio & TI Seleccionar procesos y controles Definir el desempeño actual Definir objetivos de mejora Analizar inconsistencias e identificar mejoras Definir proyectos Desarrollar un plan de mejora Implementar las mejoras Integrar medidas en el ITBSC Revisión Post implementación Analizar riesgos CONSTRUIR SOSTENIBILIDAD Definir el Alcance Desarrollar Estructura & Procesos del Gobierno de TI
Procesos de Negocio – Asignación de Responsables
Relación Procesos de Negocio – Objetivos de Negocio – Objetivos de TI
Relación Objetivos de TI – Recursos y Atributos de TI
Evaluación de Objetivos de TI por Criterios de Información y Recursos de TI
Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
Análisis de Riesgos de procesos TI
Mapa de Riesgos de Procesos de TI
Evaluación de procesos por Madurez (Gap Análisis)
Evaluación y Análisis de Recomendaciones
Proyectos basadas en la Recomendaciones
Prioridades y selección de proyectos (Quick Win)
Balance Scorecard TI (Indicadores y Métricas)
FASES DE DESARROLLO FASE 1. DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO. FASE 2. CONOCIMIENTO DEL ENTORNO: Análisis de los objetivos del negocio. Análisis del control interno. Análisis de la estructura organizativa y de los procesos de negocio. Análisis de cumplimiento legal. Implantación de las Herramientas de Buen Gobierno Análisis de riesgos. Análisis de impacto en el negocio (BIA). Análisis de políticas y procedimientos. FASE 3: DEFINICIÓN: Gestión del riesgo. Políticas y procedimientos. Gestión de continuidad del negocio. Plan de proyectos. Plan de formación. Plan de comunicación a los Órganos rectores de la compañía. Desarrollo del proyecto
FASES DE DESARROLLO FASE 4. IMPLANTACIÓN: Implantación del plan de tratamiento del riesgo y de las medidas elegidas. Formación y concienciación al personal. Cuadro de mando (BSC) Implantación de métricas y registros. Implantación de oficina de control interno. FASE 5: REVISIÓN Auditoría del sistema. Apoyo a la certificación. Desarrollo del proyecto
METODOLOGÍA EMPLEADA COSO Committee of Sponsoring Organizations. UNE – ISO/IEC 27001:2005: certificación de los SGSI ISO/IEC 27002 : código de buenas prácticas de seguridad. UNE –ISO/IEC 20000 Tecnología de la información. Gestión del servicio. ITIL V3 ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE: Objetivos de control de información y tecnologías relacionadas. ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY INSTITUTE: guía de buenas prácticas de planes de continuidad del negocio. COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologías de análisis de riesgos. Metodología proponemos una metodología para abarcar cada uno de los requisitos del proyecto

Recomendados

Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-eseboadaspsm
 
Presentacion coso
Presentacion cosoPresentacion coso
Presentacion cosoLuis Orlando Martinez
 
Cobit 77
Cobit 77Cobit 77
Cobit 77Yoly González
 
Marco integrado de control interno - parte 1
Marco integrado de control interno - parte 1Marco integrado de control interno - parte 1
Marco integrado de control interno - parte 1Control Interno
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018Edgar Garcia
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso EsOmar Hernandez
 
Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1eboadaspsm
 
Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Grace Vasquez
 

Recomendados

Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-eseboadaspsm
 
Presentacion coso
Presentacion cosoPresentacion coso
Presentacion cosoLuis Orlando Martinez
 
Cobit 77
Cobit 77Cobit 77
Cobit 77Yoly González
 
Marco integrado de control interno - parte 1
Marco integrado de control interno - parte 1Marco integrado de control interno - parte 1
Marco integrado de control interno - parte 1Control Interno
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018Edgar Garcia
 
Presentacion Control Interno Coso Es
Presentacion Control Interno Coso EsPresentacion Control Interno Coso Es
Presentacion Control Interno Coso EsOmar Hernandez
 
Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1eboadaspsm
 
Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Coso i y_coso_ii_1_1
Coso i y_coso_ii_1_1Grace Vasquez
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROLVICTOR31651306
 
CONTROL INTERNO (COSO)
CONTROL INTERNO (COSO)CONTROL INTERNO (COSO)
CONTROL INTERNO (COSO)WILSON VELASTEGUI
 
Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)seveman
 
Control interno basado en informe COSO
Control interno basado en informe COSOControl interno basado en informe COSO
Control interno basado en informe COSOControl Interno
 
El informe coso
El informe cosoEl informe coso
El informe cosoJuan Carlos Gomez Mendez
 
Clases teoricas-informe-coso-diapositivas-
Clases teoricas-informe-coso-diapositivas-Clases teoricas-informe-coso-diapositivas-
Clases teoricas-informe-coso-diapositivas-Marino De La Cruz Sullcaray
 
Ejemplo
EjemploEjemplo
EjemploOmar Hernandez
 
50648878 coso-erm
50648878 coso-erm50648878 coso-erm
50648878 coso-ermRoger Flores
 
El control interno - Informe COSO
El control interno - Informe COSOEl control interno - Informe COSO
El control interno - Informe COSOMarlon Alvarado Hoffmeister
 
Coso
CosoCoso
Cosopatoloco1
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirJesus Alvarez
 
Coso erm
Coso ermCoso erm
Coso ermAnnabel Cevallos
 
Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]Adris Zuleta
 
Coso
CosoCoso
Cosoguestfa372b
 
Coso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integralCoso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integralAriannyyumar
 
Mejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgoMejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgoHeydi Leon Jimenez
 
Diapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlDiapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlLauraMedina56
 
Control Interno
Control InternoControl Interno
Control InternoDoris Suquilanda
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-esjavieralejandrobarro
 
Metodologia de BSC.pdf
Metodologia de BSC.pdfMetodologia de BSC.pdf
Metodologia de BSC.pdfJoaquinResendiz2
 
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...JoseCordova346703
 
OCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdfOCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdfNoeGonzalez264192
 

Más contenido relacionado

La actualidad más candente

Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)seveman
 
Control interno basado en informe COSO
Control interno basado en informe COSOControl interno basado en informe COSO
Control interno basado en informe COSOControl Interno
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirJesus Alvarez
 
Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]Adris Zuleta
 
Coso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integralCoso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integralAriannyyumar
 
Mejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgoMejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgoHeydi Leon Jimenez
 
Diapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlDiapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlLauraMedina56
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-esjavieralejandrobarro
 

La actualidad más candente (19)

AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROL
 
CONTROL INTERNO (COSO)
CONTROL INTERNO (COSO)CONTROL INTERNO (COSO)
CONTROL INTERNO (COSO)
 
Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)Coso v cobit v itil(spanish)
Coso v cobit v itil(spanish)
 
Control interno basado en informe COSO
Control interno basado en informe COSOControl interno basado en informe COSO
Control interno basado en informe COSO
 
El informe coso
El informe cosoEl informe coso
El informe coso
 
Clases teoricas-informe-coso-diapositivas-
Clases teoricas-informe-coso-diapositivas-Clases teoricas-informe-coso-diapositivas-
Clases teoricas-informe-coso-diapositivas-
 
Ejemplo
EjemploEjemplo
Ejemplo
 
50648878 coso-erm
50648878 coso-erm50648878 coso-erm
50648878 coso-erm
 
El control interno - Informe COSO
El control interno - Informe COSOEl control interno - Informe COSO
El control interno - Informe COSO
 
Coso
CosoCoso
Coso
 
Coso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimirCoso v-cobit-v-itil[1].pdf imprimir
Coso v-cobit-v-itil[1].pdf imprimir
 
Coso erm
Coso ermCoso erm
Coso erm
 
Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]Coso erm espe estudiantes[1]
Coso erm espe estudiantes[1]
 
Coso
CosoCoso
Coso
 
Coso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integralCoso resumen-ejecutivo.original coso1 marco integral
Coso resumen-ejecutivo.original coso1 marco integral
 
Mejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgoMejores practicasenlagestionintegralderiesgo
Mejores practicasenlagestionintegralderiesgo
 
Diapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlDiapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de control
 
Control Interno
Control InternoControl Interno
Control Interno
 
Presentacion control interno_coso-es
Presentacion control interno_coso-esPresentacion control interno_coso-es
Presentacion control interno_coso-es
 

Similar a Standard iso38500

Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...JoseCordova346703
 
marco legal del ambiente control interno.pptx
marco legal del ambiente control interno.pptxmarco legal del ambiente control interno.pptx
marco legal del ambiente control interno.pptxElvinEliel
 
marco legal del ambiente control interno.ppt
marco legal del ambiente control interno.pptmarco legal del ambiente control interno.ppt
marco legal del ambiente control interno.pptElvinEliel
 
Coso i y_coso_ii_1_1 (1)
Coso i y_coso_ii_1_1 (1)Coso i y_coso_ii_1_1 (1)
Coso i y_coso_ii_1_1 (1)Jeremmi Alvarez
 
TRABAJO GRUPAL VERSIÓN FINAL.pptx
TRABAJO GRUPAL VERSIÓN FINAL.pptxTRABAJO GRUPAL VERSIÓN FINAL.pptx
TRABAJO GRUPAL VERSIÓN FINAL.pptxabheatherzambranoch
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Control Interno
 
Control interno
Control internoControl interno
Control internoSaul T Q
 
Modelos de control
Modelos de controlModelos de control
Modelos de controlTATIGOBRU81
 
CONTROL INTERNO, INFORME COSO 2013
CONTROL INTERNO, INFORME COSO 2013CONTROL INTERNO, INFORME COSO 2013
CONTROL INTERNO, INFORME COSO 2013Miguel Angel Rivas
 
El Control Interno Enfocado Al Riesgo
El Control Interno Enfocado Al RiesgoEl Control Interno Enfocado Al Riesgo
El Control Interno Enfocado Al RiesgoJuan Isidro Moreta
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Genny Paola Rojas
 
analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]LauraMedina56
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe CosoUro Cacho
 

Similar a Standard iso38500 (20)

Metodologia de BSC.pdf
Metodologia de BSC.pdfMetodologia de BSC.pdf
Metodologia de BSC.pdf
 
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
Unidad 3_Componentes Principios y Puntos de Enfoque Establecidos por Coso I ,...
 
OCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdfOCE - Informe COSO 2022.pdf
OCE - Informe COSO 2022.pdf
 
marco legal del ambiente control interno.pptx
marco legal del ambiente control interno.pptxmarco legal del ambiente control interno.pptx
marco legal del ambiente control interno.pptx
 
marco legal del ambiente control interno.ppt
marco legal del ambiente control interno.pptmarco legal del ambiente control interno.ppt
marco legal del ambiente control interno.ppt
 
Modelo coso
Modelo coso Modelo coso
Modelo coso
 
Coso i y_coso_ii_1_1 (1)
Coso i y_coso_ii_1_1 (1)Coso i y_coso_ii_1_1 (1)
Coso i y_coso_ii_1_1 (1)
 
TRABAJO GRUPAL VERSIÓN FINAL.pptx
TRABAJO GRUPAL VERSIÓN FINAL.pptxTRABAJO GRUPAL VERSIÓN FINAL.pptx
TRABAJO GRUPAL VERSIÓN FINAL.pptx
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
 
Tendencias de control interno
Tendencias de control internoTendencias de control interno
Tendencias de control interno
 
COSO.pptx
COSO.pptxCOSO.pptx
COSO.pptx
 
Control interno
Control internoControl interno
Control interno
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Modelos de control
Modelos de controlModelos de control
Modelos de control
 
CONTROL INTERNO, INFORME COSO 2013
CONTROL INTERNO, INFORME COSO 2013CONTROL INTERNO, INFORME COSO 2013
CONTROL INTERNO, INFORME COSO 2013
 
El Control Interno Enfocado Al Riesgo
El Control Interno Enfocado Al RiesgoEl Control Interno Enfocado Al Riesgo
El Control Interno Enfocado Al Riesgo
 
Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)Analisis y evaluacion de ctrl int. (coso)
Analisis y evaluacion de ctrl int. (coso)
 
analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1] analisis y evaluacion de ctrl int. (coso)[1]
analisis y evaluacion de ctrl int. (coso)[1]
 
Control Interno, Informe Coso
Control Interno, Informe CosoControl Interno, Informe Coso
Control Interno, Informe Coso
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 

Último

COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIACOMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIARafaelPaco2
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
CICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaCICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaSHERELYNSAMANTHAPALO1
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfReneBellido1
 
Uso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendiosUso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendioseduardochavezg1
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptxJhordanGonzalo
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfssuserc34f44
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilDissneredwinPaivahua
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxEtse9
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesal21510263
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasSegundo Silva Maguiña
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEANDECE
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPJosLuisFrancoCaldern
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALKATHIAMILAGRITOSSANC
 
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIACLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIAMayraOchoa35
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdf
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdfManual de Usuario Estacion total Sokkia SERIE SET10K.pdf
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdfSandXmovex
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasSegundo Silva Maguiña
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 

Último (20)

COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIACOMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
CICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaCICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresa
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
 
Uso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendiosUso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendios
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
 
CLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civilCLASE - 01 de construcción 1 ingeniería civil
CLASE - 01 de construcción 1 ingeniería civil
 
produccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptxproduccion de cerdos. 2024 abril 20..pptx
produccion de cerdos. 2024 abril 20..pptx
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operaciones
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para Plataformas
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSE
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
 
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIACLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdf
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdfManual de Usuario Estacion total Sokkia SERIE SET10K.pdf
Manual de Usuario Estacion total Sokkia SERIE SET10K.pdf
 
Topografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la IngenieríasTopografía 1 Nivelación y Carretera en la Ingenierías
Topografía 1 Nivelación y Carretera en la Ingenierías
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 

Standard iso38500

  • 1. GOBIERNO CORPORATIVO TIC AUREN Francisco Rover 4 Entresuelo 07003 Palma Mallorca Avda. General Perón, 38 3ª 28020 Madrid Objetivos y Metodología para su implantación
  • 2. GOBIERNO CORPORATIVO TIC ÍNDICE 1. Introducción 2. Coso – Internal Control Integrated Framework 3. Balance Scorecard – Cumplimiento Legal 4. ISO 38500 - COBIT / ValIT 5. ISO 27000 – ISO 20000 (ITIL V3) - ISO 24762 6. Metodología. 6. Desarrollo del proyecto. 7. Fases de desarrollo del proyecto
  • 3. José Manuel Ballester Fernández mballester@temanova.commballester@temanova.commballester@temanova.commballester@temanova.com ALGUNA INFORMACIÓN PERSONAL ▶ Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT » Consejero Delegado TEMANOVA » Socio ALINTEC » Director Estratégia Fundación DINTEL » Director Postgrado Buen Gobierno Universidad Deusto » Director Cátedra Buen Gobierno Universidad Deusto ▶ Miembro de ISACA, AUTELSI, AETIC, AEDI, AENOR ▶ Former President de ASIA / ISACA Madrid Chapter ▶ CobiT® Foundation Certificate ▶ Certified Information Systems Auditor (CISA) ▶ Certified Information Security Manager (CISM) ▶ Certified Governance Enterprise IT (CGEIT) ▶ Accredited CobiT® Trainer
  • 4. Texto menú 2 Introducción Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones que las organizaciones desarrollan. El gobierno corporativo reconoce a los Stakeholders o terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier sistema. Complejidad social
  • 5. Las organizaciones requieren una aproximación estructurada para abordar éstos y otros desafíos. Administrar los servicios de TI Seguridad Valor/Costo Manejar la complejidadAlineamiento de TI con el Negocio Cumplir con requerimientos regulativos
  • 6. Texto menú 2 Introducción Gobierno Corporativo TIC es • Un conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración ejecutiva con el fin de proveer dirección estratégica, • garantizando que los objetivos sean alcanzados, • estableciendo que los riesgos son administrados apropiadamente y • verificando que los recursos de la empresa son usados responsablemente. MEDICIÓNDEL DESEMPEÑO ADMINISTRACIÓN DE LOS RECURSOS ADMINISTRACIÓNDELRIESGO AGREGAR VALOR ALINEACIÓN ESTRATÉGICA www.itgi.orgwww.itgi.org
  • 7. Texto menú 2 Introducción Niveles de Gobernanza La provisión de la estructura que permita determinar los objetivos de la Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos. OCDE (2004) Gobernanza corporativa (COSO) La especificación del marco de derechos a la toma de decisiones y la alta responsabilidad para favorecer un comportamiento deseable en el uso de las TIC. MIT/Sloan School of Management (2004) No obstante, la Gobernanza no tiene que ver con qué decisiones son tomadas - eso es Gestión -; sino que tiene que ver con quién toma las decisiones y con cómo se toman. El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables ISACA/CISM BoK (2002) Gobernanza de la Seguridad de la Información y Tecnologías afines Gobernanza Corporativa Gobernanza de TIC Gobernanza de SI Niveles de gobernanza Gobernanza de la TIC ISO 38500 – COBIT / Val IT
  • 8. Texto menú 2 Introducción ISO38500 COBIT / Val IT ISO24762 ISO 27000 ISO 20000 ITIL COSO – Cumplimiento Legal QUE COMO CAMPO DE COBERTURA En la actualidad existe diferentes metodologías orientadas al control de las organizaciones, cada una de ellas abarca diferentes ámbitos, de forma que se complementan. Marcos de Control
  • 9. Texto menú 2 Introducción Niveles de gobernanza Continuidad de Negocio Procesos y Procedimientos Principios de Seguridad ITIL “Gobierno de TI” ISO38500 COBIT / Val IT DESEMPEÑO: Metas del negocio CONFORMIDAD Basilea II, Sarbanes- Oxley Act,LOPD, etc Directrices ISO 24762 ISO 27000 ISO 20000Estándares de mejores prácticas “Gobierno Corporativo” COSO Balanced Scorecard
  • 10. Coso – Internal Control Integrated Framework En 1992, COSO publicó el Sistema Integrado de Control Interno, un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. Mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno. Unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno. OBJETIVOS DE COSOControl Interno
  • 11. Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta a los riesgos. Reducir las sorpresas y pérdidas operativas Identificar y gestionar la diversidad de riesgos para toda la entidad Aprovechar las oportunidades Mejorar la dotación de capital El Gobierno Corporativos incluye las siguientes capacidades: Coso – Internal Control Integrated Framework Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas.
  • 12. Definición de la Gobierno Corporativo Coso – Internal Control Integrated Framework El marco de Gobierno Corporativo está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías: El Gobierno Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. Estrategia: objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo Operaciones: objetivos vinculados al uso eficaz y eficiente de los recursos Información: objetivos de fiabilidad de la información suministrada. Cumplimiento: objetivos relativos al cumplimiento de leyes y normas aplicables.
  • 13. Componentes del Gobierno Corporativo EL Gobierno Corporativo consta de ocho componentes relacionados entre sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están integrados en el proceso de gestión. Ambiente interno: establece la base de cómo el personal de la entidad percibe y trata los riesgos. Establecimiento de objetivos: los objetivos deben de existir antes de que la dirección pueda identificar potenciales eventos que puedan afectar a su consecución. Identificación de eventos: tanto internos como externos que afectan a los objetivos de la entidad. Evaluación de riesgos: se analizan considerando su probabilidad e impacto como base para determinar como deben de ser gestionados. Respuesta al riesgo: las posibles respuestas – evitar, aceptar, reducir o compartir – los riesgos. Actividades de control: las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las respuestas a los riesgos son eficaces. Información y comunicación: la información relevante se identifica, capta y comunica para que el personal pueda afrontar sus responsabilidades. Supervisión: la supervisión se lleva a cabo mediante actividades de la dirección o evaluaciones independientes.
  • 14. Componentes de la gestión de Buen Gobierno Corporativo
  • 15. Funciones y responsabilidades La Alta Gerencia es la responsable última del sistema de control. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus respectivas áreas. El Consejo de Administración fija las pautas y la visión global del negocio. El Consejo debe tener un papel activo en el conocimiento de las acciones que se ejecutan. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras, legales y de auditoría interna. La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Para ello debe contar con una ubicación jerárquica adecuada. Los empleados en general tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno, cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. Ellos deben comunicar al nivel superior las desviaciones que detecten a los códigos de conducta, a las políticas establecidas o la legalidad de las acciones realizadas. Coso – Internal Control Integrated Framework
  • 16. Determinación de los Objetivos. Objetivos globales (tales como la Misión). Objetivos específicos de las diversas actividades (por ej. Producción), estos sub- objetivos medibles a través de metas deben ser coherentes. Coso – Internal Control Integrated Framework Los objetivos deben ser: Definidos de modo de identificar los criterios para medir el rendimiento y establecer factores críticos de éxito (que pueden ser a nivel de actividad o unidad operacional). Coherentes y compatibles. Como ejemplo se puede considerar: efectuar pagos sólo para compras autorizadas, que los sistemas informáticos se encuentren disponibles según los requerimientos del negocio, etc. Evaluación de riesgos
  • 17. Debe asegurase que se obtenga información de calidad y no meros datos. La información debe ser protegida ya que se trata de un activo valioso. Las vías de comunicación interna deben asegurar que el personal conozca los elementos suficientes para cumplir con su tarea. Información y comunicación Las actividades de supervisión continua y evaluaciones puntuales. Las deficiencias detectadas deben ser oportunamente comunicadas. Supervisión
  • 18. Marcos Regulatorios del Buen Gobierno • Legislación extranjera de implantación en "branch offices". • Decisiones del Consejo Europeo (emergentes). – Pretender preparar un marco para el desarrollo nacional. • Agencias Gubernamentales: – AGPD. – Ministerio de Industria. – Ministerio del Interior. • Foros sectoriales: – Asociaciones Profesionales. – Basilea II
  • 19. Utilidad del Cuadro de Mando Integral • BalancedScoredCard: – Lenguaje común entre entornos diferentes. – Establecimiento de un mapa estratégico con "dónde queremos estar". – Estudio del impacto de determinadas acciones: • Seleccionar acciones. • Estudiar el impacto en el BSC. • Elaborar una regla.
  • 20. 20 • ISO/IEC 38500. Corporate Governance of IT URL:: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
  • 21. ISO 38500 OBJETIVOS DE LA NORMA Objetivo de la norma: El uso de las tecnologías de la información de manera efectiva, optima y eficiente en las organizaciones, con la finalidad de: Generar confianza en los stakeholders (empleados, clientes, proveedores, socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organización. Informar y guiar a la alta dirección en el gobierno TIC en su organización. Proveer de bases para la evaluación objetiva del Gobierno Corporativo TIC ISO/IEC 38500:2008
  • 22. Adecuada aplicación y operación de activos de TIC. Asignación de responsabilidades. Continuidad del negocio Sostenibilidad. Alineación de TIC con los objetivos del negocio. Asignación eficiente de recursos. Innovación en los servicios, los mercados y las empresas. Mejora de imagen y reputación en el mercado frente a los reguladores, agentes sociales y con los stakeholders. Optimización en los costes de una organización Inversión efectiva en TIC. Cumplimiento legal. BENEFICIOS DE LA IMPLANTACIÓN DEL ESTÁNDAR: ISO/IEC 38500:2008 Con estas capacidades se ayuda a la dirección a alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Con el Gobierno Corporativo permite asegurar una información eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la reputación de la entidad y sus consecuencias derivadas.
  • 24. MODELO ISO/IEC 38500:2008 La Norma establece los principios para el buen gobierno corporativo de TIC: Responsabilidad Estrategia Inversión Rendición de Resultados Cumplimiento Recursos Humanos En cada uno de los principios de la Norma es necesario realizar estas tres tareas principales: EVALUAR el uso actual y futuro de las TIC. DIRIGIR la preparación y ejecución de planes y políticas para garantizar que el uso de TIC cumple los objetivos empresariales. MONITORIZAR la conformidad con las políticas, y los resultados de los planes.
  • 25. 25 • ISO/IEC 38500. Corporate Governance of IT ◊ Independencia de las herramientas ◊ Definición clara del concepto y sus límites ◊ Identificación de los destinatarios del mensaje ◊ Sencillez del propio mensaje a través de la proclamación de unos principios
  • 26. 26 • ISO/IEC 38500. Principios ◊ Claro establecimiento de responsabilidades sobre las TIC ◊ Planificación de las TIC para un mejor soporte de la organización ◊ Adquisición de TIC de forma válida ◊ Garantía de unas TIC que funcionan bien y cuando son requeridas ◊ Garantía de unas TIC que cumplen (y ayudan a cumplir) con la normativa formalmente establecida ◊ Garantía de unas TIC cuyo uso respeta los factores humanos
  • 27. 27 • ISO/IEC 38500. Cuestiones comprensibles ◊ ¿Los individuos de su organización entienden y aceptan su responsabilidad sobre las TIC? ◊ ¿Sus planes tecnológicos soportan los planes corporativos de su organización y cubren las necesidades presentes y futuras de la misma? ◊ ¿Las adquisiciones de TIC se realizan por razones aprobadas y de la forma aprobada? ◊ ¿Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad de su organización? ◊ ¿Su marco TIC es conforme a regulaciones externas y/o internas? ◊ ¿Su entorno TIC cumple con las necesidades de la “gente involucrada en el proceso”?
  • 28. Control Objetives for Information and Related Tecnology ISO38500 COBIT Consejos de Administración y Altos Ejecutivos Gerencias de Línea y de TI Profesionales de la Gobernanza, la Evaluación de Garantía, el Control y la Seguridad • Indicadores Clave de Rendimiento • Indicadores Clave de Objetivo • Modelos de Madurez Resumen Ejecutivo Directrices de Gestión ¿Qué es el Marco de Referencia para la Gobernanza de TI? ¿Cómo evaluarlo? ¿Como presentarlo e implantarlo? Objetivos de Control ¿Cúales son sus Responsabilidades? Marco de Referencia Guía de Evaluación de Garantía de TI Guía de Implantación de Gobernanza de TI Prácticas de Control
  • 29. MARCO DE REFERENCIA La principal cualidad de CobiT es su orientación hacia los OBJETIVOS de la ACTIVIDAD de la Organización y cómo TIC apoya su logro ISO38500 COBIT
  • 30. MARCO DE REFERENCIA EL CUBO DE COBIT R EC U R SO S de TI EFIC A C IA EFIC A C IA EFIC IEN C IA EFIC IEN C IA C O N FO R M ID A D C O N FO R M ID A D FIA B ILID AD FIA B ILID AD C O N FID EN C IA LID AD C O N FID EN C IA LID AD D ISPO N IB ILID AD D ISPO N IB ILID AD IN TEG R ID A D IN TEG R ID A D DOMINIOSDOMINIOS PROCESOSPROCESOS ACTIVIDADESACTIVIDADES PERSONASPERSONAS APLICACIONESAPLICACIONES INFRAESTRUCTURAINFRAESTRUCTURA INFORMACIINFORMACIÓÓNN Conjuntoestrucutradode PROCESOSdeTI REQUISITOS de la ORGANIZACIÓN para la INFORMACIÓN ISO38500 COBIT
  • 31. OBJETIVOS DE CONTROL El conjunto estructurado de 34 PROCESOS [objetivos de control de alto nivel] se agrupa de forma natural en 4 DOMINIOS. ▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI ▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI ▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI ▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI ISO38500 COBIT
  • 32. OBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO Eficiencia Personas Aplicaciones Infraestructura Información ENTREGAR Y SOPORTAR MONITORIZAR Y EVALUAR ADQUIRIR E IMPLANTAR INFORMACION RECURSOS DE TI MARCO DE REFERENCIA C O B I T Eficacia Confidencialidad Integridad Disponibilidad Conformidad Trata la entrega o la prestación de los servicios requeridos - desde las operaciones tradicionales, hasta la formación; pasando por la seguridad en los sistemas y las continuidad de las operaciones -. Deberán establecerse los procesos necesarios para la provisión de los servicios. Todos los procesos han de evaluarse periódicamente para verificar su calidad y suficiencia en cuanto a los requisitos de control. Advierte a la Dirección sobre la necesidad de garantizar procesos de control independientes (auditorías). Cubre las estrategias y las tácticas para identificar la forma en la que la TI puede contribuir de la mejor manera al logro de los objetivos de la Organización. La consecución de la visión estratégica debe planearse, comunicarse y gestionarse desde diferentes perspectivas. Es necesario establecer una organización e infraestructura tecnológica apropiada. Para llevar a cabo la estrategia de TI, éstas deben identificarse, construirse o adquirirse, implantándose e integrándose en el proceso de la Organización. Contempla, asimismo, los cambios y mantenimiento de sistemas existentes, para garantizar su continuidad. PLANIFICAR Y ORGANIZAR Fiabilidad OBJETIVOS DE CONTROL ISO38500 COBIT
  • 33. OBJETIVOS DE CONTROLOBJETIVOS DE LA ENTIDAD OBJETIVOS DE GOBIERNO CORPORATIVO Eficiencia Personas Aplicaciones Infraestructura Información ENTREGAR Y SOPORTAR MONITORIZAR Y EVALUAR ADQUIRIR E IMPLANTAR INFORMACION RECURSOS DE TI MARCO DE REFERENCIA C O B I T Eficacia Confidencialidad Integridad Disponibilidad Conformidad DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones. ME1 Monitorear y Evaluar el desempeño de TI. ME2 Monitorear y Evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proveer Gobierno de TI. PO1 Definir un plan estratégico de TI. PO2 Definir la arquitectura de información. PO3 Determinar la dirección tecnológica. PO4 Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos. AI1 Identificar soluciones de automatización. AI2 Adquirir y mantener software de aplicación. AI3 Adquirir y mantener la infraestructura tecnológica. AI4 Permitir la operación y uso. AI5 Obtener recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios. PLANIFICAR Y ORGANIZAR Fiabilidad ISO38500 COBIT
  • 34. DIRECTRICES DE GESTIÓN Entradas y Salidas del Proceso Actividades y Matriz RACI Objetivos (metas) de TI Objetivos (metas) de los procesos Objetivos (metas) de las actividades KGI - Indicadores clave de objetivos KPI - Indicadores clave de rendimiento ISO38500 COBIT
  • 35. ISO 38500 – COBIT DIRECTRICES DE GESTIÓN. MODELOS DE MADUREZ
  • 36.
  • 37.
  • 38.
  • 39. Val IT™ y CobiT®, complementarios; dos planos distintos Val IT ofrece un marco complementario al de CobiT; pero con un enfoque estratégico y de gobernanza, al más alto nivel.
  • 40. Procesos y prácticas clave de Gobernanza de Valor Val IT consta de tres (3) PROCESOS, soportados en un total de cuarenta (40) PRÁCTICAS clave de gobernanza
  • 41. ISO 20000 - ITIL V3 Gestión y Calidad del Servicio TIC
  • 42. ISO27000 Gestión y Seguridad TIC ISO/IEC 17799:2005, Code of Practice for Information Security Management Año: 2005 (primera edición, 2000) Editor: International Organization for Standardization (ISO) URL: http://www.iso.ch 11 Áreas de Control – Política de Seguridad – Organización de la Seguridad de la Información – Gestión de Activos – Seguridad en los Recursos Humanos – Seguridad física y del entorno – Gestión de comunicaciones y operaciones – Control de accesos – Adquisición, desarrollo y mantenimiento de sistemas de información – Gestión de incidentes de seguridad – Gestión de continuidad del negocio – Conformidad
  • 44. Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC Requisitos de la Organización requieren Requisitos de Gobierno Corp. Servicios de Información Criterios de Información influencian implican aportan necesitan ejecutan Procesos TIC Información Aplicaciones Infraestructura y Gente Estrategia Empresarial Objetivos de la Entidad Arquitectura Empresarial para TIC Metas de TIC Cuadro de Mando Integral TIC Objetivos de la Entidad Arquitectura Empresarial TIC RECURSOS DE TI
  • 45. – KPI (Key Performance Indicator / Indicador Clave de Rendimiento): Indican cómo se está desarrollando el proceso, cuál está siendo su comportamiento. Predicen la probabilidad es éxito o fracaso en el futuro. Son indicadores “guía”. Ayudarán a mejorar el proceso de Seguridad de la Información cuando sean medidos y se actúe sobre ellos. – KGI (Key Goal Indicator / Indicador Clave de Meta u Objetivo): Indican, después del hecho, si un determinado objetivo se ha alcanzado. Objetivos e indicadores KGI Número de incidentes que han afectado a la imagen pública Hacer el trabajo Objetivo Mantener la reputación y el liderazgo empresarial KPI Número de accesos no autorizados en el último mes Actuar ¿Lo alcanzaremos? ¿Lo hemos alcanzamos?
  • 46. – El Cuadro de Mando Integral (BSC, Balanced ScoreCard) presenta el rendimiento desde cuatro perspectivas. – Los KGI hacen referencia a las vertientes financiera y del cliente, dentro del BSC. – Los KPI se enfocan hacia el proceso y la dimensión del aprendizaje. Cuadro de Mando Integral TIC Financiera Qué objetivos financieros se deben alcanzar Cliente Qué necesidades del cliente deben ser servidas Aprendizaje Cómo debe aprender e innovar la Organización Interna En qué procesos internos debe distinguirse la Organización
  • 47. Cuadro de Mando Integral. Un ejemplo Perspectiva del cliente Implantar la nueva infraestructura de red Perspectiva Financiera Perspectiva InternaObjetivos de negocio / Preocupaciones de TI KGI KGI KPIKGI Objetivo de TI Mayor dirección al neg. KGI KPI Aprender e innovar Reducir el número de interrupciones causadas por errores de gestión de cambios. Reducir el número de soluciones de emergencia. Reducir el trabajo adicional causado por especificaciones de cambio inadecuadas. Reducir el tiempo y esfuerzo requeridos para hacer cambios. Formación completada en cuatro (4) meses. KGI KPI KPI
  • 48. PROCESO DE AUDITORÍA ADQUIRIR EVALUAR VALORAR JUSTIFICAR Las directrices de auditoría de COBIT Orientan en la preparación de programas de auditoría, a través de una estructura comúnmente aceptada del PROCESO de AUDITORÍA … … basada en: [ADQUIRIR] conocimiento, a través de: - entrevistando … - obteniendo … [EVALUAR] la conveniencia de los controles establecidos: - considerando … [VALORAR] la suficiencia: - probando que … [JUSTIFICAR] el riesgo de que los objetivos de control no se alcancen: - ejecutando … - identificando …
  • 49. Camino hacia la implantación Una secuencia de actividades para construir un Gobierno TIC sostenible en la Organización Nada Nada Concienciación Concienciación Análisis de Necesidades Análisis de Necesidades Análisis de Brechas Análisis de Brechas Proyectos de Mejoramiento Proyectos de Mejoramiento Evaluación Evaluación Desarrollar organización de Gobierno de TI Desarrollar organización de Gobierno de TI Actividad Normal del Negocio Actividad Normal del Negocio Un mapa de ruta genérico ayuda a las organizaciones a diseñar los esfuerzos de implementación del Gobierno TIC ……
  • 50. Camino hacia la implantación (y II) Una secuencia de actividades para construir un Gobierno TIC sostenible en la Organización Qué debe Entregar TIC? Qué debe Entregar TIC? Existen problemas? Existen problemas? Qué es critico? Qué es critico? Qué se está olvidando? Qué se está olvidando? Qué lograr? Qué lograr? Ya lo hemos arreglado? Ya lo hemos arreglado? Cómo podemos mantener el control? Cómo podemos mantener el control? Éxito Éxito Un mapa de ruta genérico ayuda a las organizaciones a diseñar los esfuerzos de implementación del Gobierno TIC ……
  • 51. Hoja de Ruta de Implantación Gobernanza TIC IMPLEMENTAR LA SOLUCIÓN PLANEAR LA SOLUCIÓN PREVER LA SOLUCIÓN IDENTIFICAR NECESIDADES Fomentar la conciencia y obtener compromiso Analizar metas del negocio & TI Seleccionar procesos y controles Definir el desempeño actual Definir objetivos de mejora Analizar inconsistencias e identificar mejoras Definir proyectos Desarrollar un plan de mejora Implementar las mejoras Integrar medidas en el ITBSC Revisión Post implementación Analizar riesgos CONSTRUIR SOSTENIBILIDAD Definir el Alcance Desarrollar Estructura & Procesos del Gobierno de TI
  • 52. Procesos de Negocio – Asignación de Responsables
  • 53. Relación Procesos de Negocio – Objetivos de Negocio – Objetivos de TI
  • 54. Relación Objetivos de TI – Recursos y Atributos de TI
  • 55. Evaluación de Objetivos de TI por Criterios de Información y Recursos de TI
  • 56. Mapa de Calor (Heat Map) de Procesos de TI -> Procesos de COBIT seleccionados
  • 57. Análisis de Riesgos de procesos TI
  • 58. Mapa de Riesgos de Procesos de TI
  • 59. Evaluación de procesos por Madurez (Gap Análisis)
  • 60. Evaluación y Análisis de Recomendaciones
  • 61. Proyectos basadas en la Recomendaciones
  • 62. Prioridades y selección de proyectos (Quick Win)
  • 63. Balance Scorecard TI (Indicadores y Métricas)
  • 64. FASES DE DESARROLLO FASE 1. DEFINICIÓN Y PLANIFICACIÓN DEL PROYECTO. FASE 2. CONOCIMIENTO DEL ENTORNO: Análisis de los objetivos del negocio. Análisis del control interno. Análisis de la estructura organizativa y de los procesos de negocio. Análisis de cumplimiento legal. Implantación de las Herramientas de Buen Gobierno Análisis de riesgos. Análisis de impacto en el negocio (BIA). Análisis de políticas y procedimientos. FASE 3: DEFINICIÓN: Gestión del riesgo. Políticas y procedimientos. Gestión de continuidad del negocio. Plan de proyectos. Plan de formación. Plan de comunicación a los Órganos rectores de la compañía. Desarrollo del proyecto
  • 65. FASES DE DESARROLLO FASE 4. IMPLANTACIÓN: Implantación del plan de tratamiento del riesgo y de las medidas elegidas. Formación y concienciación al personal. Cuadro de mando (BSC) Implantación de métricas y registros. Implantación de oficina de control interno. FASE 5: REVISIÓN Auditoría del sistema. Apoyo a la certificación. Desarrollo del proyecto
  • 66. METODOLOGÍA EMPLEADA COSO Committee of Sponsoring Organizations. UNE – ISO/IEC 27001:2005: certificación de los SGSI ISO/IEC 27002 : código de buenas prácticas de seguridad. UNE –ISO/IEC 20000 Tecnología de la información. Gestión del servicio. ITIL V3 ISO38500 - COBIT / Val IT publicado por IT GOBERNANCE INSTITUTE: Objetivos de control de información y tecnologías relacionadas. ISO24762 - BUSSINES CONTINUITY MANAGEMENT GOOD PRACTICE GUIDELINES (2006) publicado por THE BUSINESS CONTINUITY INSTITUTE: guía de buenas prácticas de planes de continuidad del negocio. COSO-ERM , MAGERIT, NIST, UNE 71504 : metodologías de análisis de riesgos. Metodología proponemos una metodología para abarcar cada uno de los requisitos del proyecto