SlideShare una empresa de Scribd logo
21/4/2017
1
Gestión de Aseguramiento Corporativo
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by
Deloitte., con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y
cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la
Información.
Miembro del Comité Académico E-GISART 2016 de ISACA Buenos Aires Chapter, Miembro del Comité
Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura
Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas),
Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers),
Miembro del Comité Organizador CYBER 2015 de ISACA Buenos Aires Chapter, certificado en Dirección de
Seguridad de la Información (Universidad CAECE), IRCA ISMS Auditor | Lead Auditor ISO/IEC 27001,
instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu) para TÜV Rheinland.
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance
en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-
Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias
Informáticas, ISACA Buenos Aires Chapter, ISACA MontevideoChapter.
Profesor del módulo 27001 del curso de “TI Governance, Uso eficiente de Frameworks”, y de la
“Diplomatura en Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA) y
Profesor en Sistemas de Gestión TI y Seguridad de la Información para entidades certificadoras.
Perfil del disertante
Agenda
Fase 1 Fase 2 Fase 3
• COBIT 5, sus principios y
terminología
• Necesidades actuales de los
negocios relativas a las TI
• Motivos principales para
desarrollar COBIT 5
• Beneficios de usar COBIT 5 para
el negocio
• Arquitectura de productos COBIT
5
• Los 5 principios de COBIT 5 para
el gobierno y gestión de las TI de
las empresas
• Prácticas de mejora de control a
dispositivos
• Como los problemas de gestión
de TI están afectando a las
organizaciones
• Cómo COBIT 5 facilita el
gobierno y gestión integrales de
las TI en toda la empresa
• Cómo los procesos de COBIT 5 y
el Modelo de Referencia de
Procesos (PRM, por sus siglas en
inglés) permiten realizar los 5
principios y los 7 mecanismos
facilitadores (‘catalizadores’) de
gobierno y gestión
• Servicios de TI a clientes internos
• Lo esencial del ciclo de vida de
implantación del gobierno y
gestión TI.
• Cómo identificar y evaluar las
funciones y responsabilidades en
el proceso de evaluación de la
capacidad del proceso
• Conceptos del Modelo de
Evaluación de la Capacidad de
Procesos (PAM, por sus siglas en
inglés)
• Atributos principales de COBIT 5
PAM
Fuente: COBIT® 5 y sus definiciones, ISACA®, y las figuras de COBIT 5 son propiedadde ISACA © 2012 ISACA®
21/4/2017
2
COBIT 5
Principios, terminologías y asociación con el
Gobierno, Riesgo y Cumplimiento
Nuestra información se relaciona en gran medida con nuestras operaciones
ejecutivas, interacciones con los clientes y con terceros.
Esta información se crea, usa, retiene, divulga y destruye, y se encuentra en
distintas formas y en numerosas aplicaciones.
La Tecnología juega un Papel Clave en esas actividades y se está convirtiendo en
parte integral de todos los aspectos de la vida personal y comercial
¿Cuáles son las funciones de la tecnologías en una empresa?
¿Cómo aprovechar la inversión en TIC?
21/4/2017
3
Las Tecnologías de la información poseen los siguientes recursos:
• Los tangibles que están representados por los diferentes componentes
de la infraestructura física de TI.
• Los recursos humanos asociados a TI que incluye el conocimiento de
las herramientas técnicas y de gestión de las Tecnologías de la
información.
• Los intangibles asociados a TI, que están representados por los activos
de conocimiento, orientación al cliente y sinergias presentes en cada
organización.
Las Tecnologías de la información son capacidades organizativas creadas
por la interacción de los citados recursos
COBIT 5COBIT4.0/4.1COBIT3COBIT2COBIT1
2005/7200019981996 2012
Val TI 2.0
(2008)
Risk TI
(2009)
Único Marco Empresarial Completo
• Mantener información de calidad para apoyar las decisiones del
negocio.
• Generar un valor comercial de las inversiones habilitadas por la
Tecnología de la Información (TI), o sea: lograr metas estratégicas
y mejoras al negocio mediante el uso eficaz e innovador de la TI.
• Lograr una excelencia operativa mediante la aplicación eficiente y
fiable de la tecnología.
• Mantener el riesgo relacionado con TI a niveles aceptables.
• Optimizar el costo de la tecnología y los servicios de TI.
¿Cómo se logran estos beneficios con el fin de crear valor para las
partes interesadas de la organización?
9
21/4/2017
4
• Para lograr valor para las partes interesadas de la Organización, se requiere
un buen gobierno y una buena administración de los activos de TI y de la
información.
• Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI
como cualquier otra parte importante del negocio.
• Cada día aumentan y se complican más los requisitos externos, tanto legales
como de cumplimiento regulatorio y contractual, relacionados con el uso de
la información y la tecnología en la Organización, amenazando el patrimonio
si no se cumplen.
• COBIT5 proporciona un marco integral que ayuda a las Organizaciones a
lograr su metas y entregar valor mediante un gobierno y una administración
efectivos de la TI de la Organización.
10
• COBIT 5 se basa en un modelo revisado de referencia de procesos con un
nuevo dominio de gobernanza y varios procesos nuevos y modificados
que ahora cubren las actividades empresariales de extremo a extremo, es
decir, las áreas de funciones de negocios y TI.
• COBIT 5 consolida COBIT 4.1, Val TI y Risk TI en un solo marco y ha sido
actualizado para alinearse con las mejores prácticas actuales.
• COBIT 5 se basa en las versiones anteriores de COBIT y por lo tanto las
empresas también pueden basarse en lo que han desarrollado utilizando
versiones anteriores.
• El nuevo modelo puede utilizarse como una guía para ajustar según sea
necesario el propio modelo de proceso de la empresa (al igual que COBIT
4.1).
• COBIT 5 presenta cinco nuevos procesos de gobernanza que han
aprovechado y mejorado los enfoques COBIT 4.1, Val TI y Risk TI. Esta
guía:
• Ayuda a las empresas a perfeccionar y fortalecer las prácticas y
actividades del gobierno de TI a nivel ejecutivo de gestión
• Soporta la integración del gobierno de TI con las prácticas existentes
de gobierno corporativo alineado con ISO / IEC 38500
Alinear, Planear, Organizar (APO)
01 Gestionar el marco de gestión de TI.
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio.
10 Gestionar los proveedores.
11 Gestionar la calidad.
12 Gestionar el riesgo.
13 Gestionar la seguridad.
Construir, Adquirir, Implantar (BAI)
01 Gestionar programas y proyectos.
02 Gestionar la definición de requisitos.
03 Gestionar la identificación y construcción de
soluciones.
04 Gestionar la disponibilidad y la capacidad.
05 Gestionar la introducción del cambio organizativo.
06 Gestionar los cambios.
07 Gestionar la aceptación del cambio y la transición.
08 Gestionar el conocimiento.
09 Gestionar los activos.
10 Gestionar la configuración.
Entrega, Servicio, Soporte (DSS)
01 Gestionar operaciones.
02 Gestionar peticiones e incidentes de servicio.
03 Gestionar problemas.
04 Gestionar la continuidad.
05 Gestionar servicios de seguridad.
06 Gestionar controles de procesos de negocio
Supervisar, Evaluar y Valorar (MEA)
01 Supervisar, evaluar y valorar el rendimiento y la
conformidad.
02 Supervisar, evaluar y valorar el sistema de control
interno.
03 Supervisar, evaluar y valorar la conformidad con
los requerimientos externos
21/4/2017
5
Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluar
y Valorar
EDM01 Asegurar
que se fija el Marco
de Gobierno y su
Mantenimiento
EDM02 Asegurar
la Entrega de Valor
EDM03 Asegurar
la Optimización de
los Riesgos
EDM04 Asegurar
la Optimización de
los Recursos
EDM05 Asegurar
la Transparencia a
las partes
interesadas
APO01 Administrar
el Marco de la
Administración de TI
APO02 Administrar
la Estrategia
APO04 Administrar
la Innovación
APO03 Administrar
la Arquitectura
Corporativa
APO05 Administrar
el Portafolio
APO06 Administrar
el Presupuesto y los
Costos
APO07 Administrar
el Recurso Humano
APO08 Administrar
las Relaciones
APO09 Administrar
los Contratos de
Servicios
APO11 Administrar
la Calidad
APO10 Administrar
los Proveedores
APO12 Administrar
los Riesgos
APO13 Administrar
la Seguridad
BAI01 Administrar
Programas y
Proyectos
BAI02 Administrar
la Definición de
Requerimientos
BAI04 Administrar la
Disponibilidad y
Capacidad
BAI03 Administrar
la Identificación y
Construcción de
Soluciones
BAI05 Administrar la
Habilitación del
Cambio
BAI06 Administrar
Cambios
BAI07 Administrar la
Aceptación de
Cambios y
Transiciones
BAI08 Administrar el
Conocimiento
BAI09 Administrar
los Activos
BAI10 Admnistrar la
Configuración
DSS01 Administrar
las Operaciones
DSS02 Administrar
las Solicitudes de
Servicios y los
Incidentes
DSS04 Administrar
la Continuidad
DSS03 Administrar
Problemas
DSS05 Administrar
los Servicios de
Seguridad
DSS06 Administrar
los Controles en los
Procesos de Negocio
MEA01 Monitorear,
Evaluar y Valorar el
Desempeño y
Cumplimiento
MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno
MEA03 Monitorear,
Evaluar y Valorar el
Cumplimiento con
Requisitos Externos
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI
Política de cumplimiento
Política de gestión de activos
APO10 Gestionar los proveedores Política de gestión de proveedores
DSS02 Gestionar las peticiones y los
incidentes del servicio
Política de respuesta a incidentes
APO12 Gestionar el riesgo Política de gestión de riesgos
DSS03 Gestionar los problemas Políticas para tratar las causas raíz
DSS04 Gestionar la continuidad Política de continuidad de negocio
DSS01 Gestionar las operaciones Política de gestión de operaciones y comunicaciones
Política de Seguridad física y ambiental
APO07 Gestionar los recursos humanos Política de seguridad de información personal
Política de reglas de comportamiento
Políticas de confidencialidad debidamente firmadas
DSS05 Gestionar los servicios de
seguridad
Política de prevención de software malicioso
Política de conectividad
Política de control de acceso
Política de seguridad para dispositivos de usuario final
Se identifican las políticas por medio de los procesos identificados como prioritarios
Ayuda a las empresas a crear valor óptimo de TI mediante el
mantenimiento de un equilibrio entre la obtención de
beneficios y la optimización de los niveles de riesgo y el uso de
los recursos
Permite que la información y la tecnología
relacionada sean gobernadas y
administradas de manera integral para el
conjunto de la empresa, de extremo a
extremo del negocio y áreas funcionales
de responsabilidad, teniendo en cuenta
los intereses relacionados con la TI de
grupos de interés internos y externos
Los principios y los facilitadores de COBIT 5 son de carácter
genérico y útil para las empresas de todos los tamaños, sin
importar su industria
21/4/2017
6
Entorno
Productivo
Registros y
Controles
GOBIERNO
DE TI
a) Evaluar el uso actual y futuro de TI.
b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de
las TI cumple con los objetivos de negocio.
c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.
• El producto principal COBIT 5, es de amplia cobertura
• Contiene el resumen ejecutivo y la descripción completa de
todos los componentes del marco de COBIT 5:
• Los 5 Principios de COBIT 5
• Los 7 Habilitadores de COBIT 5, más:
• Una introducción a la guía de implementación
proporcionada por ISACA (Implementación de COBIT 5)
• Una introducción al Programa de Evaluación de COBIT
(que no se refiere específicamente al COBIT 5) y el
enfoque de la capacidad de los procesos que ISACA
adopta para COBIT.
Principios
de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
2. Cubrir la
Organización de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar
un enfoque
holistico
5. Separar el
Gobierno de la
Administración
Un sistema y sus
propiedades se
analizan como un todo,
de una manera global e
integrada
Reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y
un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la
información y la inversión en tecnología y el uso para el beneficio de las partes interesadas
21/4/2017
7
Satisfacer las Necesidades de las Partes Interesadas
• Las Organizaciones tienen muchas partes
interesadas y “crear valor” significa cosas
diferentes – a veces conflictivas – para
cada una de ellas.
• En el Gobierno se trata de negociar y
decidir entre los diversos intereses de
beneficio de las diferentes partes
interesadas.
• El sistema de Gobierno deberá considerar
a todas las partes interesadas al tomar
decisiones con respecto a la evaluación
de riesgos, los beneficios y el manejo de
recursos.
• Para cada decisión se puede, y se deben, hacer las siguientes preguntas:
• ¿Quién recibe los beneficios?
• ¿Quién asume el riesgo?
• ¿Qué recursos se necesitan?
 Las necesidades de las Partes
Interesadas deben ser
transformadas en una estrategia
accionable para la Organización.
 Las metas en cascada de COBIT 5
traducen las necesidades de las
Partes Interesadas en metas
específicas, accionables y
personalizadas dentro del contexto
de la Organización, de las metas
relacionadas con la TI y de las
metas habilitadoras.
Los beneficios de las Metas en Cascada de COBIT 5:
• Permite definir las prioridades para implementar, mejorar y
asegurar el gobierno corporativo de la TI, en base de los
objetivos (estratégicos) de la Organización y los riesgos
relacionados:
• En la práctica, las metas en cascada:
• Definen los objetivos y las metas tangibles y relevantes,
en diferentes niveles de responsabilidad.
• Filtran la base de conocimiento de COBIT 5, en base de
las metas corporativas para extraer una orientación
relevante para la inclusión en los proyectos específicos
de implementación, mejora o aseguramiento.
• Claramente identifican y comunican qué importancia
tienen los habilitadores (algunas veces muy
operacionales) para lograr las metas corporativas.
21/4/2017
8
Una empresa ha definido una cantidad de metas corporativas para sí misma, entre las que la
satisfacción del cliente es la más importante. A partir de aquí, quiere conocer todos los aspectos
relativos a Ti que necesita mejorar.
La empresa decide que establecer la satisfacción del cliente como una prioridad clave equivale a
elevar la prioridad de las siguientes metas corporativas (de la figura 5):
• 6. Cultura de servicio orientada al cliente
• 7. Continuidad y disponibilidad del servicio del negocio
• 8. Respuestas ágiles a un entorno de negocios cambiante
La empresa ahora da el siguiente paso en la casada de metas: analizando qué metas relacionadas
con TI corresponden a estas metas corporativas. En el apéndice B se puede encontrar una
sugerencia de alineamiento entre ellas.
A partir de ahí, se sugieren como más importantes las siguientes metas relacionadas con TI (todas
con relaciones `P`):
• 01 Alineamiento de TI y la estrategia del negocio
• 04 Gestión de los Riesgos de negocio de acuerdo con las TI gestionados
• 07 Entrega de servicios de TI en línea con los requisitos del negocio
• 09 Agilidad de TI
• 10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones
• 14 Disponibilidad de información útil y relevante para la toma de decisiones
• 17 Conocimiento, experiencia e iniciativas para la innovación en el negocio
21/4/2017
9
Después de realizar un análisis de las necesidades de las partes interesadas, una empresa decide
que la sostenibilidades una estrategia prioritaria. A partir de ahí, la sostenibilidad no sólo incluye
objetivos medioambientales, sino todos los aspectos que contribuyen a la existencia a largo plazo
de la empresa.
Basándose en los resultados del análisis de necesidades de las partes interesadas, la empresa
decide enfocarse en los cinco objetivos siguientes, añadiendo algunas especificaciones de los
objetivos más en profundidad:
• 1. Valor para las partes interesadas de las inversiones del negocio, especialmente para los
grupos de interés de la sociedad
• 4. Cumplimiento de leyes y regulaciones externas, con foco en las leyes medioambientales
y leyes que traten sobre normativas laborales dentro de acuerdos de externalización
• 8. Respuesta ágil a un entorno de negocios cambiante
• 16. Personas preparadas y motivadas, reconociendo que el éxito de la empresa depende
de sus personas.
• 17. Cultura de innovación de producto y negocio, con foco en las innovaciones a largo
plazo.
• ¿Cómo consigo valor del uso de TI? ¿Están los usuarios finales satisfechos con la
calidad del servicio de TI?
• ¿Cómo gestiono el rendimiento de TI?
• ¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de
negocio?
• ¿Cómo construyo y estructuro mejor mi departamento de TI?
• ¿Cuánto dependo de los proveedores externos? ¿Estoy gestionando bien los
contratos de externalización de TI?
• ¿Cómo obtengo aseguramiento sobre los proveedores externos?
• ¿Cuáles son los requisitos (de control) para la información?
• ¿Considero todos los riesgos relativos a TI?
• ¿Estoy realizando una operación de TI eficiente y resiliente?
• ¿Cómo controlo el coste de TI? ¿Cómo utilizo los recursos de TI de la manera más
efectiva y eficiente?
• ¿Cuáles son las opciones de aprovisionamiento más efectivas y eficientes?
• ¿Tengo suficiente personal para TI? ¿Cómo puedo desarrollar y mantener sus
habilidades y cómo gestiono su rendimiento?
• ¿Cómo consigo aseguramiento sobre TI?
• ¿Está bien asegurada la información que se está procesando?
• ¿Cómo puedo mejorar la capacidad de respuesta del negocio mediante un entorno
de TI más flexible?
• ¿Fracasan los proyectos de TI en proporcionar lo que habían prometido? Si es así,
¿por qué? ¿Está siendo TI un obstáculo para ejecutar la estrategia de negocio?
• ¿Cuán críticas son las TI para la sostenibilidad de la empresa? ¿Qué haría si las TI no
estuvieran disponibles?
• ¿Qué procesos de negocio críticos dependen de TI y cuáles son los requerimientos
de los procesos de negocio?
• ¿En cuánto han excedido de media los presupuestosde operación de TI? ¿Con qué
frecuencia y cuánto se salen del presupuesto los proyectos de TI?
• ¿Qué parte del esfuerzo de TI se dedica a apagar fuegos en lugar de facilitar las
mejoras del negocio?
• ¿Son suficientes los recursos y la infraestructura de TI disponibles para conseguir los
objetivos estratégicos de empresa requeridos?
• ¿Cuánto se tarda en la toma de decisiones importantes de TI?
• ¿Son transparentes el esfuerzo y las inversiones totales en TI?
• ¿Respalda TI a la empresa en el cumplimiento de la normativa y los niveles de
servicio? ¿Cómo puedo saber si se cumple con todas las normas aplicables?
21/4/2017
10
• ¿Cómo sé que las operaciones de mi aliado de negocio son seguras y fiables?
• ¿Cómo sé que la empresa cumple con las normativas y regulaciones aplicables?
• ¿Cómo sé que la empresa está manteniendoun sistema efectivo de control interno?
• ¿Los aliados del negocio mantienen bajo control la cadena de información entre ellos?
• COBIT 5 se concentra en el gobierno y la administración de la
tecnología de la información y relacionadas desde una perspectiva
integral a nivel de toda la Organización.
• Esto significa que COBIT 5:
• Integra el gobierno de la TI corporativa en el gobierno
corporativo, o sea, el sistema de gobierno para la TI
corporativa propuesto por COBIT 5 se integra, de una manera
fluida, en cualquier sistema de gobierno, toda vez que COBIT 5
está alineado a los últimos desarrollos en gobierno
corporativo.
• Cubre todas las funciones y los procesos dentro de la
Organización; COBIT 5 no solamente se concentra en la
“Función de la TI”, sino trata la tecnología de la información y
relacionadas como activos que necesitan ser manejados como
cualquier otro activo, por todos en la Organización.
Cubrir la Organización de forma integral
Los Componentes
Claves de un
Sistema de
Gobierno
Objetivo del Gobierno: Creación de Valor
Realización
de Beneficios
Optimización
de Riesgos
Optimización
de Recursos
Habilitadores
de Gobierno
Alcance del
Gobierno
Roles, Actividades y Relaciones
Dueños y
Partes
Interesadas
Ente
Regulador
Administración
Operaciones
y
Ejecución
Roles, Actividades y Relaciones
Delegan Fijar
Directivas
MonitorearRendición de
Cuentas
Informar
Instruir y
Alinear
21/4/2017
11
COBIT 5 es un marco de referencia único e integrado porque:
• Se alinea con otros estándares y marcos de referencia relevantes y, por tanto,
permite a la empresa usar COBIT 5 como el marco integrador general de gestión y
gobierno.
• Es completo en cuanto a la cobertura de la empresa, proporcionandouna base
para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas. Un
marco general único sirve como una fuente consistentee integrada de guía en un
lenguaje común, no-técnico y tecnológicamenteagnóstico.
• Proporciona una arquitectura simple para estructurar los materiales de guía y
producir un conjunto consistente.
• Integra todo el conocimiento disperso previamente en los diferentes marcos de
ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante
muchos años y ha desarrollado marcos tales como COBIT, Val TI, Risk TI, BMIS, la
publicación Información sobre Gobierno de TI para la Dirección (Board Briefing on
TI Governance) e ITAF para proporcionarguía y asistencia a las empresas. COBIT 5
integra todo este conocimiento
• COBIT 5 está alineado con los últimos marcos y normas
relevantes usados por las organizaciones:
• Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC
31000
• Relacionado con TI: ISO/IEC 38500, ITIL, la serie
ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
• Así se permite a la Organización utilizar COBIT 5 como
integrador macro en el marco de gobierno y
administración.
• ISACA está desarrollando el modelo de capacidad de los
procesos para facilitar al usuario de COBIT el mapeo de las
prácticas y actividades contra lo marcos y normas de
terceros.
Aplicar un único marco integrado
21/4/2017
12
Desempeño
Metas del Negocio
Conformidad
SOX, LOPD, etc
Tablero de
Control
COSO
ISO 38500 - COBIT
ISO 22301 ISO 27000 ISO 20000
Continuidad
de Negocio
Guías de
Seguridad
ITIL
• Impulsados por las
metas en cascada, o sea:
las metas de alto nivel
relacionadas con la TI
definen qué deberían
lograr los diferentes
habilitadores.
• Descritos por el marco
de COBIT 5 en siete
categorías.
Habilitar un enfoque holístico
Los Habilitadores de COBIT 5 son:
• Factores que, individual y colectivamente, influyen sobre si algo
funcionará – en el caso de COBIT, Gobierno y Administración
sobre la TI corporativa.
Un sistema y sus propiedades se analizan como un todo, de una manera
global e integrada
1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados
objetivos y producir una serie de resultados como apoyo al logro de las metas globales
relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en
una organización.
3. Cultura, Ética y Comportamiento– De los individuos así como de la organización; se subestima
frecuentemente como factor de éxito en las actividades de gobierno y administración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en
una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se
trata de toda la información producida y usada por la Organización. La información es
requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la
información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la
organización.
7. Personas, Habilidades y Competencias– Están vinculadas con las personas y son requeridas
para completar exitosamente todas las actividades y para tomar las decisiones correctas, así
como para llevar a cabo las acciones correctivas.
21/4/2017
13
• Administración y Gobierno sistémico mediante habilitadores
interconectados – Para lograr los objetivos principales de la
Organización, siempre debe considerarse una serie interconectada
de habilitadores, o sea, cada habilitador:
• Necesita una entrada de otros habilitadores para ser
completamente efectivo, o sea, los procesos necesitan
información, las estructuras organizacionales necesitan
habilidades y comportamiento.
• Entrega un producto de salida a beneficio de otros
habilitadores, o sea, los procesos entregan información, las
habilidades y el comportamiento hacen que los procesos sean
eficientes.
• Esto constituye un principio CLAVE que surge del trabajo de
desarrollo de ISACA en el Modelo de Negocios para la Seguridad de
la Información (BMIS por su sigla en inglés).
Las Dimensiones Habilitadoras de COBIT 5
Todos los habilitadores tienen una serie de dimensiones comunes que:
• Proporcionan una manera común, sencilla y estructurada para tratar los habilitadores
• Permiten a una entidad manejar sus interacciones complejas
• Facilitan resultados exitosos de los habilitadores
GOBIERNO Y GESTIÓN DE LA EMPRESA TI
1. Proporcionar servicios TI operativos a todos los usuarios requiere
capacidades (infraestructura, aplicación) para los que son necesarios
personas con el conjunto de habilidades y comportamiento apropiados.
Varios procesos de entrega de servicio necesitan ser también
implementados, soportados por las estructuras organizativas adecuadas,
mostrando como todos los catalizadores son necesarios para una adecuada
entrega de servicio.
2. La necesidad de seguridad de la información requiere de la creación y
puesta en marcha de varias políticas y procedimientos. Estas políticas, por
su parte, requieren la implantación de varias prácticas relacionadas con la
seguridad. Sin embargo, si la cultura y ética de la empresa y del personal no
son apropiadas, los procesos y procedimientos de seguridad de la
información no serán efectivos.
21/4/2017
14
• El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.
• Dichas disciplinas:
• Comprenden diferentes tipos de actividades
• Requieren diferentes estructuras organizacionales
• Cumplen diferentes propósitos
Separar el Gobierno de la Administración
El Gobierno asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la
dirección a través de la priorización y la
toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a
la dirección y metas acordadas.
El Gobierno asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas
equilibradas y acordadas; estableciendo la
dirección a través de la priorización y la
toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a
la dirección y metas acordadas.
La gestión planifica, construye, ejecuta
y controla actividades alineadas con la
dirección establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
La gestión planifica, construye, ejecuta
y controla actividades alineadas con la
dirección establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
• El Gobierno asegura que se evalúen las necesidades de las
partes interesadas, así como las condiciones y opciones,
para determinar los objetivos corporativos balanceados
acordados a lograr; fijando directivas al establecer
prioridades y tomar decisiones; así como monitorear el
desempeño, cumplimiento y progreso comparándolos
contra las directivas y objetivos fijados (EDM).
• La Administración planifica, construye, ejecuta y
monitorea las actividades conforme a las directivas fijadas
por el ente de Gobierno para lograr los objetivos de la
Compañía (PBRM por su sigla en inglés – PCEM).
COBIT 5 no es obligatorio, pero propone que las organizaciones
implementen los procesos de gobierno y administración de tal manera que
las áreas claves queden cubiertas, tal como se muestra a continuación:
21/4/2017
15
• Una compañía puede organizar sus procesos como estime
conveniente, siempre y cuando queden cubiertos todos los
objetivos necesarios de gobierno y administración. Las
compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener
muchos procesos, todos para cubrir los mismos objetivos.
• COBIT 5 incluye un Modelo de Referencia de Procesos (PRM),
que define y describe en detalle un número de procesos de
administración y de gobierno. Los detalles de dicho modelo
habilitador específico pueden encontrarse en el Volumen de
COBIT 5: Procesos Habilitadores.
21/4/2017
16
• COBIT 5: Procesos Habilitadores complementa COBIT 5 y
contiene una guía detallada de referencias a los procesos
definidos en el Modelo de Referencia de Procesos de COBIT
5:
• En el Capítulo 2 se recapitula las metas en cascada de
COBIT 5 y se complementa con una serie de métricas
ejemplo para las metas corporativas y las metas
relacionadas con la TI.
• En el Capítulo 3 se explica el Modelo de Procesos de
COBIT 5 y se definen sus componentes.
• En el Capítulo 4 se muestra el diagrama de dicho Modelo
de Referencias de Procesos.
• El Capítulo 5 contiene la información detallada de
procesos para todos los 37 procesos de COBIT 5 en el
Modelo de Referencias de Procesos.
Prácticas genéricas
para los procesos
• Prácticas del Proceso
• Actividadesdetalladas
• El Modelo de Referencia de Procesos de COBIT 5 subdivide las
actividades y prácticas de la Organización relacionadas con la
TI en dos áreas principales – Gobierno y Administración – con
la Administración a su vez dividida en dominios de procesos:
• El Dominio de GOBIERNO contiene cinco procesos de
gobierno; dentro de cada proceso se definen las prácticas
para Evaluar, Dirigir y Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están
alineados con las áreas de responsabilidad de Planificar,
Construir, Operar y Monitorear (PBRM).
21/4/2017
17
• La mejora del Gobierno Corporativo de la Tecnología de la
Información (GEIT) ha sido ampliamente reconocida por altos
directivos como una parte esencial del gobierno corporativo.
• La información y la presencia general de la tecnología de
información ocupan cada día una parte más importante de todo
aspecto de la vida comercial y pública.
• La necesidad de generar más valor de las inversiones en la
Tecnología y de administrar una gama creciente de riesgos
relacionados con la Tecnología nunca ha sido mayor que ahora.
• Una regulación y legislación cada vez más estricta sobre el uso
comercial de la información también impulsa una mayor
concientización de la importancia de un ambiente de TI bien
gobernado y administrado.
• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las
compañías a implementar unos habilitadores de gobierno sanos. De
hecho, la implementación de un buen GEIT es casi imposible sin la
activación de un marco efectivo de gobierno. También están
disponibles las mejores prácticas y los estándares que soportan al
COBIT 5.
• Los marcos, mejores prácticas y normas son útiles solamente si son
adoptados y adaptados de manera efectiva. Hay que superar muchos
retos y resolver varios asuntos para poder implementar GEIT de
manera exitosa.
• COBIT 5: Implementación proporciona una guía de orientación acerca
de cómo hacerlo.
COBIT 5: Implementación cubre los siguientes asuntos:
• Posicionamiento de GEIT en la organización
• Adopción de los primeros pasos para mejorar GEIT
• Factores de éxito y retos para la implementación
• Habilitación del cambio de comportamiento y
organizacional relacionado con el GEIT
• Implementación de una mejora continua que incluye la
habilitación del cambio y la gestión del programa
• Uso de COBIT 5 y sus componentes.
21/4/2017
18
Las 7 fases de la
Implementación del
Ciclo de Vida
COBIT
®
5 Implementación
Otras Guías
Profesionales
COBIT® 5 Ambiente Colaborativo En Línea
Guías de Habilitadores de COBIT® 5
COBIT
®
5:
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ®
5
Información Habilitadora
COBIT
®
5
Para la Seguridad
de la Información
COBIT® 5
Para el
Aseguramiento
COBIT
®
5
Para Riesgos
COBIT
®
5:
Guias Profesionales de Orientación de COBIT® 5
La Familia de Productos de COBIT 5
La familia de productos de COBIT 5 incluye los siguientes productos:
• COBIT 5 (el marco de trabajo)
• Guías de catalizadores de COBIT 5, en las que se discuten en detalle los
catalizadores para el gobierno y gestión, estas
incluyen:
– COBIT 5: Información Catalizadora
– Información posibilitadora
– Otras guías de catalizadores (visitar www.isaca.org/cobit)
• Guías profesionales de COBIT 5, incluyendo:
– Implementación de COBIT 5
– COBIT 5 para Seguridad de la Información (en desarrollo)
– COBIT 5 para Aseguramiento
– COBIT 5 para Riesgos
– Otras guías profesionales (visitar www.isaca.org/cobit)
• Un entorno colaborativo online, que estará disponible para dar soporte al
uso de COBIT 5
21/4/2017
19
Gestión del Cumplimiento:
Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u
organizacionales, necesarios para permitir el cumplimiento de los mandatos
legislativos o industriales y las políticas internas
Gestión del Cumplimiento:
Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u
organizacionales, necesarios para permitir el cumplimiento de los mandatos
legislativos o industriales y las políticas internas
Gobierno:
Proceso operativo que asegura la
adhesión de los procesos de TI y su
alineación estratégica el negocio,
evalúa necesidades de partes
interesadas, requisitos del negocio,
monitoreo del progreso del
cumplimiento de objetivos
acordados.
Gobierno:
Proceso operativo que asegura la
adhesión de los procesos de TI y su
alineación estratégica el negocio,
evalúa necesidades de partes
interesadas, requisitos del negocio,
monitoreo del progreso del
cumplimiento de objetivos
acordados.
Gestión del Riesgo:
Proceso de análisis que permite
establecer el nivel de tolerancia del
Negocio a sus riesgos asociados, y
ayuda a identificar los controles
internos adecuados que aseguran el
Gobierno y eficacia de Cumplimiento
de cada proceso de negocio.
Gestión del Riesgo:
Proceso de análisis que permite
establecer el nivel de tolerancia del
Negocio a sus riesgos asociados, y
ayuda a identificar los controles
internos adecuados que aseguran el
Gobierno y eficacia de Cumplimiento
de cada proceso de negocio.
Estas áreas de actividad están siendo progresivamente más alineados e integrados para
mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes
interesadas.
ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones,Políticas Internas
Asociar las áreas
Legales, Auditoría y
Seguridad con las áreas
Funcionales y
Tecnológicas
GOBIERNO
Establecer procesos
funcionales y de
servicio tecnológico
protegidos, compliance
y pensados para El
Negocio
Reconocer los diferentes
riesgos y metodología
para su gestión
21/4/2017
20
Interpretación
Conocimiento del
Negocio y sus
Regulaciones
Cultura interna de la
Organización
Identificación de
riesgos asociados al
Negocio
Implementación
Capacitación y
couching
Mejora del proceso de
Proyectos
Mejora de procesos de
servicio IT/SI
Mitigación de Riesgos
Remediación de
procesos funcionales y
entorno de producción
Gestión
Gestión de riesgos
Gobierno Corporativo
Gobierno de TI
Gobierno de SI
Gobierno de Proyectos
Gobierno Corporativo de Tecnología de Información
2.1 Principios
• Principio 1: Responsabilidad
• Principio 2: Estrategia
• Principio 3: Adquisición
• Principio 4: Desempeño
• Principio 5: Conformidad
• Principio 6: ComportamientoHumano
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
Conocimiento y Entendimiento del entorno del Negocio y de los servicios que
soportan sus procesos
Identificación de registros y controles
Mapeo adecuado de
los procesos de
Negocio
Mapeo adecuado de
los procesos de
Servicio IT/SI
Identificación de documentos
del Marco Normativo según
leyes y regulaciones
Adecuación de documentos del
Marco Normativo a los procesos
y regulaciones del Negocio
Nivel de Madurez de la Gestión de Gobierno y Cumplimiento
Identificación de riesgos asociados al entorno del Negocio y a los
servicios que soportan sus procesos
21/4/2017
21
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
ALCANCE E INTERPRETACIÓN POR PÚBLICO DE INTERÉS
FuncionalesFuncionales
TécnicosTécnicos
Áreas
tecnológicasy
de seguridad
Áreas
tecnológicasy
de seguridad
Dirección y
Gerencia
Dirección y
Gerencia
Usuarios clave
y finales
Usuarios clave
y finales
Marco LegalMarco Legal
TRANSMÍSIÓN DE CONOCIMIENTO
Leyes y
Regulaciones
Leyes y
Regulaciones
Aspectos de
solución técnica
Aspectos de
solución técnica
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
ProyectosProyectos
RemediacionesRemediaciones
Revisiones y
Auditorías
Revisiones y
Auditorías
21/4/2017
22
TRANSMÍSIÓN DE CONOCIMIENTO
Material de
concientización
Material de
concientización
Material de InducciónMaterial de Inducción
Plan de Capacitación
Anual
Plan de Capacitación
Anual
RRHHRRHH
Charlas,
workshops,
cursos
Charlas,
workshops,
cursos
Mails,
posters, etc.
Mails,
posters, etc.
• El marco COBIT 5 incluye la orientación necesaria para
apoyar los objetivos de GRC de la empresa y actividades de
apoyo:
• Actividades de gobierno relacionadas a GEIT (5 procesos)
• Procesos de gestión de riesgos y apoyo para la gestión de
riesgos a través del espacio GEIT
• Cumplimiento: un enfoque específico en las actividades de
cumplimiento en el marco y cómo encajan dentro de la
imagen completa de la empresa
• La inclusión de los acuerdos de GRC en el marco de negocio
para GEIT ayuda a las empresas a evitar el problema
principal con soluciones GRC -silos de actividad!
21/4/2017
23
• Proceso
• Un grupo de actividades diseñadas para lograr un objetivo
específico. Describen acciones, dependencias y secuencias
• Características de los procesos
• Tiene entradas, actividades y salidas
• Puede incluir roles, responsabilidades, herramientas y
controles de la gestión
• Posee todos los elementos necesarios para lograr las
salidas definidas
Definición de Proceso
Modelo de Proceso
Proceso
Dueño
del Proceso
Dueño
del Proceso
Documentación
Proceso
Documentación
Proceso
Objetivos
del Proceso
Objetivos
del Proceso
Realimentación del
Proceso
Realimentación del
Proceso
Políticas del
Proceso
Políticas del
Proceso
Recursos
del Proceso
Activos
Recursos
del Proceso
Activos
Capacidades
del Proceso
Activos intangibles
Capacidades
del Proceso
Activos intangibles
Salidas del
Proceso
Salidas del
Proceso
Entradas del
Proceso
Entradas del
Proceso
ActividadesActividades Métricas
CSF/KPI
Métricas
CSF/KPI
RolesRoles
ProcedimientosProcedimientos Instrucciones de
Trabajo
Instrucciones de
Trabajo
MejorasMejoras
• Son cuantificables (medibles) y se basan en el
rendimiento.
• Tienen resultados específicos.
• Tienen un cliente final que es el receptor de dicho
resultado (Cliente interno o externo)
• Se inician como respuesta a un evento
Características que identifican un proceso
21/4/2017
24
¿Dónde
queremos
estar?
¿Dónde
estamos
ahora?
¿Cómo
llegamos a
dónde
queremos?
¿Cómo
sabremos que
hemos
llegado?
Visión y
objetivos de
negocio
Evaluación
Cambio
Métricas
Modelodemejoramientocontinuodeprocesos
Indicadores de madurez en función de la misma clasificación utilizada por estándares
como ISO 15504 (Software Process Improvement Capability Determination):
# Definición del nivel
Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los
objetivos
Nivel 1 Proceso ejecutado
Nivel 2 Proceso gestionado: el proceso no solo se encuentra en
funcionamiento, sino que es planificado, monitorizado y ajustado
Nivel 3 Proceso definido: el proceso, los recursos, los roles y
responsabilidades se encuentran documentadosy formalizado
Nivel 4 Proceso predecible: se han definido técnicas de medición de
resultados y controles
Nivel 5 Proceso optimizado: todos los cambios son verificados para
determinar el impacto, se han definido mecanismos para la mejora
continua, etc
COBIT 5
Gobierno y gestión integral de TI
21/4/2017
25
La entrega y soporte de servicios se encuentran constituidos por
diversos procesos orientados a asegurar la eficacia y eficiencia
de los sistemas de información.
Valor
Resultados del
Negocio
Preferencias de
los Clientes
Percepciones de los
Clientes
Componentes del valor
LOS OCHO
PRINCIPIOS
DE LA
GESTION DE
LA CALIDAD
Planteamiento de
sistema para la
gestión
Enfoque a cliente
Implicación de las
personas
Liderazgo
Relaciones con los
suministradores
Mejora Continua
Un enfoque de este tipo enfatiza la
importancia de:
1.La comprensión y el cumplimiento
de los requisitos.
2.La necesidad de considerar los
procesos en términos que aporten
valor.
3.La obtención de resultados del
desempeño y eficacia del proceso.
4.La mejora continua de los
procesos con base en mediciones
objetivas
ISO 20000
ISO 27001
ISO 9001
Auditoría Interna
Gestión de reportes
Acciones correctivas y preventivas
Gestión Documental
Organización de Recursos Humanos
Auditoría Interna
Gestión de reportes
Acciones correctivas y preventivas
Gestión Documental
Organización de Recursos Humanos
Enfoque basado en procesos
Administración de suministros
Satisfacción al Cliente
Calidad de Servicios
Enfoque basado en procesos
Administración de suministros
Satisfacción al Cliente
Calidad de Servicios
Gestión de Incidentes
Gestión de Cambios
Disponibilidad,Continuidad,
Seguridad y Capacidad
Gestión de Incidentes
Gestión de Cambios
Disponibilidad,Continuidad,
Seguridad y Capacidad
DesarrolloDesarrollo
21/4/2017
26
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
SISTEMAS DE GESTIÓN
CALIDAD
ISO 27001 – Seguridad de la Información
ISO 20000 – Servicios de TI
Disponibilidad, incidencias,
recuperación, contratos,
continuidad, etc.
ISO/IEC 27013:2015. Guía de
implementación integrada de
ISO/IEC 27001 e ISO/IEC 20000-1
Evolución en la Gestión de Servicios TI
Foco en la Tecnología Foco en el Negocio
TradicionalADemanda
TI como Tecnología
RECURSOS
TI como un Centro de Costos
SISTEMAS
TI como un negocio
SERVICIOS TI
Tradicional
• Foco en Tecnología
• Administrar Infraestructura
• Usuarios
• Modalidad “Bombero”
• Reactivo
• Islas
• Procesos informales
Tradicional
• Foco en Tecnología
• Administrar Infraestructura
• Usuarios
• Modalidad “Bombero”
• Reactivo
• Islas
• Procesos informales
Gestión de Servicios
• Foco en el Negocio
• Proveer Servicios
• Clientes
• Prevención y Control
• Proactivo
• Integrado
• Estandarización y mejores prácticas
Gestión de Servicios
• Foco en el Negocio
• Proveer Servicios
• Clientes
• Prevención y Control
• Proactivo
• Integrado
• Estandarización y mejores prácticas
Cambio en el enfoque de procesos
21/4/2017
27
• Establecery comunicar el alcance
• Adhesión a la política de calidad
• Importancia de satisfacerlos
requisitos del servicio, legales,
regulatorios y contractuales
• Asegurar la provisión de recursos
• Realizar revisiones de la gestión
• Asegurar que los riesgos se
evalúen y gestionen
• Adecuada para el propósito del
servicio
• Incluir la satisfacción de los
requisitos del servicio
• Incluir un compromisocon la
mejora continua
• Establecerun marco para el
establecimientoy revisión de los
objetivos de gestión del servicio
Gobierno de procesos operados por terceras partes
El prestador de servicios identificará todos los procesos, o parte de procesos, cuyos
requisitos sean especificados en las cláusulas de 5 a 9 y que sean operados por otras
partes. Esas otras partes pueden ser grupos internos, clientes o proveedores.
El prestador de servicios demostrarácontrol de gestión (gobierno), sobre
procesos operados por otras partes:
• Demostrandoresponsabilidad del proceso y autoridad para exigir adherencia al
proceso;
• Controlando la definición de los procesos, e interfaces
• Con otros procesos (los enunciados en las Cláusulas de 5 a 9);
• Determinando la eficiencia del proceso, su efectividad
Y conformidadcon los requisitos del proceso;
• Controlando la planificación y priorización de mejoras del proceso.
PLAN
Plan gestión
de servicios
DO
Implementar
gestión de
servicios
ACT
CHECK
Monitorear,
medir,
revisar
ACT
Mejora
continua
Requerimientosde
negocio
Requerimientosde
negocio
Requerimientosdel
cliente
Requerimientosdel
cliente
Requerimientospara
cambios / habilitación
de servicios
Requerimientospara
cambios / habilitación
de servicios
Otros procesos,
negocios proveedores,
clientes
Otros procesos,
negocios proveedores,
clientes
Service deskService desk
Otro teams, ej:
seguridad, TI
operations,
Otro teams, ej:
seguridad, TI
operations,
Resultados de negocio
Satisfacción del
cliente
Serviciosnuevos /
modificados
Otros procesos,
negocios proveedores,
clientes
Satisfacción de los
equiposde trabajo y
de las personas
21/4/2017
28
La Gestión de Servicios de
Tecnología define procesos y
procedimientos para la prestación y
el soporte de servicios de TI de
calidad dentro de costospermitidos,
que soportan a su vez los procesos
de negocio de la organización
Pilares de la gestión de TI
Pilares de la gestión de TI
Un Servicio es un medio para
entregar valor a los Clientes al facilitar
los resultados que esperan obtener.
Proceso es un grupo de actividades
diseñadas para lograr un objetivo
específico. Describen acciones,
dependencias y secuencias; tiene
entradas, actividades y salidas, puede
incluir roles, responsabilidades,
herramientas y controles de la
gestión; y posee todos los elementos
necesarios para lograr las salidas
definidas
Propietario del Servicio
Responsable de la entrega de un
servicio.
Es responsable ante el cliente de:
iniciación, transición, mantenimiento,
soporte e identificar oportunidades de
mejora.
Propietario del Proceso
Responsable de asegurar que el
proceso sea consistente con el
propósito, se cumpla el estándar
acordado y que se cumplan los
objetivos definidos para el proceso.
Gestor del Proceso
Es el responsable de la gestión
operativa del proceso, con sus
responsabilidades se busca la garantía
del proceso.
Profesional del Proceso
Responsable de llevar a cabo una o
más actividades del proceso,
contribuye a crear valor para el
negocio y garantiza que entradas,
salidas e interfaces son las adecuadas
para el proceso.
21/4/2017
29
Modelo de
Negocio
Modelo de
Negocio
Usuariosdel
Servicio
Usuariosdel
Servicio
PatronesdeusoPatronesdeuso
VisiónyalcanceVisiónyalcance
Diseño del ServicioDiseño del Servicio
Diseño y ArquitecturaDiseño y Arquitectura
Capacidady
disponibilidad
Capacidady
disponibilidad
ContinuidadContinuidad
SeguridadSeguridad
Análisisydiseño
aplicativo
Análisisydiseño
aplicativo
NiveldeServicioNiveldeServicio
Construcción del
Servicio
Construcción del
Servicio
Montaje de
infraestructura
Montaje de
infraestructura
HDWySFWde
base
HDWySFWde
base
ComunicacionesComunicaciones
Construcción
de software
Construcción
de software
DesarrolloDesarrollo
PruebasPruebas
Especificación del
Servicio
Requisito de
Nivel de
Servicio (SLR)
Requisito de
Nivel de
Servicio (SLR)
Acuerdo de
Nivel de
Servicio (SLA)
Acuerdo de
Nivel de
Servicio (SLA)
Acuerdo de
Nivel de
Operación
(OLA)
Acuerdo de
Nivel de
Operación
(OLA)
Contratos de
Soporte (UC)
Contratos de
Soporte (UC)
• Establecer políticas y objetivos
• Estudiar estos objetivos y expectativas generales del negocio para
que su estrategia defina la de TI, garantizando esta relación siendo
la estrategia de TI su soporte
• La Gestión de Servicios se transforma en un Activo estratégico y
debe pensarse y gestionarse de manera estratégica
• Relación entre Servicios - Sistemas – Procesos y el modelo de
negocio con sus estrategias y objetivos
Estrategia del Servicio
Tratar la gestión de servicios no sólo como una capacidad
sino como un activo estratégico
21/4/2017
30
Alcance
• Desarrollo de los servicios como activos
• Implementación de la estrategia a través del Ciclo de vida del Servicio y
Gestión Financiera
• Gestión del Portfolio de Servicios y Gestión de la Demanda
• Desarrollo Organizacional y Gestión estratégica de Riesgos
• Las organizaciones usan esta guía para:
• Definir objetivos y expectativas de performance del cliente
• Definir y seleccionar oportunidades
• Permite asegurar que las organizaciones estén en posición de manejar el
costo y riesgo asociados a sus Portfolios de servicios, no solo en lo
operacional
• Comienza con un conjunto de requisitos de negocio nuevos o
modificados, para incrementar o mantener el valor para los
Clientes en el ciclo de vida del servicio
• Termina con el desarrollo de una solución diseñada para
satisfacer las necesidades documentadas del negocio
• Es una guía para el diseño y desarrollo de servicios nuevos o
modificados, para su introducción en el entorno real, como una
solución que cubra las necesidades del negocio
Cubre los principios y métodos necesarios para
transformar los objetivos estratégicos en portafolios de
servicios y activos
Diseño del Servicio
Alcance
Diseño de:
• Servicios nuevos y modificados
• Portfolio y Catálogo de Servicios
• Arquitectura tecnológica y
sistemas de gestión
• Procesos
• Métodos de medición y métricas
• Capacitación
• Seguridad y backup & recovery
• Cargos y asignación de roles
Valor para el Negocio
• Reducción de los costos
involucrados en la administración
de la infraestructura de
tecnología en las empresas (TCO -
costo total de propiedad)
• Mejora la calidad del servicio
• Más fácil implementación de
servicios nuevos o modificados
• Mejor alineación del servicio con
el negocio
• Mejoras en TI governance
• Más efectividad en Service
Management
• Mejor información para la toma
de decisiones
21/4/2017
31
• Se ocupa de la gestión de cambios, riesgos y aseguramiento de
calidad
• Implementación de los diseños, para que las operaciones puedan
gestionar los servicios y la infraestructura de manera controlada
• Planeamiento e implementación de todos los releases para crear
un nuevo servicio o modificar uno existente
• Seguimiento desde testing hasta la implementación en el
ambiente de producción
• Reducción de los errores conocidos, riesgos asociados a la
transición y variaciones entre rendimiento planeado y real, al
momento de la transición
Transición del Servicio
Cubre el proceso de transición para la implementación de
nuevos servicios o su mejora.
Alcance
• Gestiona y coordina los procesos, sistemas y funciones para:
• Construcción, Testing y pasaje a producción
• Establecer los servicios según los requerimientos acordados con el
Cliente y las partes interesadas
• Guía para:
• Desarrollar y mejorar las capacidades para la transición de los
servicios nuevos o modificados hacia la operación
• Transferir los servicios desde o hacia un proveedor externo de
servicios
• Convertir los requerimientos de Estrategia del Servicio en Servicios
diseñados y en operación, mientras se controlan los riesgos de falla
y disrupción.
Valor parael negocio
• Habilidad para reaccionar rápidamente en un entorno competitivo
• Gestión de situaciones de adquisiciones, transferencias, outsourcing de
servicios
• Alta tasa de éxito en los cambios y pasajes a producción
• Mejor definición de niveles de servicio y garantías
• Más confianza en el gobierno de TI y el cumplimiento de normas
regulatorias
• Mejor estimación para el planeamiento y presupuesto de recursos
• Mejora en la productividad del negocio y de TI
• Ahorro de tiempo durante todo el ciclo de vida
• Reducción del nivel de riesgo
21/4/2017
32
• Se ocupa de las actividades del negocio comunes, cumpliendo
los objetivos estratégicos, a través de la operación
• Coordina y ejecuta las actividades del día a día y entrega y
administra los Niveles de servicio
• Gestiona en forma continua la tecnología usada para entrega y
soporte de los servicios
• Si existen planes, ejecuta y mide el diseño y la optimización
• Métodos y herramientas en dos perspectivas: reactiva y
proactiva
Operación del Servicio
Cubre las mejores prácticas para la gestión del día a día en
la operación del servicio.
ALCANCE
Gestión continua (Ongoing
management):
• Los servicios
• Los procesos asociados a
los servicios
• Tecnología
• Personas
Valor para el negocio
• Concreción del real valor de la
estrategia, diseño, y transición hacia
los clientes y usuarios
• El negocio comienza a depender del
Servicio brindado por TI
• Expectativa de mantenerse dentro de
los objetivos presupuestarios
• Claridad para detectar necesidades de
financiamiento adicional para corregir
defectos imprevistos o mejorar la
eficiencia de la operación del servicio,
aún aunque lleve cierto tiempo de
puesto en marcha
• Buscar continuamente la alineación de los servicios TI a las
necesidades del negocio, identificando e implementando
mejoras
• Buscar formas de mejorar la eficiencia y efectividad de los
procesos en un equilibrio de costos
Mejora continua
Proporciona una guía para la creación y mantenimiento
del valor ofrecido a los clientes a traces de un diseño,
transición y operación del servicio optimizado.
Proporciona una guía para la creación y mantenimiento
del valor ofrecido a los clientes a traces de un diseño,
transición y operación del servicio optimizado.
21/4/2017
33
Alcance
• Guía en la creación y
mantenimiento de valor para
clientes a través un mejor
diseño y operación de los
servicios
• Incluye principios, prácticas y
métodos de gestión de calidad,
gestión de cambios y mejoras en
la capacidad
• Vinculación entre los esfuerzos
de mejora con la estrategia de
servicios, diseño y transición
• Loop basado en el modelo Plan,
Do, Check, Act (PDCA)
• Alineación del Portfolio de
servicios con las necesidades del
negocio
• Lograr madurez de los procesos
Valor para el negocio
• Mejoras en la calidad del
servicio, más alta disponibilidad
• Reducción gradual de los costos y
mejor justificación de los mismos
• Mejor información sobre los
servicios existentes y las áreas de
mejora
• Mejor alineación entre el negocio
e TI
• Mayor flexibilidad y
adaptabilidad
• Comunicación más efectiva
• Mejoras en ROI (Return on
Investment) y VOI (Value on
Investment)
TI como proveedor de servicios
Centro de servicio al usuario (CSU)
El objetivo principal de un centro de
servicio al usuario es proporcionar un
único punto de contacto entre los
servicios prestados y los usuarios.
Centro de servicio al usuario (CSU)
El objetivo principal de un centro de
servicio al usuario es proporcionar un
único punto de contacto entre los
servicios prestados y los usuarios.
Gestión Técnica
Ayudar a planificar, implementar y
mantener una infraestructuratécnica
estable que proporcione soporte a los
procesos de negocio de la organización.
Gestión Técnica
Ayudar a planificar, implementar y
mantener una infraestructuratécnica
estable que proporcione soporte a los
procesos de negocio de la organización.
Gestión de Operaciones TI
Hace referencia al departamento, grupo o
equipo de personas encargado de realizar las
actividades diarias de la organización.
Se puede dividir en dos áreas:
• Control de Operaciones de TI
(administración y operación de la
infraestructura)
• Gestión de Instalaciones (Gestión del
entorno físico, por ejemplo centros de
datos, salas, equipos de refrigeración.)
Gestión de Operaciones TI
Hace referencia al departamento, grupo o
equipo de personas encargado de realizar las
actividades diarias de la organización.
Se puede dividir en dos áreas:
• Control de Operaciones de TI
(administración y operación de la
infraestructura)
• Gestión de Instalaciones (Gestión del
entorno físico, por ejemplo centros de
datos, salas, equipos de refrigeración.)
Gestión de Aplicaciones
Desempeña un papel importante en
el diseño, prueba y mejora de las
aplicaciones; Sin embargo, no es
responsable del desarrollo de las
mismas.
Define si se adquiere una aplicación
o se va a desarrollar internamente,
equilibrio entre el nivel de aptitud y
el costo de los recursos humanos
para gestionar aplicaciones.
Gestión de Aplicaciones
Desempeña un papel importante en
el diseño, prueba y mejora de las
aplicaciones; Sin embargo, no es
responsable del desarrollo de las
mismas.
Define si se adquiere una aplicación
o se va a desarrollar internamente,
equilibrio entre el nivel de aptitud y
el costo de los recursos humanos
para gestionar aplicaciones.
21/4/2017
34
Beneficios y valor para el negocio
La estrategia de servicio alinea negocio y TI, para que cada uno aporte lo
mejor al otro. Se asegura que todos los elementos del ciclo de vida del
servicio, se centran en los resultados de los usuarios finales y en alcanzar
los objetivos del negocio, los requisitos y principios de gestión de servicios
adoptados por la organización.
• Metodología común en todas las áreas de TI
• Gestión de cambios eficaz
• Asegurar calidad de los servicios (SLAs)
• Reducción de costos (provisión y soporte del servicio)
• Demostrar el valor y aportación de TI al Negocio. (Gobierno de TI)
• Detalla todos los aspectos del servicio y sus requisitos a lo largo de todas las
etapas posteriores a su Ciclo de Vida
• Se ejecuta por cada servicio nuevo, cambio mayor a un servicio, eliminación
de un servicio o cambios al Paquete de Diseño del servicio mismo.
• Se produce en Diseño del Servicio y se pasa a la Transición del Servicio junto
con todos los detalles requeridos para las siguientes etapas del Ciclo de Vida.
Diseño del paquete de servicios
Enfoque integrado general para las actividades de diseño que deben ser
cubiertas:
1. Diseño de las soluciones de servicios nuevos o modificados (capacidades,
recursos, requisitos)
2. Diseño de los sistemas y herramientas de Gestión de servicios (Portfolio de
servicios, Software)
3. Diseño de la arquitectura tecnológica (Arquitectura-Hardware)
4. Diseño de los procesos para soporte y entrega de servicios (Procesos)
5. Diseño de los métodos de medición (Métricas)
Servicio es uno o más sistemas de TI que
permiten un proceso de negocios
Servicio es uno o más sistemas de TI que
permiten un proceso de negocios
Catálogo de Servicios
Tipos de Servicios
Visibles a los clientes
Invisible a los clientes, pero
esenciales para la entrega
de los servicios a clientes
• Internet
• E-mail
• Office
• ERP
......
• Network
• Infraestructura
• Aplicaciones
• Backup
•......
21/4/2017
35
Durante la fase de especificación se desarrollan en detalle los requisitos
de nivel de servicio para convertirlos en normas internas
Descripción detallada
de los servicios y de
sus componentes.
Descripción detallada
de los servicios y de
sus componentes.
Especificaciones de la
forma de
implantación y
provisión del servicio.
Especificaciones de la
forma de
implantación y
provisión del servicio.
Especificaciones del
procedimiento
necesario de control
de la calidad
Especificaciones del
procedimiento
necesario de control
de la calidad
Productos de la Fase de especificación
Acuerdo de nivel de servicio (SLA)
Acuerdos de nivel operativo (OLAs)
Contratos de soporte (UCs)
Catálogo de Servicios
Nivel de Servicio
Revisar periódicamente:
• Acuerdos de nivel de servicio
desde la revisión anterior.
• Problemas relacionados con los
servicios.
• Identificación de tendencias del
servicio.
• Cambios en servicios dentro de los
niveles de servicio acordados.
• Cambios en procedimientos y
estimaciones del coste de nuevos
recursos.
• Consecuencias del incumplimiento
de los niveles de servicio
• acordados.
Determinar la eficacia y la eficiencia del
proceso (KPIs)
• Elementos de servicio incluidos en SLAs.
• Elementos del SLA con soportede OLAs y
UCs.
• Elementos de los SLAs que se monitorizan y
en los que se detecten defectos.
• Elementos de los SLAs que se revisen
periódicamente.
• Elementos de los SLAs que cumplan los
niveles de servicio acordados.
• Defectos identificados y cubiertos por un
plan de mejora.
• Acciones emprendidas para eliminar los
defectos identificados.
• Tendencias identificadas con respecto a los
niveles reales de servicio.
• Incluye servicios de terceros que forman parte integral de las ofertas de
servicio para los clientes y espacios de mercado
• Los servicios de terceros se pueden utilizar para:
• Resolver una demanda hasta que los servicios propios o del Canal
de Entrada se encuentren operativos
• Usar como sustituto para los servicios que se eliminan del Catálogo
• Cuenta con el balance apropiado de servicios de entrada (en desarrollo)
y Catálogo de servicios activos, para asegurar la viabilidad financiera del
Proveedor de servicios
21/4/2017
36
• Canal de entrada de servicios conteniendo los servicios
conceptuales en desarrollo para un espacio de mercado o
cliente
• Catálogo de Servicios es el subconjunto del Portfolio de
Servicios que es visible para los clientes
• Servicios activos en fase de Operación + servicios
aprobados para ser ofrecidos
• En el Catálogo de Servicios es donde los servicios se
dividen en componentes
• Es la expresión de la capacidad operativa del Proveedor
de Servicios dentro del contexto de un Cliente o Espacio -
Nicho de Mercado
• Describe el potencial de una propuesta
• Surge de la visión de considerar TI
como una empresa en si misma
• Permite planear y dar soporte a la toma
de decisiones
• Estructura:
• Introducción: objetivos de negocio del
caso
• Métodos y suposiciones: límites del caso
de negocio
• Impacto de negocio: resultados
financieros y no financieros
• Riesgos y contingencias: probabilidad que
surjan diferentes resultados
• Recomendaciones: acciones específicas
recomendadas
• Riesgo: Incertidumbre de un
resultado
• Análisis de riesgos
– Identificar y evaluar la medida de
los riesgos calculados a partir de los
valores de activos evaluados y
niveles de
amenazas/vulnerabilidades
evaluados
• Mitigación de riegos
– Involucra la identificación, selección
y adopción de contramedidas
justificadas por los riesgos
identificados para los activos, en
términos de su impacto potencial
en los servicios, en caso que ocurra
un fallo. Incluye la reducción de
estos riesgos a un nivel aceptable
Planificación
Definición
• Inventarios de servicios
• Business Case
Análisis
• Propuestas para maximizar el
valor del Portfolio
Aprobación
• Formalización y aprobación
del Portfolio
Charter
• Comunicación y asignación
de recursos
21/4/2017
37
Los servicios no pueden producirse y Almacenarse,
es un proceso simultáneo: la producción y el
consumo tienen lugar al mismo tiempo,
circunstancia que complica enormemente la
planificación de la demanda.
Los servicios no pueden producirse y Almacenarse,
es un proceso simultáneo: la producción y el
consumo tienen lugar al mismo tiempo,
circunstancia que complica enormemente la
planificación de la demanda.
Demanda
Objetivo y valor para el negocio
Gestión de la capacidad del negocio. Su objetivo es comprender
las necesidades presentes y futuras del negocio, para lo cual
obtiene información del cliente (por ejemplo, de planes
estratégicos o de marketing) y realiza análisis de tendencias
Gestión de la capacidad del servicio. Su objetivo es determinar y
comprender el uso de servicios de TI.
Gestión de la capacidad de los recursos. Su objetivo es
determinar y comprender el uso de los componentes y la
infraestructura de TI.
Niveles de evaluación
21/4/2017
38
• Servicios Core
• Un Servicio TI que genera Entregables para uno o más Clientes.
• Servicios de Soporte
• Un Servicio que permite entregar un Servicio Core
• Servicio de back up
• Nivel Estratégico
• Patrones de Actividad de Negocio
• Perfil de Carga de trabajo de una o más actividades de negocio
• Variable en el tiempo
• Representa cambios en la demanda del negocio
• Perfil de Usuario
• Patrón de demanda de usuarios para los servicios TI
• Cada perfil de usuario incluye uno más Patrones de Actividad de Negocio
• Nivel Táctico
• Se puede usar el cargo diferencial para fomentar entre los Clientes el uso de
servicios en horarios de menor actividad - ejemplo
En este proceso se generan informes de excepciones sobre:
• Discrepancias entre la capacidad real y planificada
• Tendencias en las discrepancias
• Impacto sobre los niveles de servicio
• Aumento/descenso esperado de los niveles de capacidad y uso a corto y largo plazo
• Umbrales que, en caso de alcanzarse, pueden requerir la adquisición de capacidad
adicional
Indicadores clave del rendimiento:
• Predictibilidadde la demanda del cliente - Identificación de tendencias y evolución
de la carga de trabajo con el tiempo, y precisión del plan de capacidad.
• Tecnología - Opciones para medir el rendimiento de todos los servicios de TI,
• Costo - Reducción del número de compras precipitadas, reducción de la
sobrecapacidad costosa o innecesaria, y elaboración temprana de planes de inversión.
• Operaciones - Reducción del número de incidencias debidas a problemas de
capacidad o rendimiento, capacidad para satisfacer en todo momento la demanda del
cliente, y grado de importancia que se concede al proceso de gestión de la capacidad
Asegurar que los servicios nuevos, modificados o retirados,
cumplen los requisitos documentados en la definición de la
estrategia y diseño del servicio.
Debe estar presente en la coordinación de procesos,
sistemas y funciones para empaquetar, estructurar, probar y
desplegar una versión de un servicio o parte de él en un
entorno de producción.
Transición del servicio
21/4/2017
39
Planificación y Soporte a la Transición
116
• Establecer y mantener políticas, normas y modelos para
los procesos y actividades de la transición del servicio.
• Presupuestar los recursos necesarios para cumplir con
los requerimientos futuros de la transición.
• Coordinar la transición del servicio junto con la gestión
de proyectos, diseño del servicio y las actividades de
desarrollo del servicio.
La Gestión de Nivel de Servicio...
• ...es un Proceso de:
• planeamiento,
coordinación, escritura,
concordancia, supervisión e
información de SLAs, y de
revisión de la realización de
los servicios
• Para asegurar:
• que la calidad y los costos
justificables de los servicios
requeridos, es mantenida y
mejorada
• Definir, negociar, acordar, monitorear y
documentar los niveles de servicio de
cualquier servicio TI que se está
entregando
• Establecer la comunicación efectiva entre
los Clientes y TI
• Brindar claridad para que todas las partes
que intervienen en la entrega de servicios
entienden el nivel de servicio que se va a
entregar
• Asegurar el desarrollo de objetivos
específicos y medibles
• Monitorear y mejorar la satisfaccióndel
Cliente
• Asegurar la implementación de medidas
adecuadas para mejorar la calidad del
servicio
21/4/2017
40
Mejor relación entre TI y ClientesMejor relación entre TI y Clientes
Proceso crítico para todo proveedor de servicios de TI, ya que se
encarga de acordar y documentar los objetivos de nivel de servicio y
las responsabilidades dentro de los acuerdos de servicio
• Interfase consistente entre el negocio para todos los servicios de TI
• Feedback entre las fallas del servicio o sus brechas y las acciones
tomadas
• Mejoras en el canal de comunicación
• Relación sustentada en la confianza
Valor para el Negocio
Corresponde a todos los requisitos
de servicios que ha definido sólo
por el cliente.
Corresponde al nivel de acuerdos
de servicio entre el proveedor de
servicios TI y el cliente.
• En este proceso se negocia, acuerdan y documentan los SLR.
• Se negocian los SLA en base a los SLR definidos.
• Se revisan los OLAs y contratos de servicios para asegurar que los objetivos
estén alineados.
• Se revisan los contratos de servicio en conjunto con la gestión de
proveedores.
• El gestor de relación con el negocio garantiza que el proveedor es capaz de
satisfacer las necesidades del cliente.
• El gestor de nivel de servicio asegura que se entreguen a usuarios y
clientes los niveles de servicios acordados.
Un SLA multinivel contiene 3 capas:
1.SLA a nivel corporativo
2.SLA a nivel de cliente o a unidad de negocio
3.SLA a nivel de un servicio en particular.
– Cantidad y % de objetivos que se están cubriendo en el Acuerdo
– Cantidad y severidad de las brechas de servicio
– Cantidad y % de SLAs administrados y gestionados
– Cantidad de servicios sobre los que se hacen e informan revisiones
– Mejoras en la Satisfacción del Cliente
MÉTRICAS
21/4/2017
41
• Identificar los adecuados representantes de los Clientes y el negocio
• Tener bajo control los temas pendientes
• Diferentes Requerimientos para diferentes niveles dentro de la comunidad
de usuarios
• Mantener el adecuado monitoreo de las mejoras de los servicios
• Lograr que los SLAs se firmen al nivel adecuado
El plan de mejoras de servicio se ejecuta una vez que el
servicio está dado y busca la mejora y el aprendizaje en
base a los riesgos e impactos relacionados con el servicio
DESAFÍOS
• Asegurar que los SLA sean alcanzables antes de comprometerse
• Verificar resultados propuestos en SLA antes de acordar con el
cliente.
• Cuidar que no sean extensos.
• Foco, recursos y tiempo inadecuado: a menudo SLM es visto como
algo que puede ser hecho “en los márgenes de tiempo”
• Autoridad insuficiente dada a la gestión de nivel de servicio por
medio de negociaciones
• Los SLA pueden no estar soportados por contratos
• Las responsabilidades de las partes no están claramente definidas
• Los SLA que no son comunicados apropiadamente
• Para algunas compañías, la gestión del nivel de servicio (SLM) puede
ser visto como un gasto más que un servicio cobrable
• Muchas personas de TI y negocios están viendo al SLM como un
ejercicio en la arbitración de contratos
Posibles problemas
Generar en plazo los informes acordados, fiables y precisos
para la toma de decisiones y una comunicación eficaz.
• Debe haber una clara descripción de cada informe de servicio
conteniendo su identificación, propósito, audiencia y detalle de la
fuente de datos.
• Se deben tomar decisiones y acciones correctivas que consideren los
hallazgos determinados por los informes de servicio y deben ser
comunicadas a las partes interesadas.
21/4/2017
42
COBIT 5
Gobierno y gestión de terceras partes
Propósito
Obtener valor por el dinero de
proveedores, a la vez que se proveen
servicios integrales de TI al negocio.
Obtener valor por el dinero de
proveedores, a la vez que se proveen
servicios integrales de TI al negocio.
EJE VERTICAL
Lista de elementos de información que se dividenen
dos categorías:
• Elementos de información esenciales siempre
requeridos dentro de un módulo de temas.
• Elementos de información que a veces son
aplicables y que, a discreciónde los compradores, a
veces se espera dependiendoel módulo de temas.
EJE HORIZONTAL
Elementos de información requerida asignados a una
gama de módulos temáticos divididoen dos categorías:
• Módulos temáticos que siempre se incluirán en un
proceso de precalificacióny que están alineados con
las regulaciones de la organización
• Módulos de temas adicionales en los que el
comprador tiene la discreción de incluirlos o no
21/4/2017
43
Ayuda en la evaluación de la
capacidad, de adherirse y cumplir
los requisitos clave
Gestión de alto nivel, evaluación de
riesgos y grados de cumplimiento
de la información en los procesos
de precalificación de proveedores
Módulos temáticos "Core“
• Perfil de la organización
• Capacidades y Capacidades del Proveedor
• Información Financiera y Seguros
Gobernanza empresarial
• Políticas de empleo
• Salud y Seguridad
• Protección de datos
• Gestión Ambiental
• Gestión de la Calidad
Módulos temáticos "Core“
• Perfil de la organización
• Capacidades y Capacidades del Proveedor
• Información Financiera y Seguros
Gobernanza empresarial
• Políticas de empleo
• Salud y Seguridad
• Protección de datos
• Gestión Ambiental
• Gestión de la Calidad
Módulos temáticos "adicionales“
• Ética empresarial
• Trazabilidad de la cadena de suministro
• Gestión de la Seguridad de la Cadena de
Suministro
• Igualdad de Oportunidades y Libertad de
Asociación
• Práctica Disciplinaria y Abuso
• Gestión de la Continuidad del Negocio
Módulos temáticos "adicionales“
• Ética empresarial
• Trazabilidad de la cadena de suministro
• Gestión de la Seguridad de la Cadena de
Suministro
• Igualdad de Oportunidades y Libertad de
Asociación
• Práctica Disciplinaria y Abuso
• Gestión de la Continuidad del Negocio
Alcance del
servicio
Alcance de
responsabilidades
Alcance de los
controles
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
• Gestión del servicio
• Tratamiento de datos
• Gestión de registros
• Gestión de
componentes del
servicio
(Documentación y
RRHH)
MARCO
CONTRACTUAL
Los tres tipos de proveedores a clientes internos o externos de una
organización son:
Contratación interna
• Tipo I: encargada a proveedores internos de servicios circunscritos a
cada unidad de negocio
• Tipo II: encargadas a unidades de servicios compartidosque prestan sus
servicios a las diferentes unidades de negocio pertenecientes a una
misma corporación
Contratación externa (Tipo III)
• Tradicional: un solo proveedor de servicios se encarga de la prestación
del servicio en cuestión
• Múltiple:
• Principal: un solo proveedor de servicios que subcontrata a su vez a
otros proveedores
• Consorcio: combinación de diferentes proveedores de servicios para
optimizar la oferta y calidad del servicio
• Selectiva: múltiples proveedores gestionados directamente por la
organización receptora del servicio
129
21/4/2017
44
Tipo de proveedores
• Suministrador Estratégico: Proveedor de servicios a
nivel mundial/Aplicación CORE.
• Suministrador Táctico: Proveedor de servicios de
resolución de incidentes en servidores.
• Suministrador Operacional: Proveedor de servicios de
hosting para un servicio interno de bajo impacto.
• Suministrador de Servicios y productos de fácil
acceso: Suministrador de papel o tóner de impresora.
Análisis de la
contratación
Evaluación del
proveedor
Condiciones de
administración y
operación de TI
Condiciones de
Seguridad de la
Información
Control del
servicio
• Descripción de objetivos
• Lista de proveedores
• Procedimientode selección
• Análisis costo - beneficio
• Aplicaciones que se le dará al producto o servicio a adquirir
• Observacionesy recomendaciones
• Capacidad financiera
• Capacidad técnica
• Habilidad de gestión y recursos disponibles.
• Política de manejo de cuentas y vínculo con los clientes
• Instrucción,capacitación e implementación
• Mantenimientode software y equipo
• Seguridad de los datos
• Beneficios del sistema
• Vida útil prevista para el sistema
• Reputación y fiabilidad del fabricante y el proveedorde servicios
• Gestión de calidad
• Registro de inspeccionessobre condicionesy
elementos de seguridad general
• Auditorías
• Capacitación del personal
• Tecnología utilizada (hardware y software)
• Niveles de actualización general
Análisis de
riesgos
Controles, monitoreo y
auditorías
• Alcance de las actividades;
• Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado;
• Participación de subcontratistas.
• No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría
interna y/o externa de dichas actividades.
• Compromisos de confidencialidad. Término de compromiso de confidencialidad de la información a la que
tenga acceso/alcance el proveedor y/o subcontratista.
• Identificar posibles riesgos:
• Los mecanismos de notificación de cambios en el control accionario;
• Los mecanismos de notificación de cambios de niveles gerenciales;
• Resarcimiento por daños económicos que causará el proveedor
• El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda obtener los datos, los
programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que
pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado
• Tener derecho a realizar auditorías a los proveedores, propias o de empresas contratadas para tal fin, y
eestablecer que cualquier Entidad Regulatoria pueda acceder sin limitación
• Contar con un plan de contingencia
21/4/2017
45
Conectividad y
servicios de
nube
Conectividad y
servicios de
nube
Espacio Físico
Proveedor Espacio Físico
Cliente
Componentes
Físicos
Componentes
Físicos
Usuario
Final
EnlacesEnlaces
GobiernoGobierno
EducaciónEducación
CumplimientoCumplimiento
Gestión
de Riesgo
Gestión
de Riesgo
EducaciónEducación
Gestión
de Riesgo
Gestión
de Riesgo
Componentes
Virtuales
Componentes
Virtuales
Complemento de los procedimientos formales del área de compras,
establece las previsiones que se deben tomar en consideración a la calidad del servicio y la
seguridad de la información, en la contratación de proveedores y contratistas para las áreas
tecnológicas
Alcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Software y aplicaciones de usuariosSoftware y aplicaciones de usuarios
Sistemas operativos y bases de datosSistemas operativos y bases de datos
InfraestructuraVirtualInfraestructuraVirtual
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
Hardware
Software
Conectividad
IaaS
Hardware
Software
Conectividad
IaaS
Servicio
Soporte
Aplicaciones
del Proveedor
SaaS
Servicio
Soporte
Aplicaciones
del Proveedor
SaaS
Desarrollo
Despliegue de
Aplicaciones
del Cliente
PaaS
Desarrollo
Despliegue de
Aplicaciones
del Cliente
PaaS
Aplicación
Plataforma
Infraestructura
Virtualización
Recursos físicos
Externalizar responsabilidad, no subcontratarla
Evitar “Acusaciones cruzadas"
Garantía del proveedor de no poder descifrar los datos
Gestión de riesgos y control al proveedor en la forma continua
Gestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta.
21/4/2017
46
Extremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
Balance de decisiones = Perfil de riesgo
Tangibilizar los riesgos asociados a los “extremos” para
poder establecer los controles necesarios y adecuados
Extremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
DatosDatos
Hardware e infraestructurade redHardware e infraestructurade red
Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía)
GobiernoGobierno
Gestión de
Riesgo
Gestión de
Riesgo
EducaciónEducación CumplimientoCumplimiento
Reinvertir en controles
AHORRO
Control de Acceso
Afecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control de Acceso
Afecta a la confidencialidad , Integridad
y Disponibilidad de los datos
Control Ambiental
Afecta al rendimiento y la integridad de
la prestación del servicio.
Control Ambiental
Afecta al rendimiento y la integridad de
la prestación del servicio.
21/4/2017
47
Estrategia de Contratación Descripción
Contratación interna
(Insourcing)
Utiliza los recursos internos de la organización para todas las etapas
del Ciclo de Vida
Contratación externa
(Outsourcing)
Utiliza recursos externos de la organización
Contratación Conjunta
(Co-sourcing)
La combinación de Insourcing y Outsourcing para proveer los
elementos clave del Ciclo de vida
Asociación o contratación múltiple
(Partnership o Multi-sourcing)
Acuerdos formales entre 2 o más organizaciones para trabajar en
forma conjunta. Foco en los partners estratégicos para aprovechar
oportunidades de mercado
Contratación externa de procesos
de negocio
(Business Process Outsourcing)
Los BPO son acuerdos formales entre 2 o más organizaciones para
reubicar una completa función del negocio. (por ej. Sueldos, call
center) a una locación de menor costo
Aprovisionamiento de servicios de
aplicación
(Application Service Provision)
Acuerdo formal con un Application Service Provider (ASP) para
proveer un servicio sobre un computador en una red (muchas veces
llamado ‘on-demand’ software/applications)
Contratación externa de procesos
de conocimiento
(Knowledge Process Outsourcing)
Provisión de especialistas en procesos y negocio requiriendo
específicos skills del outsourcer. La KPO se encuentra un paso
delante de la BPO en cuanto al dominio de los profesionales en el
tema
COBIT 5
Gobierno, eventos y la continuidad de negocios
• Evento
• Un Evento es un cambio de estado que es importante para la Gestión de un
Elemento de Configuración (CI) o Servicio
• Finalización de un job batch, evento sobre el cual el staff de Operaciones puede
tomar alguna acción y puede llegar a ser un Incidente
• Gestión de Eventos
• El proceso responsable de administrar y gestionar los Eventos durante todo
el Ciclo de Vida
• Alerta
• Es una advertencia de que algo ocurrió y requiere una acción o intervención
humana después que el evento ocurrió
• Incluye cualquier aspecto de servicios que se necesite controlar y que pueda ser
automatizado:
• Condiciones ambientales
• Monitorización de licencias de Software
• Seguridad (detección de intrusos)
• Actividad Normal (monitorizar una aplicación)
Proceso de resolución
21/4/2017
48
• Detectar Eventos y conocer que ocurrieron para determinar
las adecuadas acciones de control
• Gestión de Eventos es la base del Monitoreo y control
Operacional
• Proporciona mecanismos para la detección temprana de
Incidentes
• Si se integra con Gestión de Disponibilidad y Gestión de
Capacidad, la Gestión de Eventos puede indicar cambios de
estado o excepciones que permitan una respuesta
temprana
Objetivos
¿Qué es un incidente?
Tener en cuenta que un incidente jamás se
convierte en un problema
Tener en cuenta que un incidente jamás se
convierte en un problema
Es una interrupción no planificada de un servicio que
ocurre de forma eventual, que puede causar una
interrupción del servicio o una reducción en su calidad
• Una condición identificada en
múltiples incidentes con síntomas
comunes
• Conlleva un proceso de análisis
para identificar las causas
La resolución de un
incidente solo busca
RECOMPONER EL
SERVICIO
Relaciones
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Cambios
Los Incidentes siguen ocurriendo
hasta que el cambio esté implementado
Los Incidentes siguen ocurriendo
hasta que el cambio esté implementado
Problema >
Error Conocido
Problema >
Error Conocido
Causa raíz
identificada
Causa raíz
identificada
solución temporalsolución temporal
Implementación
del Cambio
Implementación
del Cambio
Generación
deRFC
Generación
deRFC
21/4/2017
49
Base de datos de
errores/ Problemas
Service Desk
Operaciones
Redes
Procedimientos
Otras fuentes
de incidentes
Procedimientos de
pedido de servicio
CMDB
Proceso de
Gestión de
Cambios
Proceso de
entrada de
incidentes
Resolución
Work-
arounds
Proceso de Gestión
de Incidentes
•Detección y registro de
incidentes
•Clasificación y soporte
inicial
•Investigación y
diagnóstico
•Resolución y
recuperación
•Cierre del incidente
•Asignación de
incidentes, supervisión,
seguimiento y
comunicación
Ruteo
RFC
Resolución
Detalles de
Configuración
Resolución / Work-around
Supervisión
Incidencia RecuperaciónDiagnóstico
ReparaciónDetección
Incidencia
Restablecimiento
MTBF – Tiempo medio entre fallas
o tiempo de disponibilidad
Tiempo de
recuperación
Tiempo reparación
Tiempo de
respuesta
Tiempo de
detección
MTBSI – Tiempo medio entre incidencias del sistema
MTTR: Tiempo medio de reparación o tiempo de inactividad
1 hora
9 horas
10 horas
9 horas
1 hora
10 horas
Líneas de soporte
Procedimiento
de pedido de
servicio
Detectar y
registrar
Soporte
inicial
Resolución
Recupero
Pedido
Investigación
Diagnóstico
¿Resuelto?
Primera línea Segunda línea Tercera línea N-línea
¿Resuelto?
Investigación
Diagnóstico
¿Resuelto?
Resolución
Recupero
Resolución
Recupero
ETC
SI
Cierre
NO
NO
NO
21/4/2017
50
Categorías de incidentes
Se debe categorizar el incidente para que quede un registro
del tipo exacto del incidente.
• Prioridad, es la importancia relativa de un incidente ,
problema o cambio.
• Impacto, medida del efecto de un incidente, problema o
cambio sobre los procesos del negocio.
• Urgencia, medida de tiempo hasta que un incidente,
problema o cambio tiene un impacto significativo sobre
el negocio.
• Numero total de Incidentes
• Desglose en cada etapa del ciclo de vida
• Tiempo promedio transcurrido hasta lograr la solución
• Desglose por código de impacto
• % de Incidentes manejados dentro del tiempo de respuesta
acordado
• % de Incidentes resueltos en el Service Desk (1er Nivel)
• Cantidad y % de Incidentes Mayores
• Cantidad y % de Incidentes correctamente asignados.
• Costo promedio de la gestión de Incidentes
Métricas
La gestión de problemas busca minimizar el
impacto de los incidentes y problemas en el
negocio, y evitar la repetición de incidentes.
Actúa desde la identificación, pasando por la
investigación y documentación, hasta la
eventual eliminación del problema.
21/4/2017
51
• Los incidentes “no son” un problema.
• Los problemas causan incidentes.
• La gestión reactiva de problemas, se dispara por un
incidente que ha tenido lugar (actividades basadas en la
fase de operaciones)
• La gestión proactiva de problemas, se dispara por
actividades que buscan mejorar los servicios (actividades
basadas en las fases del diseño y de mejora continua).
• Base de datos de errores conocidos contiene registro de
todos los errores conocidos. Los registros deben contener
información del fallo, síntomas, detalles de la solución.
“Soportar los procesos de gestión de
continuidad de negocios asegurando
que los servicios de TI requeridos,
pueden ser recuperados para
reanudar su actividad frente a una
caída, dentro de los tiempos y en las
condiciones acordadas con el
negocio”
• Mantener los Planes de Continuidad y Planes de Recuperación
• Realizar ejercicios de Análisis de impacto en el negocio (BIA)
para asegurar que todos los Planes están alineados al negocio
y a sus posibles cambios
• Evaluar impacto en los cambios de los Planes
• Asegurar implementación de medidas proactivas que permitan
asegurar la disponibilidad del servicio, cuyos costos sean
justificables
• Negociar y acordar contratos con los proveedores para tener
en cuenta el aprovisionamiento necesario para el caso de
contingencias que permitan soportar el plan de continuidad
• Realizar evaluación de riesgos y ejercicios regulares para
asegurar que los Planes definidos funcionan
21/4/2017
52
Se define en términos de:
• Procesos de negocios a ser cubiertos y sus
requerimientos de TI
• Riesgos que deben considerarse
• Incluye:
• Dependencia tecnológica de la organización
• Número de ubicaciones y servicios provistos
• Nivel de servicios necesarios para soportar procesos de
negocios
• Limitaciones en los mecanismos de provisión de TISCM
• Actitudes de las organizaciones hacia el riesgo
Planeamiento
de
Contingencia
Gestión de la
Continuidad de
Negocios
Planeamiento de
la Continuidad
de Negocios
[BCP]
Planeamiento de
la Gestión de
Continuidad de
Servicios de TI
[TISCM]
• Tecnología como componente central de más procesos de negocios
• Disponibilidad de TI es crítica
• Compromiso de niveles directivos
• Apoyo de toda la organización
• Mantenimiento continuo de la capacidad de recuperación, mediante:
• Procesos de gestión de configuración y cambio
• Formación y concientización de la organización
• Tecnología de punta y herramientas de software de soporte
• Formación específica del personal involucrado en el proceso
• Pruebas regulares
Conceptos básicos
21/4/2017
53
Modelo del Proceso Iterativo
Iniciar BCM
Análisis de Impacto en el negocio
Evaluación de Riesgos
Estrategia de continuidad del negocio
Planif. Organización
e Implementación
Desarrollar planes
de recuperación
Implementar medidas
de reducción de riesgo
Implementar
acuerdos
Desarrollar Procedimientos
Prueba Inicial
Etapa 1
Inicio
Etapa 2
Requerimientos
y Estrategia
Etapa 3
Implementación
Etapa 4
Gestión
Operativa
Educación y
Comunicación
Revisión y
Auditoria
Prueba
Gestión de
Cambios
Capacitación
Aseguramiento de la Calidad
Establecer políticas, alcance
“Entender los requerimientos de disponibilidad
del negocio y planificar, medir, supervisar y
mejorar continuamente la disponibilidad de la
infraestructura de TI, sus servicios y la
organización de soporte, para asegurar que
estos requerimientos se satisfagan”
• Asegurar que los servicios de TI están diseñados para proveer o
exceder el nivel de disponibilidad requerida por el negocio
• Proporcionar reportes de disponibilidad para asegurar que los
niveles acordados de disponibilidad y confiabilidad son
supervisados regularmente
• Optimizar la disponibilidad de la infraestructura para mejorar la
relación costo-beneficio
• Disminuir en un periodo de tiempo la frecuencia y duración de
incidentes que impactan la disponibilidad de TI
• Producir un Plan de disponibilidad actualizado y evaluar el
impacto de los cambios en el mismo
21/4/2017
54
Requerimientos de
disponibilidad de negocios
Evaluación de impacto
en los negocios
Requerimientos de disponibilidad,
fiabilidad y mantenimiento
Datos de incidentes y
problemas
Datos de supervisión y
configuración
Realización de niveles de
servicios
Diseño de criterio de
disponibilidad y recuperación
Capacidad de recuperación de
infraestructura de TI y evaluación
de riesgos
Objetivos acordados de disponibilidad
fiabilidad y mantenimiento
Reportes de disponibilidad
fiabilidad y mantenimiento
Supervisión de disponibilidad
Planes de mejoramiento
de disponibilidad
La disponibilidad de la infraestructura de TI es influenciada por:
 Complejidad de la infraestructura de TI y el diseño de
servicios
 Confiabilidad de los componentes
 Capacidad de la organización de soporte de TI para
mantener la infraestructura de TI
 Niveles y calidad de mantenimientos provisto por
proveedores
 Calidad de los procesos y procedimientos operacionales
Influencias
162
CAPACIDAD
HARDWARE Y
SOFTWARE
PLANIFICACIÓN
DE ESPACIO
CAPACIDAD DE
SISTEMAS
AMBIENTALES
CAPACIDAD DE
RRHH
21/4/2017
55
Estrategia de
Negocios
Plan de
Negocios
Estrategia de
TI/SI
Plan de
Negocios
de TI/SI
Gestión de
Capacidad
Gestión de
Capacidad
Rendimiento
y
Capacidad
Rendimiento
y
Capacidad
Hardware Redes
Periféricos Software
Recursos
Humanos
• Documenta el nivel actual de utilización de recursos y
el rendimiento de los servicios
• Debe alinearse con los planes y estrategias de
negocios
• Pronostica requerimientos futuros de recursos para
soporte de los servicios de TI
• Deben indicarse claramente los supuestos
• Recomienda sobre recursos requeridos, costos,
beneficios, impactos, etc.
• Debe actualizarse preferentemente en forma
trimestral
AjusteAjuste
MonitoreoMonitoreo
AnálisisAnálisisImplementaciónImplementación
Reporte
de
excepciones
al SLM
Reporte
de
excepciones
al SLM
Reportes de
excepciones
al uso
de recursos
Reportes de
excepciones
al uso
de recursos
Umbral de
Uso de
Recursos
Umbral de
Uso de
Recursos
Base de
Datos de
Capacidad
Base de
Datos de
Capacidad
Umbral
de SLM
Umbral
de SLM
165
21/4/2017
56
Garantizar que se controlen adecuadamente los activos
necesarios para la entrega de servicios.
Incluye la gestión del ciclo de vida completo de cada CI.
Garantizar que se controlen adecuadamente los activos
necesarios para la entrega de servicios.
Incluye la gestión del ciclo de vida completo de cada CI.
• Conocer los bienes de TI, las configuraciones
dentro de la organización y los servicios
• Proveer información precisa sobre configuraciones
y su documentación para contribuir con todos los
otros procesos de gestión de servicios
• Brindar una base sólida para gestión de eventos,
incidentes, problemas, cambios y versiones de
software
• Verificar los registros de configuración contra la
infraestructura y corregir cualquier diferencia
• Gestión de configuración
• Incluye la información sobre los elementos de configuración
necesarios para los otros procesos
• Además mantiene detalles de las relaciones entre los elementos de
configuración
• Gestión de Activos
• Es un proceso contable que incluye depreciación
• Mantiene detalles de encima de un determinado valor, su unidad de
negocio y su ubicación
Configuración básica o Baseline
“Una configuración estándar que se puede
reproducir y distribuir a los usuarios.”
21/4/2017
57
Actividades
Gestión de la
Configuración
Gestión de la
Configuración
1
Gestión y
Planificación
1
Gestión y
Planificación
3
Control de
Configuración
3
Control de
Configuración
4
Reporte de
estados
4
Reporte de
estados
2
Identificación
de
Configuración
2
Identificación
de
Configuración
5
Auditoria y
verificación
5
Auditoria y
verificación
170
Controlar el ciclo de vida de
todos los cambios, permitiendo
que estos se realicen con una
interrupción mínima de los
servicios de TI para el negocio.
Controlar el ciclo de vida de
todos los cambios, permitiendo
que estos se realicen con una
interrupción mínima de los
servicios de TI para el negocio.
Abarca los cambios para
servicios activos y para
Elementos de Configuración de
la línea base durante el Ciclo de
vida del Servicio
Abarca los cambios para
servicios activos y para
Elementos de Configuración de
la línea base durante el Ciclo de
vida del Servicio
Asegurar que los cambios
• Se registran
• Se evalúan
• Se autorizan
• Se clasifican por prioridad
• Se planifican
• Se prueban
• Se implementan
• Se documentan
• Se revisan
• Se controlan
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TI

Más contenido relacionado

La actualidad más candente

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
Armando Perez
 
Cobit2019 iaia
Cobit2019 iaiaCobit2019 iaia
Cobit2019 iaia
JuanDiego99144
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Oriol Recasens
 
AUDITORIA EXTERNA
AUDITORIA EXTERNAAUDITORIA EXTERNA
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptx
franco592473
 
Objetivo general de una auditoría financiera
Objetivo general de una auditoría financieraObjetivo general de una auditoría financiera
Objetivo general de una auditoría financiera
Xiomara Enriquez
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
jorgeluisguzmntorres1
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Auditoria Gubernamental
Auditoria GubernamentalAuditoria Gubernamental
Auditoria Gubernamental
Elena Vasquez Vargas
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistema
Omaru Calderon Santander
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
Carlos Francavilla
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
Carlos Avendaño Barria
 
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptxCore de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
VillaOviedo
 
Clases de Sistemas de Información en las Empresas
Clases de Sistemas de Información en las EmpresasClases de Sistemas de Información en las Empresas
Clases de Sistemas de Información en las Empresas
César Augusto Céspedes Cornejo
 
Sistemas de informacion administrativa
Sistemas de informacion administrativaSistemas de informacion administrativa
Sistemas de informacion administrativa
Aime Rodriguez
 
ITIL
ITILITIL

La actualidad más candente (20)

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
Cobit2019 iaia
Cobit2019 iaiaCobit2019 iaia
Cobit2019 iaia
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN Tic
 
AUDITORIA EXTERNA
AUDITORIA EXTERNAAUDITORIA EXTERNA
AUDITORIA EXTERNA
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
 
Controles generales de TI.pptx
Controles generales de TI.pptxControles generales de TI.pptx
Controles generales de TI.pptx
 
Objetivo general de una auditoría financiera
Objetivo general de una auditoría financieraObjetivo general de una auditoría financiera
Objetivo general de una auditoría financiera
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
 
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
FUNDAMENTOS DE LA AUDITORÍA INFORMÁTICA.
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Auditoria Gubernamental
Auditoria GubernamentalAuditoria Gubernamental
Auditoria Gubernamental
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistema
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptxCore de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
Core de Cobit 2019​ (Objetivos Empresariales-Componentes de Gobierno.pptx
 
Clases de Sistemas de Información en las Empresas
Clases de Sistemas de Información en las EmpresasClases de Sistemas de Información en las Empresas
Clases de Sistemas de Información en las Empresas
 
Sistemas de informacion administrativa
Sistemas de informacion administrativaSistemas de informacion administrativa
Sistemas de informacion administrativa
 
ITIL
ITILITIL
ITIL
 

Similar a Taller de gobierno y gestión de TI

asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docx
SilvyAndreaCaicedo
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
SilvyAndreaCaicedo
 
Modelos y Buenas Prácticas de Seguridad
 Modelos y Buenas Prácticas de Seguridad  Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad
Pedro Cobarrubias
 
Metodos ITIL, COBIT, BS15000
Metodos  ITIL, COBIT, BS15000Metodos  ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
Christian Cruz
 
Tabla comparativa
Tabla comparativaTabla comparativa
Tabla comparativa
Al-Hatal Ndsb
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridad
Pedro Cobarrubias
 
Cobit 5 vs i til
Cobit 5 vs i tilCobit 5 vs i til
Cobit 5 vs i til
Laura Arteaga
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
Héctor Ardón Morga
 
Cobit
CobitCobit
Cobit
siammese
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptx
SilvyAndreaCaicedo
 
Gestión de ti introduccion cobit itil pmi
Gestión de ti introduccion cobit itil pmiGestión de ti introduccion cobit itil pmi
Gestión de ti introduccion cobit itil pmi
Germania Rodriguez
 
ITIL_cobit_ comparacion de evaluaciones
ITIL_cobit_ comparacion de  evaluacionesITIL_cobit_ comparacion de  evaluaciones
ITIL_cobit_ comparacion de evaluaciones
MoisesAoronSalazarLe
 
Pp Sistema (Cobit)
Pp Sistema (Cobit)Pp Sistema (Cobit)
Pp Sistema (Cobit)
guest202852
 
COBIT5-and-InfoSec-Spanish.ppt
COBIT5-and-InfoSec-Spanish.pptCOBIT5-and-InfoSec-Spanish.ppt
COBIT5-and-InfoSec-Spanish.ppt
jhoneramis
 
Cobit 5
Cobit 5 Cobit 5
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
SilvyAndreaCaicedo
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
SilvyAndreaCaicedo
 
Equipo3 presentacion2 cobit
Equipo3 presentacion2 cobitEquipo3 presentacion2 cobit
Equipo3 presentacion2 cobit
Francisco Franck
 
Emm fhr reporte
Emm fhr  reporteEmm fhr  reporte
Emm fhr reporte
ITSM
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
Eli Blas
 

Similar a Taller de gobierno y gestión de TI (20)

asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docx
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
Modelos y Buenas Prácticas de Seguridad
 Modelos y Buenas Prácticas de Seguridad  Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad
 
Metodos ITIL, COBIT, BS15000
Metodos  ITIL, COBIT, BS15000Metodos  ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000
 
Tabla comparativa
Tabla comparativaTabla comparativa
Tabla comparativa
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridad
 
Cobit 5 vs i til
Cobit 5 vs i tilCobit 5 vs i til
Cobit 5 vs i til
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
Cobit
CobitCobit
Cobit
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptx
 
Gestión de ti introduccion cobit itil pmi
Gestión de ti introduccion cobit itil pmiGestión de ti introduccion cobit itil pmi
Gestión de ti introduccion cobit itil pmi
 
ITIL_cobit_ comparacion de evaluaciones
ITIL_cobit_ comparacion de  evaluacionesITIL_cobit_ comparacion de  evaluaciones
ITIL_cobit_ comparacion de evaluaciones
 
Pp Sistema (Cobit)
Pp Sistema (Cobit)Pp Sistema (Cobit)
Pp Sistema (Cobit)
 
COBIT5-and-InfoSec-Spanish.ppt
COBIT5-and-InfoSec-Spanish.pptCOBIT5-and-InfoSec-Spanish.ppt
COBIT5-and-InfoSec-Spanish.ppt
 
Cobit 5
Cobit 5 Cobit 5
Cobit 5
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
Equipo3 presentacion2 cobit
Equipo3 presentacion2 cobitEquipo3 presentacion2 cobit
Equipo3 presentacion2 cobit
 
Emm fhr reporte
Emm fhr  reporteEmm fhr  reporte
Emm fhr reporte
 
Cobit 5 presentacion
Cobit 5 presentacionCobit 5 presentacion
Cobit 5 presentacion
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
Fabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
Fabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
Fabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
Fabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
Proteccion frente a ciberataques
 Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
Fabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad   30 noviembre 2021Dia internacional ciberseguridad   30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
Fabián Descalzo
 
2021 Mes de la ciberseguridad
  2021 Mes de la ciberseguridad  2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
Fabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
Fabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
Fabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
 Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad   30 noviembre 2021Dia internacional ciberseguridad   30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
  2021 Mes de la ciberseguridad  2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
ginnazamudio
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
lautyzaracho4
 
2° año LA VESTIMENTA-ciencias sociales 2 grado
2° año LA VESTIMENTA-ciencias sociales 2 grado2° año LA VESTIMENTA-ciencias sociales 2 grado
2° año LA VESTIMENTA-ciencias sociales 2 grado
GiselaBerrios3
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
acgtz913
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
La vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primariaLa vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primaria
EricaCouly1
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
ROCIORUIZQUEZADA
 
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdfp4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
DavidCamiloMosquera
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
Sandra Mariela Ballón Aguedo
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
Jose Luis Jimenez Rodriguez
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
VeronicaCabrera50
 
Camus, Albert - El Extranjero.pdf
Camus, Albert -        El Extranjero.pdfCamus, Albert -        El Extranjero.pdf
Camus, Albert - El Extranjero.pdf
AlexDeLonghi
 
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJAPANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
estroba5
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
karlafreire0608
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
lautyzaracho4
 
Business Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business TechBusiness Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business Tech
johnyamg20
 
Prueba/test conoce tus heridas de la infancia
Prueba/test conoce tus heridas de la infanciaPrueba/test conoce tus heridas de la infancia
Prueba/test conoce tus heridas de la infancia
LudmilaOrtega3
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
josseanlo1581
 
Escuela Sabática. El conflicto inminente.pdf
Escuela Sabática. El conflicto inminente.pdfEscuela Sabática. El conflicto inminente.pdf
Escuela Sabática. El conflicto inminente.pdf
Alejandrino Halire Ccahuana
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
JAVIER SOLIS NOYOLA
 

Último (20)

CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
 
2° año LA VESTIMENTA-ciencias sociales 2 grado
2° año LA VESTIMENTA-ciencias sociales 2 grado2° año LA VESTIMENTA-ciencias sociales 2 grado
2° año LA VESTIMENTA-ciencias sociales 2 grado
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
 
La vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primariaLa vida de Martin Miguel de Güemes para niños de primaria
La vida de Martin Miguel de Güemes para niños de primaria
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
 
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdfp4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
 
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZACORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
CORREOS SEGUNDO 2024 HONORIO DELGADO ESPINOZA
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
 
Camus, Albert - El Extranjero.pdf
Camus, Albert -        El Extranjero.pdfCamus, Albert -        El Extranjero.pdf
Camus, Albert - El Extranjero.pdf
 
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJAPANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
 
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptxNuevos espacios,nuevos tiempos,nuevas practica.pptx
Nuevos espacios,nuevos tiempos,nuevas practica.pptx
 
Business Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business TechBusiness Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business Tech
 
Prueba/test conoce tus heridas de la infancia
Prueba/test conoce tus heridas de la infanciaPrueba/test conoce tus heridas de la infancia
Prueba/test conoce tus heridas de la infancia
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
 
Escuela Sabática. El conflicto inminente.pdf
Escuela Sabática. El conflicto inminente.pdfEscuela Sabática. El conflicto inminente.pdf
Escuela Sabática. El conflicto inminente.pdf
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
 

Taller de gobierno y gestión de TI

  • 1. 21/4/2017 1 Gestión de Aseguramiento Corporativo Fabián Descalzo Gerente de Gobierno, Riesgo y Cumplimiento Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec by Deloitte., con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Académico E-GISART 2016 de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ISACA Buenos Aires Chapter, certificado en Dirección de Seguridad de la Información (Universidad CAECE), IRCA ISMS Auditor | Lead Auditor ISO/IEC 27001, instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu) para TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO- Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA MontevideoChapter. Profesor del módulo 27001 del curso de “TI Governance, Uso eficiente de Frameworks”, y de la “Diplomatura en Gobierno y Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA) y Profesor en Sistemas de Gestión TI y Seguridad de la Información para entidades certificadoras. Perfil del disertante Agenda Fase 1 Fase 2 Fase 3 • COBIT 5, sus principios y terminología • Necesidades actuales de los negocios relativas a las TI • Motivos principales para desarrollar COBIT 5 • Beneficios de usar COBIT 5 para el negocio • Arquitectura de productos COBIT 5 • Los 5 principios de COBIT 5 para el gobierno y gestión de las TI de las empresas • Prácticas de mejora de control a dispositivos • Como los problemas de gestión de TI están afectando a las organizaciones • Cómo COBIT 5 facilita el gobierno y gestión integrales de las TI en toda la empresa • Cómo los procesos de COBIT 5 y el Modelo de Referencia de Procesos (PRM, por sus siglas en inglés) permiten realizar los 5 principios y los 7 mecanismos facilitadores (‘catalizadores’) de gobierno y gestión • Servicios de TI a clientes internos • Lo esencial del ciclo de vida de implantación del gobierno y gestión TI. • Cómo identificar y evaluar las funciones y responsabilidades en el proceso de evaluación de la capacidad del proceso • Conceptos del Modelo de Evaluación de la Capacidad de Procesos (PAM, por sus siglas en inglés) • Atributos principales de COBIT 5 PAM Fuente: COBIT® 5 y sus definiciones, ISACA®, y las figuras de COBIT 5 son propiedadde ISACA © 2012 ISACA®
  • 2. 21/4/2017 2 COBIT 5 Principios, terminologías y asociación con el Gobierno, Riesgo y Cumplimiento Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas, interacciones con los clientes y con terceros. Esta información se crea, usa, retiene, divulga y destruye, y se encuentra en distintas formas y en numerosas aplicaciones. La Tecnología juega un Papel Clave en esas actividades y se está convirtiendo en parte integral de todos los aspectos de la vida personal y comercial ¿Cuáles son las funciones de la tecnologías en una empresa? ¿Cómo aprovechar la inversión en TIC?
  • 3. 21/4/2017 3 Las Tecnologías de la información poseen los siguientes recursos: • Los tangibles que están representados por los diferentes componentes de la infraestructura física de TI. • Los recursos humanos asociados a TI que incluye el conocimiento de las herramientas técnicas y de gestión de las Tecnologías de la información. • Los intangibles asociados a TI, que están representados por los activos de conocimiento, orientación al cliente y sinergias presentes en cada organización. Las Tecnologías de la información son capacidades organizativas creadas por la interacción de los citados recursos COBIT 5COBIT4.0/4.1COBIT3COBIT2COBIT1 2005/7200019981996 2012 Val TI 2.0 (2008) Risk TI (2009) Único Marco Empresarial Completo • Mantener información de calidad para apoyar las decisiones del negocio. • Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI. • Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología. • Mantener el riesgo relacionado con TI a niveles aceptables. • Optimizar el costo de la tecnología y los servicios de TI. ¿Cómo se logran estos beneficios con el fin de crear valor para las partes interesadas de la organización? 9
  • 4. 21/4/2017 4 • Para lograr valor para las partes interesadas de la Organización, se requiere un buen gobierno y una buena administración de los activos de TI y de la información. • Los Directivos, Gerentes y Ejecutivos de las Organizaciones deben acoger la TI como cualquier otra parte importante del negocio. • Cada día aumentan y se complican más los requisitos externos, tanto legales como de cumplimiento regulatorio y contractual, relacionados con el uso de la información y la tecnología en la Organización, amenazando el patrimonio si no se cumplen. • COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización. 10 • COBIT 5 se basa en un modelo revisado de referencia de procesos con un nuevo dominio de gobernanza y varios procesos nuevos y modificados que ahora cubren las actividades empresariales de extremo a extremo, es decir, las áreas de funciones de negocios y TI. • COBIT 5 consolida COBIT 4.1, Val TI y Risk TI en un solo marco y ha sido actualizado para alinearse con las mejores prácticas actuales. • COBIT 5 se basa en las versiones anteriores de COBIT y por lo tanto las empresas también pueden basarse en lo que han desarrollado utilizando versiones anteriores. • El nuevo modelo puede utilizarse como una guía para ajustar según sea necesario el propio modelo de proceso de la empresa (al igual que COBIT 4.1). • COBIT 5 presenta cinco nuevos procesos de gobernanza que han aprovechado y mejorado los enfoques COBIT 4.1, Val TI y Risk TI. Esta guía: • Ayuda a las empresas a perfeccionar y fortalecer las prácticas y actividades del gobierno de TI a nivel ejecutivo de gestión • Soporta la integración del gobierno de TI con las prácticas existentes de gobierno corporativo alineado con ISO / IEC 38500 Alinear, Planear, Organizar (APO) 01 Gestionar el marco de gestión de TI. 02 Gestionar la estrategia. 03 Gestionar la arquitectura empresarial. 04 Gestionar la innovación. 05 Gestionar el portafolio. 06 Gestionar el presupuesto y los costes. 07 Gestionar los recursos humanos. 08 Gestionar las relaciones. 09 Gestionar los acuerdos de servicio. 10 Gestionar los proveedores. 11 Gestionar la calidad. 12 Gestionar el riesgo. 13 Gestionar la seguridad. Construir, Adquirir, Implantar (BAI) 01 Gestionar programas y proyectos. 02 Gestionar la definición de requisitos. 03 Gestionar la identificación y construcción de soluciones. 04 Gestionar la disponibilidad y la capacidad. 05 Gestionar la introducción del cambio organizativo. 06 Gestionar los cambios. 07 Gestionar la aceptación del cambio y la transición. 08 Gestionar el conocimiento. 09 Gestionar los activos. 10 Gestionar la configuración. Entrega, Servicio, Soporte (DSS) 01 Gestionar operaciones. 02 Gestionar peticiones e incidentes de servicio. 03 Gestionar problemas. 04 Gestionar la continuidad. 05 Gestionar servicios de seguridad. 06 Gestionar controles de procesos de negocio Supervisar, Evaluar y Valorar (MEA) 01 Supervisar, evaluar y valorar el rendimiento y la conformidad. 02 Supervisar, evaluar y valorar el sistema de control interno. 03 Supervisar, evaluar y valorar la conformidad con los requerimientos externos
  • 5. 21/4/2017 5 Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI Procesos para la Administración de TI Corporativa Alinear, Planear y Organizar Construir, Adquirir e Implementar Entregar, Servir y Dar Soporte Monitorear, Evaluar y Valorar EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento EDM02 Asegurar la Entrega de Valor EDM03 Asegurar la Optimización de los Riesgos EDM04 Asegurar la Optimización de los Recursos EDM05 Asegurar la Transparencia a las partes interesadas APO01 Administrar el Marco de la Administración de TI APO02 Administrar la Estrategia APO04 Administrar la Innovación APO03 Administrar la Arquitectura Corporativa APO05 Administrar el Portafolio APO06 Administrar el Presupuesto y los Costos APO07 Administrar el Recurso Humano APO08 Administrar las Relaciones APO09 Administrar los Contratos de Servicios APO11 Administrar la Calidad APO10 Administrar los Proveedores APO12 Administrar los Riesgos APO13 Administrar la Seguridad BAI01 Administrar Programas y Proyectos BAI02 Administrar la Definición de Requerimientos BAI04 Administrar la Disponibilidad y Capacidad BAI03 Administrar la Identificación y Construcción de Soluciones BAI05 Administrar la Habilitación del Cambio BAI06 Administrar Cambios BAI07 Administrar la Aceptación de Cambios y Transiciones BAI08 Administrar el Conocimiento BAI09 Administrar los Activos BAI10 Admnistrar la Configuración DSS01 Administrar las Operaciones DSS02 Administrar las Solicitudes de Servicios y los Incidentes DSS04 Administrar la Continuidad DSS03 Administrar Problemas DSS05 Administrar los Servicios de Seguridad DSS06 Administrar los Controles en los Procesos de Negocio MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos Proceso Descripción Información APO13 Gestionar la seguridad Política de SGSI Política de cumplimiento Política de gestión de activos APO10 Gestionar los proveedores Política de gestión de proveedores DSS02 Gestionar las peticiones y los incidentes del servicio Política de respuesta a incidentes APO12 Gestionar el riesgo Política de gestión de riesgos DSS03 Gestionar los problemas Políticas para tratar las causas raíz DSS04 Gestionar la continuidad Política de continuidad de negocio DSS01 Gestionar las operaciones Política de gestión de operaciones y comunicaciones Política de Seguridad física y ambiental APO07 Gestionar los recursos humanos Política de seguridad de información personal Política de reglas de comportamiento Políticas de confidencialidad debidamente firmadas DSS05 Gestionar los servicios de seguridad Política de prevención de software malicioso Política de conectividad Política de control de acceso Política de seguridad para dispositivos de usuario final Se identifican las políticas por medio de los procesos identificados como prioritarios Ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos Permite que la información y la tecnología relacionada sean gobernadas y administradas de manera integral para el conjunto de la empresa, de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos Los principios y los facilitadores de COBIT 5 son de carácter genérico y útil para las empresas de todos los tamaños, sin importar su industria
  • 6. 21/4/2017 6 Entorno Productivo Registros y Controles GOBIERNO DE TI a) Evaluar el uso actual y futuro de TI. b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio. c) Monitorear la conformidad de las políticas, y el desempeño contra los planes. • El producto principal COBIT 5, es de amplia cobertura • Contiene el resumen ejecutivo y la descripción completa de todos los componentes del marco de COBIT 5: • Los 5 Principios de COBIT 5 • Los 7 Habilitadores de COBIT 5, más: • Una introducción a la guía de implementación proporcionada por ISACA (Implementación de COBIT 5) • Una introducción al Programa de Evaluación de COBIT (que no se refiere específicamente al COBIT 5) y el enfoque de la capacidad de los procesos que ISACA adopta para COBIT. Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral 3. Aplicar un solo marco integrado 4. Habilitar un enfoque holistico 5. Separar el Gobierno de la Administración Un sistema y sus propiedades se analizan como un todo, de una manera global e integrada Reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas
  • 7. 21/4/2017 7 Satisfacer las Necesidades de las Partes Interesadas • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas. • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. • El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. • Para cada decisión se puede, y se deben, hacer las siguientes preguntas: • ¿Quién recibe los beneficios? • ¿Quién asume el riesgo? • ¿Qué recursos se necesitan?  Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.  Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Los beneficios de las Metas en Cascada de COBIT 5: • Permite definir las prioridades para implementar, mejorar y asegurar el gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados: • En la práctica, las metas en cascada: • Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de responsabilidad. • Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento. • Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.
  • 8. 21/4/2017 8 Una empresa ha definido una cantidad de metas corporativas para sí misma, entre las que la satisfacción del cliente es la más importante. A partir de aquí, quiere conocer todos los aspectos relativos a Ti que necesita mejorar. La empresa decide que establecer la satisfacción del cliente como una prioridad clave equivale a elevar la prioridad de las siguientes metas corporativas (de la figura 5): • 6. Cultura de servicio orientada al cliente • 7. Continuidad y disponibilidad del servicio del negocio • 8. Respuestas ágiles a un entorno de negocios cambiante La empresa ahora da el siguiente paso en la casada de metas: analizando qué metas relacionadas con TI corresponden a estas metas corporativas. En el apéndice B se puede encontrar una sugerencia de alineamiento entre ellas. A partir de ahí, se sugieren como más importantes las siguientes metas relacionadas con TI (todas con relaciones `P`): • 01 Alineamiento de TI y la estrategia del negocio • 04 Gestión de los Riesgos de negocio de acuerdo con las TI gestionados • 07 Entrega de servicios de TI en línea con los requisitos del negocio • 09 Agilidad de TI • 10 Seguridad de la información, infraestructuras de procesamiento y aplicaciones • 14 Disponibilidad de información útil y relevante para la toma de decisiones • 17 Conocimiento, experiencia e iniciativas para la innovación en el negocio
  • 9. 21/4/2017 9 Después de realizar un análisis de las necesidades de las partes interesadas, una empresa decide que la sostenibilidades una estrategia prioritaria. A partir de ahí, la sostenibilidad no sólo incluye objetivos medioambientales, sino todos los aspectos que contribuyen a la existencia a largo plazo de la empresa. Basándose en los resultados del análisis de necesidades de las partes interesadas, la empresa decide enfocarse en los cinco objetivos siguientes, añadiendo algunas especificaciones de los objetivos más en profundidad: • 1. Valor para las partes interesadas de las inversiones del negocio, especialmente para los grupos de interés de la sociedad • 4. Cumplimiento de leyes y regulaciones externas, con foco en las leyes medioambientales y leyes que traten sobre normativas laborales dentro de acuerdos de externalización • 8. Respuesta ágil a un entorno de negocios cambiante • 16. Personas preparadas y motivadas, reconociendo que el éxito de la empresa depende de sus personas. • 17. Cultura de innovación de producto y negocio, con foco en las innovaciones a largo plazo. • ¿Cómo consigo valor del uso de TI? ¿Están los usuarios finales satisfechos con la calidad del servicio de TI? • ¿Cómo gestiono el rendimiento de TI? • ¿Cómo puedo explotar mejor las nuevas tecnologías para nuevas oportunidades de negocio? • ¿Cómo construyo y estructuro mejor mi departamento de TI? • ¿Cuánto dependo de los proveedores externos? ¿Estoy gestionando bien los contratos de externalización de TI? • ¿Cómo obtengo aseguramiento sobre los proveedores externos? • ¿Cuáles son los requisitos (de control) para la información? • ¿Considero todos los riesgos relativos a TI? • ¿Estoy realizando una operación de TI eficiente y resiliente? • ¿Cómo controlo el coste de TI? ¿Cómo utilizo los recursos de TI de la manera más efectiva y eficiente? • ¿Cuáles son las opciones de aprovisionamiento más efectivas y eficientes? • ¿Tengo suficiente personal para TI? ¿Cómo puedo desarrollar y mantener sus habilidades y cómo gestiono su rendimiento? • ¿Cómo consigo aseguramiento sobre TI? • ¿Está bien asegurada la información que se está procesando? • ¿Cómo puedo mejorar la capacidad de respuesta del negocio mediante un entorno de TI más flexible? • ¿Fracasan los proyectos de TI en proporcionar lo que habían prometido? Si es así, ¿por qué? ¿Está siendo TI un obstáculo para ejecutar la estrategia de negocio? • ¿Cuán críticas son las TI para la sostenibilidad de la empresa? ¿Qué haría si las TI no estuvieran disponibles? • ¿Qué procesos de negocio críticos dependen de TI y cuáles son los requerimientos de los procesos de negocio? • ¿En cuánto han excedido de media los presupuestosde operación de TI? ¿Con qué frecuencia y cuánto se salen del presupuesto los proyectos de TI? • ¿Qué parte del esfuerzo de TI se dedica a apagar fuegos en lugar de facilitar las mejoras del negocio? • ¿Son suficientes los recursos y la infraestructura de TI disponibles para conseguir los objetivos estratégicos de empresa requeridos? • ¿Cuánto se tarda en la toma de decisiones importantes de TI? • ¿Son transparentes el esfuerzo y las inversiones totales en TI? • ¿Respalda TI a la empresa en el cumplimiento de la normativa y los niveles de servicio? ¿Cómo puedo saber si se cumple con todas las normas aplicables?
  • 10. 21/4/2017 10 • ¿Cómo sé que las operaciones de mi aliado de negocio son seguras y fiables? • ¿Cómo sé que la empresa cumple con las normativas y regulaciones aplicables? • ¿Cómo sé que la empresa está manteniendoun sistema efectivo de control interno? • ¿Los aliados del negocio mantienen bajo control la cadena de información entre ellos? • COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. • Esto significa que COBIT 5: • Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. • Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización. Cubrir la Organización de forma integral Los Componentes Claves de un Sistema de Gobierno Objetivo del Gobierno: Creación de Valor Realización de Beneficios Optimización de Riesgos Optimización de Recursos Habilitadores de Gobierno Alcance del Gobierno Roles, Actividades y Relaciones Dueños y Partes Interesadas Ente Regulador Administración Operaciones y Ejecución Roles, Actividades y Relaciones Delegan Fijar Directivas MonitorearRendición de Cuentas Informar Instruir y Alinear
  • 11. 21/4/2017 11 COBIT 5 es un marco de referencia único e integrado porque: • Se alinea con otros estándares y marcos de referencia relevantes y, por tanto, permite a la empresa usar COBIT 5 como el marco integrador general de gestión y gobierno. • Es completo en cuanto a la cobertura de la empresa, proporcionandouna base para integrar de manera efectiva otros marcos, estándares y prácticas utilizadas. Un marco general único sirve como una fuente consistentee integrada de guía en un lenguaje común, no-técnico y tecnológicamenteagnóstico. • Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto consistente. • Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante muchos años y ha desarrollado marcos tales como COBIT, Val TI, Risk TI, BMIS, la publicación Información sobre Gobierno de TI para la Dirección (Board Briefing on TI Governance) e ITAF para proporcionarguía y asistencia a las empresas. COBIT 5 integra todo este conocimiento • COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: • Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 • Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI • Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. • ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra lo marcos y normas de terceros. Aplicar un único marco integrado
  • 12. 21/4/2017 12 Desempeño Metas del Negocio Conformidad SOX, LOPD, etc Tablero de Control COSO ISO 38500 - COBIT ISO 22301 ISO 27000 ISO 20000 Continuidad de Negocio Guías de Seguridad ITIL • Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. • Descritos por el marco de COBIT 5 en siete categorías. Habilitar un enfoque holístico Los Habilitadores de COBIT 5 son: • Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. Un sistema y sus propiedades se analizan como un todo, de una manera global e integrada 1. Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. 2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización. 3. Cultura, Ética y Comportamiento– De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. 4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. 5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. 6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. 7. Personas, Habilidades y Competencias– Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.
  • 13. 21/4/2017 13 • Administración y Gobierno sistémico mediante habilitadores interconectados – Para lograr los objetivos principales de la Organización, siempre debe considerarse una serie interconectada de habilitadores, o sea, cada habilitador: • Necesita una entrada de otros habilitadores para ser completamente efectivo, o sea, los procesos necesitan información, las estructuras organizacionales necesitan habilidades y comportamiento. • Entrega un producto de salida a beneficio de otros habilitadores, o sea, los procesos entregan información, las habilidades y el comportamiento hacen que los procesos sean eficientes. • Esto constituye un principio CLAVE que surge del trabajo de desarrollo de ISACA en el Modelo de Negocios para la Seguridad de la Información (BMIS por su sigla en inglés). Las Dimensiones Habilitadoras de COBIT 5 Todos los habilitadores tienen una serie de dimensiones comunes que: • Proporcionan una manera común, sencilla y estructurada para tratar los habilitadores • Permiten a una entidad manejar sus interacciones complejas • Facilitan resultados exitosos de los habilitadores GOBIERNO Y GESTIÓN DE LA EMPRESA TI 1. Proporcionar servicios TI operativos a todos los usuarios requiere capacidades (infraestructura, aplicación) para los que son necesarios personas con el conjunto de habilidades y comportamiento apropiados. Varios procesos de entrega de servicio necesitan ser también implementados, soportados por las estructuras organizativas adecuadas, mostrando como todos los catalizadores son necesarios para una adecuada entrega de servicio. 2. La necesidad de seguridad de la información requiere de la creación y puesta en marcha de varias políticas y procedimientos. Estas políticas, por su parte, requieren la implantación de varias prácticas relacionadas con la seguridad. Sin embargo, si la cultura y ética de la empresa y del personal no son apropiadas, los procesos y procedimientos de seguridad de la información no serán efectivos.
  • 14. 21/4/2017 14 • El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. • Dichas disciplinas: • Comprenden diferentes tipos de actividades • Requieren diferentes estructuras organizacionales • Cumplen diferentes propósitos Separar el Gobierno de la Administración El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. • El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM). • La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM). COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:
  • 15. 21/4/2017 15 • Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos. • COBIT 5 incluye un Modelo de Referencia de Procesos (PRM), que define y describe en detalle un número de procesos de administración y de gobierno. Los detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de COBIT 5: Procesos Habilitadores.
  • 16. 21/4/2017 16 • COBIT 5: Procesos Habilitadores complementa COBIT 5 y contiene una guía detallada de referencias a los procesos definidos en el Modelo de Referencia de Procesos de COBIT 5: • En el Capítulo 2 se recapitula las metas en cascada de COBIT 5 y se complementa con una serie de métricas ejemplo para las metas corporativas y las metas relacionadas con la TI. • En el Capítulo 3 se explica el Modelo de Procesos de COBIT 5 y se definen sus componentes. • En el Capítulo 4 se muestra el diagrama de dicho Modelo de Referencias de Procesos. • El Capítulo 5 contiene la información detallada de procesos para todos los 37 procesos de COBIT 5 en el Modelo de Referencias de Procesos. Prácticas genéricas para los procesos • Prácticas del Proceso • Actividadesdetalladas • El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI en dos áreas principales – Gobierno y Administración – con la Administración a su vez dividida en dominios de procesos: • El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear (EDM). • Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM).
  • 17. 21/4/2017 17 • La mejora del Gobierno Corporativo de la Tecnología de la Información (GEIT) ha sido ampliamente reconocida por altos directivos como una parte esencial del gobierno corporativo. • La información y la presencia general de la tecnología de información ocupan cada día una parte más importante de todo aspecto de la vida comercial y pública. • La necesidad de generar más valor de las inversiones en la Tecnología y de administrar una gama creciente de riesgos relacionados con la Tecnología nunca ha sido mayor que ahora. • Una regulación y legislación cada vez más estricta sobre el uso comercial de la información también impulsa una mayor concientización de la importancia de un ambiente de TI bien gobernado y administrado. • ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. De hecho, la implementación de un buen GEIT es casi imposible sin la activación de un marco efectivo de gobierno. También están disponibles las mejores prácticas y los estándares que soportan al COBIT 5. • Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva. Hay que superar muchos retos y resolver varios asuntos para poder implementar GEIT de manera exitosa. • COBIT 5: Implementación proporciona una guía de orientación acerca de cómo hacerlo. COBIT 5: Implementación cubre los siguientes asuntos: • Posicionamiento de GEIT en la organización • Adopción de los primeros pasos para mejorar GEIT • Factores de éxito y retos para la implementación • Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT • Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa • Uso de COBIT 5 y sus componentes.
  • 18. 21/4/2017 18 Las 7 fases de la Implementación del Ciclo de Vida COBIT ® 5 Implementación Otras Guías Profesionales COBIT® 5 Ambiente Colaborativo En Línea Guías de Habilitadores de COBIT® 5 COBIT ® 5: Procesos Habilitadores Otras Guías Habilitadoras COBIT ® 5 Información Habilitadora COBIT ® 5 Para la Seguridad de la Información COBIT® 5 Para el Aseguramiento COBIT ® 5 Para Riesgos COBIT ® 5: Guias Profesionales de Orientación de COBIT® 5 La Familia de Productos de COBIT 5 La familia de productos de COBIT 5 incluye los siguientes productos: • COBIT 5 (el marco de trabajo) • Guías de catalizadores de COBIT 5, en las que se discuten en detalle los catalizadores para el gobierno y gestión, estas incluyen: – COBIT 5: Información Catalizadora – Información posibilitadora – Otras guías de catalizadores (visitar www.isaca.org/cobit) • Guías profesionales de COBIT 5, incluyendo: – Implementación de COBIT 5 – COBIT 5 para Seguridad de la Información (en desarrollo) – COBIT 5 para Aseguramiento – COBIT 5 para Riesgos – Otras guías profesionales (visitar www.isaca.org/cobit) • Un entorno colaborativo online, que estará disponible para dar soporte al uso de COBIT 5
  • 19. 21/4/2017 19 Gestión del Cumplimiento: Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u organizacionales, necesarios para permitir el cumplimiento de los mandatos legislativos o industriales y las políticas internas Gestión del Cumplimiento: Proceso que registra y monitoriza los controles, ya sean físicos, lógicos u organizacionales, necesarios para permitir el cumplimiento de los mandatos legislativos o industriales y las políticas internas Gobierno: Proceso operativo que asegura la adhesión de los procesos de TI y su alineación estratégica el negocio, evalúa necesidades de partes interesadas, requisitos del negocio, monitoreo del progreso del cumplimiento de objetivos acordados. Gobierno: Proceso operativo que asegura la adhesión de los procesos de TI y su alineación estratégica el negocio, evalúa necesidades de partes interesadas, requisitos del negocio, monitoreo del progreso del cumplimiento de objetivos acordados. Gestión del Riesgo: Proceso de análisis que permite establecer el nivel de tolerancia del Negocio a sus riesgos asociados, y ayuda a identificar los controles internos adecuados que aseguran el Gobierno y eficacia de Cumplimiento de cada proceso de negocio. Gestión del Riesgo: Proceso de análisis que permite establecer el nivel de tolerancia del Negocio a sus riesgos asociados, y ayuda a identificar los controles internos adecuados que aseguran el Gobierno y eficacia de Cumplimiento de cada proceso de negocio. Estas áreas de actividad están siendo progresivamente más alineados e integrados para mejorar el rendimiento de la empresa y la entrega de las necesidades de las partes interesadas. ENTORNO = RIESGOS CUMPLIMIENTO Leyes, Regulaciones,Políticas Internas Asociar las áreas Legales, Auditoría y Seguridad con las áreas Funcionales y Tecnológicas GOBIERNO Establecer procesos funcionales y de servicio tecnológico protegidos, compliance y pensados para El Negocio Reconocer los diferentes riesgos y metodología para su gestión
  • 20. 21/4/2017 20 Interpretación Conocimiento del Negocio y sus Regulaciones Cultura interna de la Organización Identificación de riesgos asociados al Negocio Implementación Capacitación y couching Mejora del proceso de Proyectos Mejora de procesos de servicio IT/SI Mitigación de Riesgos Remediación de procesos funcionales y entorno de producción Gestión Gestión de riesgos Gobierno Corporativo Gobierno de TI Gobierno de SI Gobierno de Proyectos Gobierno Corporativo de Tecnología de Información 2.1 Principios • Principio 1: Responsabilidad • Principio 2: Estrategia • Principio 3: Adquisición • Principio 4: Desempeño • Principio 5: Conformidad • Principio 6: ComportamientoHumano ETAPA DE CONOCIMIENTO • Marco legal y regulatorio • Certificaciones y Políticas Internas de la Organización • Relevamiento de procesos de negocio • Relevamiento de servicios TI y SI • Relevamiento del Marco Normativo • Análisis de cumplimiento ETAPA DE CONOCIMIENTO • Marco legal y regulatorio • Certificaciones y Políticas Internas de la Organización • Relevamiento de procesos de negocio • Relevamiento de servicios TI y SI • Relevamiento del Marco Normativo • Análisis de cumplimiento ETAPA DE ENTENDIMIENTO • Mapeo adecuado de los procesos de Negocio • Mapeo adecuado de los procesos de Servicio IT/SI • Identificación de riesgos asociados al Negocio y los servicios que lo soportan • Identificación de documentos del Marco Normativo según leyes y regulaciones ETAPA DE ENTENDIMIENTO • Mapeo adecuado de los procesos de Negocio • Mapeo adecuado de los procesos de Servicio IT/SI • Identificación de riesgos asociados al Negocio y los servicios que lo soportan • Identificación de documentos del Marco Normativo según leyes y regulaciones Conocimiento y Entendimiento del entorno del Negocio y de los servicios que soportan sus procesos Identificación de registros y controles Mapeo adecuado de los procesos de Negocio Mapeo adecuado de los procesos de Servicio IT/SI Identificación de documentos del Marco Normativo según leyes y regulaciones Adecuación de documentos del Marco Normativo a los procesos y regulaciones del Negocio Nivel de Madurez de la Gestión de Gobierno y Cumplimiento Identificación de riesgos asociados al entorno del Negocio y a los servicios que soportan sus procesos
  • 21. 21/4/2017 21 ETAPA DE CAPACITACIÓN • Cumplimiento sobre el Marco legal, regulatorio y Políticas Internas de la Organización • Intervención y responsabilidades en procesos funcionales y de servicio • Selección de medios de comunicación para la capacitación y concientización ETAPA DE CAPACITACIÓN • Cumplimiento sobre el Marco legal, regulatorio y Políticas Internas de la Organización • Intervención y responsabilidades en procesos funcionales y de servicio • Selección de medios de comunicación para la capacitación y concientización ETAPA DE REMEDIACIÓN • Definición del proceso de gestión de riesgos • Ejecución del plan de mitigación • Adecuación del proceso de proyectos • Adecuación de los procesos de Servicio IT/SI • Adecuación de los sistemas en producción • Definición de los procesos de Auditoría ETAPA DE REMEDIACIÓN • Definición del proceso de gestión de riesgos • Ejecución del plan de mitigación • Adecuación del proceso de proyectos • Adecuación de los procesos de Servicio IT/SI • Adecuación de los sistemas en producción • Definición de los procesos de Auditoría ALCANCE E INTERPRETACIÓN POR PÚBLICO DE INTERÉS FuncionalesFuncionales TécnicosTécnicos Áreas tecnológicasy de seguridad Áreas tecnológicasy de seguridad Dirección y Gerencia Dirección y Gerencia Usuarios clave y finales Usuarios clave y finales Marco LegalMarco Legal TRANSMÍSIÓN DE CONOCIMIENTO Leyes y Regulaciones Leyes y Regulaciones Aspectos de solución técnica Aspectos de solución técnica Procesos de Servicio adecuados o Nuevos procesos Procesos de Servicio adecuados o Nuevos procesos Procesos Funcionales adecuados o Nuevos procesos Procesos Funcionales adecuados o Nuevos procesos ProyectosProyectos RemediacionesRemediaciones Revisiones y Auditorías Revisiones y Auditorías
  • 22. 21/4/2017 22 TRANSMÍSIÓN DE CONOCIMIENTO Material de concientización Material de concientización Material de InducciónMaterial de Inducción Plan de Capacitación Anual Plan de Capacitación Anual RRHHRRHH Charlas, workshops, cursos Charlas, workshops, cursos Mails, posters, etc. Mails, posters, etc. • El marco COBIT 5 incluye la orientación necesaria para apoyar los objetivos de GRC de la empresa y actividades de apoyo: • Actividades de gobierno relacionadas a GEIT (5 procesos) • Procesos de gestión de riesgos y apoyo para la gestión de riesgos a través del espacio GEIT • Cumplimiento: un enfoque específico en las actividades de cumplimiento en el marco y cómo encajan dentro de la imagen completa de la empresa • La inclusión de los acuerdos de GRC en el marco de negocio para GEIT ayuda a las empresas a evitar el problema principal con soluciones GRC -silos de actividad!
  • 23. 21/4/2017 23 • Proceso • Un grupo de actividades diseñadas para lograr un objetivo específico. Describen acciones, dependencias y secuencias • Características de los procesos • Tiene entradas, actividades y salidas • Puede incluir roles, responsabilidades, herramientas y controles de la gestión • Posee todos los elementos necesarios para lograr las salidas definidas Definición de Proceso Modelo de Proceso Proceso Dueño del Proceso Dueño del Proceso Documentación Proceso Documentación Proceso Objetivos del Proceso Objetivos del Proceso Realimentación del Proceso Realimentación del Proceso Políticas del Proceso Políticas del Proceso Recursos del Proceso Activos Recursos del Proceso Activos Capacidades del Proceso Activos intangibles Capacidades del Proceso Activos intangibles Salidas del Proceso Salidas del Proceso Entradas del Proceso Entradas del Proceso ActividadesActividades Métricas CSF/KPI Métricas CSF/KPI RolesRoles ProcedimientosProcedimientos Instrucciones de Trabajo Instrucciones de Trabajo MejorasMejoras • Son cuantificables (medibles) y se basan en el rendimiento. • Tienen resultados específicos. • Tienen un cliente final que es el receptor de dicho resultado (Cliente interno o externo) • Se inician como respuesta a un evento Características que identifican un proceso
  • 24. 21/4/2017 24 ¿Dónde queremos estar? ¿Dónde estamos ahora? ¿Cómo llegamos a dónde queremos? ¿Cómo sabremos que hemos llegado? Visión y objetivos de negocio Evaluación Cambio Métricas Modelodemejoramientocontinuodeprocesos Indicadores de madurez en función de la misma clasificación utilizada por estándares como ISO 15504 (Software Process Improvement Capability Determination): # Definición del nivel Nivel 0 Proceso incompleto: El proceso no existe o no cumple con los objetivos Nivel 1 Proceso ejecutado Nivel 2 Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado Nivel 3 Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentadosy formalizado Nivel 4 Proceso predecible: se han definido técnicas de medición de resultados y controles Nivel 5 Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc COBIT 5 Gobierno y gestión integral de TI
  • 25. 21/4/2017 25 La entrega y soporte de servicios se encuentran constituidos por diversos procesos orientados a asegurar la eficacia y eficiencia de los sistemas de información. Valor Resultados del Negocio Preferencias de los Clientes Percepciones de los Clientes Componentes del valor LOS OCHO PRINCIPIOS DE LA GESTION DE LA CALIDAD Planteamiento de sistema para la gestión Enfoque a cliente Implicación de las personas Liderazgo Relaciones con los suministradores Mejora Continua Un enfoque de este tipo enfatiza la importancia de: 1.La comprensión y el cumplimiento de los requisitos. 2.La necesidad de considerar los procesos en términos que aporten valor. 3.La obtención de resultados del desempeño y eficacia del proceso. 4.La mejora continua de los procesos con base en mediciones objetivas ISO 20000 ISO 27001 ISO 9001 Auditoría Interna Gestión de reportes Acciones correctivas y preventivas Gestión Documental Organización de Recursos Humanos Auditoría Interna Gestión de reportes Acciones correctivas y preventivas Gestión Documental Organización de Recursos Humanos Enfoque basado en procesos Administración de suministros Satisfacción al Cliente Calidad de Servicios Enfoque basado en procesos Administración de suministros Satisfacción al Cliente Calidad de Servicios Gestión de Incidentes Gestión de Cambios Disponibilidad,Continuidad, Seguridad y Capacidad Gestión de Incidentes Gestión de Cambios Disponibilidad,Continuidad, Seguridad y Capacidad DesarrolloDesarrollo
  • 26. 21/4/2017 26 SEGURIDAD PROCESOS FUNCIONALES PROCESOS TECNOLÓGICOS SISTEMAS DE GESTIÓN CALIDAD ISO 27001 – Seguridad de la Información ISO 20000 – Servicios de TI Disponibilidad, incidencias, recuperación, contratos, continuidad, etc. ISO/IEC 27013:2015. Guía de implementación integrada de ISO/IEC 27001 e ISO/IEC 20000-1 Evolución en la Gestión de Servicios TI Foco en la Tecnología Foco en el Negocio TradicionalADemanda TI como Tecnología RECURSOS TI como un Centro de Costos SISTEMAS TI como un negocio SERVICIOS TI Tradicional • Foco en Tecnología • Administrar Infraestructura • Usuarios • Modalidad “Bombero” • Reactivo • Islas • Procesos informales Tradicional • Foco en Tecnología • Administrar Infraestructura • Usuarios • Modalidad “Bombero” • Reactivo • Islas • Procesos informales Gestión de Servicios • Foco en el Negocio • Proveer Servicios • Clientes • Prevención y Control • Proactivo • Integrado • Estandarización y mejores prácticas Gestión de Servicios • Foco en el Negocio • Proveer Servicios • Clientes • Prevención y Control • Proactivo • Integrado • Estandarización y mejores prácticas Cambio en el enfoque de procesos
  • 27. 21/4/2017 27 • Establecery comunicar el alcance • Adhesión a la política de calidad • Importancia de satisfacerlos requisitos del servicio, legales, regulatorios y contractuales • Asegurar la provisión de recursos • Realizar revisiones de la gestión • Asegurar que los riesgos se evalúen y gestionen • Adecuada para el propósito del servicio • Incluir la satisfacción de los requisitos del servicio • Incluir un compromisocon la mejora continua • Establecerun marco para el establecimientoy revisión de los objetivos de gestión del servicio Gobierno de procesos operados por terceras partes El prestador de servicios identificará todos los procesos, o parte de procesos, cuyos requisitos sean especificados en las cláusulas de 5 a 9 y que sean operados por otras partes. Esas otras partes pueden ser grupos internos, clientes o proveedores. El prestador de servicios demostrarácontrol de gestión (gobierno), sobre procesos operados por otras partes: • Demostrandoresponsabilidad del proceso y autoridad para exigir adherencia al proceso; • Controlando la definición de los procesos, e interfaces • Con otros procesos (los enunciados en las Cláusulas de 5 a 9); • Determinando la eficiencia del proceso, su efectividad Y conformidadcon los requisitos del proceso; • Controlando la planificación y priorización de mejoras del proceso. PLAN Plan gestión de servicios DO Implementar gestión de servicios ACT CHECK Monitorear, medir, revisar ACT Mejora continua Requerimientosde negocio Requerimientosde negocio Requerimientosdel cliente Requerimientosdel cliente Requerimientospara cambios / habilitación de servicios Requerimientospara cambios / habilitación de servicios Otros procesos, negocios proveedores, clientes Otros procesos, negocios proveedores, clientes Service deskService desk Otro teams, ej: seguridad, TI operations, Otro teams, ej: seguridad, TI operations, Resultados de negocio Satisfacción del cliente Serviciosnuevos / modificados Otros procesos, negocios proveedores, clientes Satisfacción de los equiposde trabajo y de las personas
  • 28. 21/4/2017 28 La Gestión de Servicios de Tecnología define procesos y procedimientos para la prestación y el soporte de servicios de TI de calidad dentro de costospermitidos, que soportan a su vez los procesos de negocio de la organización Pilares de la gestión de TI Pilares de la gestión de TI Un Servicio es un medio para entregar valor a los Clientes al facilitar los resultados que esperan obtener. Proceso es un grupo de actividades diseñadas para lograr un objetivo específico. Describen acciones, dependencias y secuencias; tiene entradas, actividades y salidas, puede incluir roles, responsabilidades, herramientas y controles de la gestión; y posee todos los elementos necesarios para lograr las salidas definidas Propietario del Servicio Responsable de la entrega de un servicio. Es responsable ante el cliente de: iniciación, transición, mantenimiento, soporte e identificar oportunidades de mejora. Propietario del Proceso Responsable de asegurar que el proceso sea consistente con el propósito, se cumpla el estándar acordado y que se cumplan los objetivos definidos para el proceso. Gestor del Proceso Es el responsable de la gestión operativa del proceso, con sus responsabilidades se busca la garantía del proceso. Profesional del Proceso Responsable de llevar a cabo una o más actividades del proceso, contribuye a crear valor para el negocio y garantiza que entradas, salidas e interfaces son las adecuadas para el proceso.
  • 29. 21/4/2017 29 Modelo de Negocio Modelo de Negocio Usuariosdel Servicio Usuariosdel Servicio PatronesdeusoPatronesdeuso VisiónyalcanceVisiónyalcance Diseño del ServicioDiseño del Servicio Diseño y ArquitecturaDiseño y Arquitectura Capacidady disponibilidad Capacidady disponibilidad ContinuidadContinuidad SeguridadSeguridad Análisisydiseño aplicativo Análisisydiseño aplicativo NiveldeServicioNiveldeServicio Construcción del Servicio Construcción del Servicio Montaje de infraestructura Montaje de infraestructura HDWySFWde base HDWySFWde base ComunicacionesComunicaciones Construcción de software Construcción de software DesarrolloDesarrollo PruebasPruebas Especificación del Servicio Requisito de Nivel de Servicio (SLR) Requisito de Nivel de Servicio (SLR) Acuerdo de Nivel de Servicio (SLA) Acuerdo de Nivel de Servicio (SLA) Acuerdo de Nivel de Operación (OLA) Acuerdo de Nivel de Operación (OLA) Contratos de Soporte (UC) Contratos de Soporte (UC) • Establecer políticas y objetivos • Estudiar estos objetivos y expectativas generales del negocio para que su estrategia defina la de TI, garantizando esta relación siendo la estrategia de TI su soporte • La Gestión de Servicios se transforma en un Activo estratégico y debe pensarse y gestionarse de manera estratégica • Relación entre Servicios - Sistemas – Procesos y el modelo de negocio con sus estrategias y objetivos Estrategia del Servicio Tratar la gestión de servicios no sólo como una capacidad sino como un activo estratégico
  • 30. 21/4/2017 30 Alcance • Desarrollo de los servicios como activos • Implementación de la estrategia a través del Ciclo de vida del Servicio y Gestión Financiera • Gestión del Portfolio de Servicios y Gestión de la Demanda • Desarrollo Organizacional y Gestión estratégica de Riesgos • Las organizaciones usan esta guía para: • Definir objetivos y expectativas de performance del cliente • Definir y seleccionar oportunidades • Permite asegurar que las organizaciones estén en posición de manejar el costo y riesgo asociados a sus Portfolios de servicios, no solo en lo operacional • Comienza con un conjunto de requisitos de negocio nuevos o modificados, para incrementar o mantener el valor para los Clientes en el ciclo de vida del servicio • Termina con el desarrollo de una solución diseñada para satisfacer las necesidades documentadas del negocio • Es una guía para el diseño y desarrollo de servicios nuevos o modificados, para su introducción en el entorno real, como una solución que cubra las necesidades del negocio Cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos Diseño del Servicio Alcance Diseño de: • Servicios nuevos y modificados • Portfolio y Catálogo de Servicios • Arquitectura tecnológica y sistemas de gestión • Procesos • Métodos de medición y métricas • Capacitación • Seguridad y backup & recovery • Cargos y asignación de roles Valor para el Negocio • Reducción de los costos involucrados en la administración de la infraestructura de tecnología en las empresas (TCO - costo total de propiedad) • Mejora la calidad del servicio • Más fácil implementación de servicios nuevos o modificados • Mejor alineación del servicio con el negocio • Mejoras en TI governance • Más efectividad en Service Management • Mejor información para la toma de decisiones
  • 31. 21/4/2017 31 • Se ocupa de la gestión de cambios, riesgos y aseguramiento de calidad • Implementación de los diseños, para que las operaciones puedan gestionar los servicios y la infraestructura de manera controlada • Planeamiento e implementación de todos los releases para crear un nuevo servicio o modificar uno existente • Seguimiento desde testing hasta la implementación en el ambiente de producción • Reducción de los errores conocidos, riesgos asociados a la transición y variaciones entre rendimiento planeado y real, al momento de la transición Transición del Servicio Cubre el proceso de transición para la implementación de nuevos servicios o su mejora. Alcance • Gestiona y coordina los procesos, sistemas y funciones para: • Construcción, Testing y pasaje a producción • Establecer los servicios según los requerimientos acordados con el Cliente y las partes interesadas • Guía para: • Desarrollar y mejorar las capacidades para la transición de los servicios nuevos o modificados hacia la operación • Transferir los servicios desde o hacia un proveedor externo de servicios • Convertir los requerimientos de Estrategia del Servicio en Servicios diseñados y en operación, mientras se controlan los riesgos de falla y disrupción. Valor parael negocio • Habilidad para reaccionar rápidamente en un entorno competitivo • Gestión de situaciones de adquisiciones, transferencias, outsourcing de servicios • Alta tasa de éxito en los cambios y pasajes a producción • Mejor definición de niveles de servicio y garantías • Más confianza en el gobierno de TI y el cumplimiento de normas regulatorias • Mejor estimación para el planeamiento y presupuesto de recursos • Mejora en la productividad del negocio y de TI • Ahorro de tiempo durante todo el ciclo de vida • Reducción del nivel de riesgo
  • 32. 21/4/2017 32 • Se ocupa de las actividades del negocio comunes, cumpliendo los objetivos estratégicos, a través de la operación • Coordina y ejecuta las actividades del día a día y entrega y administra los Niveles de servicio • Gestiona en forma continua la tecnología usada para entrega y soporte de los servicios • Si existen planes, ejecuta y mide el diseño y la optimización • Métodos y herramientas en dos perspectivas: reactiva y proactiva Operación del Servicio Cubre las mejores prácticas para la gestión del día a día en la operación del servicio. ALCANCE Gestión continua (Ongoing management): • Los servicios • Los procesos asociados a los servicios • Tecnología • Personas Valor para el negocio • Concreción del real valor de la estrategia, diseño, y transición hacia los clientes y usuarios • El negocio comienza a depender del Servicio brindado por TI • Expectativa de mantenerse dentro de los objetivos presupuestarios • Claridad para detectar necesidades de financiamiento adicional para corregir defectos imprevistos o mejorar la eficiencia de la operación del servicio, aún aunque lleve cierto tiempo de puesto en marcha • Buscar continuamente la alineación de los servicios TI a las necesidades del negocio, identificando e implementando mejoras • Buscar formas de mejorar la eficiencia y efectividad de los procesos en un equilibrio de costos Mejora continua Proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición y operación del servicio optimizado. Proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición y operación del servicio optimizado.
  • 33. 21/4/2017 33 Alcance • Guía en la creación y mantenimiento de valor para clientes a través un mejor diseño y operación de los servicios • Incluye principios, prácticas y métodos de gestión de calidad, gestión de cambios y mejoras en la capacidad • Vinculación entre los esfuerzos de mejora con la estrategia de servicios, diseño y transición • Loop basado en el modelo Plan, Do, Check, Act (PDCA) • Alineación del Portfolio de servicios con las necesidades del negocio • Lograr madurez de los procesos Valor para el negocio • Mejoras en la calidad del servicio, más alta disponibilidad • Reducción gradual de los costos y mejor justificación de los mismos • Mejor información sobre los servicios existentes y las áreas de mejora • Mejor alineación entre el negocio e TI • Mayor flexibilidad y adaptabilidad • Comunicación más efectiva • Mejoras en ROI (Return on Investment) y VOI (Value on Investment) TI como proveedor de servicios Centro de servicio al usuario (CSU) El objetivo principal de un centro de servicio al usuario es proporcionar un único punto de contacto entre los servicios prestados y los usuarios. Centro de servicio al usuario (CSU) El objetivo principal de un centro de servicio al usuario es proporcionar un único punto de contacto entre los servicios prestados y los usuarios. Gestión Técnica Ayudar a planificar, implementar y mantener una infraestructuratécnica estable que proporcione soporte a los procesos de negocio de la organización. Gestión Técnica Ayudar a planificar, implementar y mantener una infraestructuratécnica estable que proporcione soporte a los procesos de negocio de la organización. Gestión de Operaciones TI Hace referencia al departamento, grupo o equipo de personas encargado de realizar las actividades diarias de la organización. Se puede dividir en dos áreas: • Control de Operaciones de TI (administración y operación de la infraestructura) • Gestión de Instalaciones (Gestión del entorno físico, por ejemplo centros de datos, salas, equipos de refrigeración.) Gestión de Operaciones TI Hace referencia al departamento, grupo o equipo de personas encargado de realizar las actividades diarias de la organización. Se puede dividir en dos áreas: • Control de Operaciones de TI (administración y operación de la infraestructura) • Gestión de Instalaciones (Gestión del entorno físico, por ejemplo centros de datos, salas, equipos de refrigeración.) Gestión de Aplicaciones Desempeña un papel importante en el diseño, prueba y mejora de las aplicaciones; Sin embargo, no es responsable del desarrollo de las mismas. Define si se adquiere una aplicación o se va a desarrollar internamente, equilibrio entre el nivel de aptitud y el costo de los recursos humanos para gestionar aplicaciones. Gestión de Aplicaciones Desempeña un papel importante en el diseño, prueba y mejora de las aplicaciones; Sin embargo, no es responsable del desarrollo de las mismas. Define si se adquiere una aplicación o se va a desarrollar internamente, equilibrio entre el nivel de aptitud y el costo de los recursos humanos para gestionar aplicaciones.
  • 34. 21/4/2017 34 Beneficios y valor para el negocio La estrategia de servicio alinea negocio y TI, para que cada uno aporte lo mejor al otro. Se asegura que todos los elementos del ciclo de vida del servicio, se centran en los resultados de los usuarios finales y en alcanzar los objetivos del negocio, los requisitos y principios de gestión de servicios adoptados por la organización. • Metodología común en todas las áreas de TI • Gestión de cambios eficaz • Asegurar calidad de los servicios (SLAs) • Reducción de costos (provisión y soporte del servicio) • Demostrar el valor y aportación de TI al Negocio. (Gobierno de TI) • Detalla todos los aspectos del servicio y sus requisitos a lo largo de todas las etapas posteriores a su Ciclo de Vida • Se ejecuta por cada servicio nuevo, cambio mayor a un servicio, eliminación de un servicio o cambios al Paquete de Diseño del servicio mismo. • Se produce en Diseño del Servicio y se pasa a la Transición del Servicio junto con todos los detalles requeridos para las siguientes etapas del Ciclo de Vida. Diseño del paquete de servicios Enfoque integrado general para las actividades de diseño que deben ser cubiertas: 1. Diseño de las soluciones de servicios nuevos o modificados (capacidades, recursos, requisitos) 2. Diseño de los sistemas y herramientas de Gestión de servicios (Portfolio de servicios, Software) 3. Diseño de la arquitectura tecnológica (Arquitectura-Hardware) 4. Diseño de los procesos para soporte y entrega de servicios (Procesos) 5. Diseño de los métodos de medición (Métricas) Servicio es uno o más sistemas de TI que permiten un proceso de negocios Servicio es uno o más sistemas de TI que permiten un proceso de negocios Catálogo de Servicios Tipos de Servicios Visibles a los clientes Invisible a los clientes, pero esenciales para la entrega de los servicios a clientes • Internet • E-mail • Office • ERP ...... • Network • Infraestructura • Aplicaciones • Backup •......
  • 35. 21/4/2017 35 Durante la fase de especificación se desarrollan en detalle los requisitos de nivel de servicio para convertirlos en normas internas Descripción detallada de los servicios y de sus componentes. Descripción detallada de los servicios y de sus componentes. Especificaciones de la forma de implantación y provisión del servicio. Especificaciones de la forma de implantación y provisión del servicio. Especificaciones del procedimiento necesario de control de la calidad Especificaciones del procedimiento necesario de control de la calidad Productos de la Fase de especificación Acuerdo de nivel de servicio (SLA) Acuerdos de nivel operativo (OLAs) Contratos de soporte (UCs) Catálogo de Servicios Nivel de Servicio Revisar periódicamente: • Acuerdos de nivel de servicio desde la revisión anterior. • Problemas relacionados con los servicios. • Identificación de tendencias del servicio. • Cambios en servicios dentro de los niveles de servicio acordados. • Cambios en procedimientos y estimaciones del coste de nuevos recursos. • Consecuencias del incumplimiento de los niveles de servicio • acordados. Determinar la eficacia y la eficiencia del proceso (KPIs) • Elementos de servicio incluidos en SLAs. • Elementos del SLA con soportede OLAs y UCs. • Elementos de los SLAs que se monitorizan y en los que se detecten defectos. • Elementos de los SLAs que se revisen periódicamente. • Elementos de los SLAs que cumplan los niveles de servicio acordados. • Defectos identificados y cubiertos por un plan de mejora. • Acciones emprendidas para eliminar los defectos identificados. • Tendencias identificadas con respecto a los niveles reales de servicio. • Incluye servicios de terceros que forman parte integral de las ofertas de servicio para los clientes y espacios de mercado • Los servicios de terceros se pueden utilizar para: • Resolver una demanda hasta que los servicios propios o del Canal de Entrada se encuentren operativos • Usar como sustituto para los servicios que se eliminan del Catálogo • Cuenta con el balance apropiado de servicios de entrada (en desarrollo) y Catálogo de servicios activos, para asegurar la viabilidad financiera del Proveedor de servicios
  • 36. 21/4/2017 36 • Canal de entrada de servicios conteniendo los servicios conceptuales en desarrollo para un espacio de mercado o cliente • Catálogo de Servicios es el subconjunto del Portfolio de Servicios que es visible para los clientes • Servicios activos en fase de Operación + servicios aprobados para ser ofrecidos • En el Catálogo de Servicios es donde los servicios se dividen en componentes • Es la expresión de la capacidad operativa del Proveedor de Servicios dentro del contexto de un Cliente o Espacio - Nicho de Mercado • Describe el potencial de una propuesta • Surge de la visión de considerar TI como una empresa en si misma • Permite planear y dar soporte a la toma de decisiones • Estructura: • Introducción: objetivos de negocio del caso • Métodos y suposiciones: límites del caso de negocio • Impacto de negocio: resultados financieros y no financieros • Riesgos y contingencias: probabilidad que surjan diferentes resultados • Recomendaciones: acciones específicas recomendadas • Riesgo: Incertidumbre de un resultado • Análisis de riesgos – Identificar y evaluar la medida de los riesgos calculados a partir de los valores de activos evaluados y niveles de amenazas/vulnerabilidades evaluados • Mitigación de riegos – Involucra la identificación, selección y adopción de contramedidas justificadas por los riesgos identificados para los activos, en términos de su impacto potencial en los servicios, en caso que ocurra un fallo. Incluye la reducción de estos riesgos a un nivel aceptable Planificación Definición • Inventarios de servicios • Business Case Análisis • Propuestas para maximizar el valor del Portfolio Aprobación • Formalización y aprobación del Portfolio Charter • Comunicación y asignación de recursos
  • 37. 21/4/2017 37 Los servicios no pueden producirse y Almacenarse, es un proceso simultáneo: la producción y el consumo tienen lugar al mismo tiempo, circunstancia que complica enormemente la planificación de la demanda. Los servicios no pueden producirse y Almacenarse, es un proceso simultáneo: la producción y el consumo tienen lugar al mismo tiempo, circunstancia que complica enormemente la planificación de la demanda. Demanda Objetivo y valor para el negocio Gestión de la capacidad del negocio. Su objetivo es comprender las necesidades presentes y futuras del negocio, para lo cual obtiene información del cliente (por ejemplo, de planes estratégicos o de marketing) y realiza análisis de tendencias Gestión de la capacidad del servicio. Su objetivo es determinar y comprender el uso de servicios de TI. Gestión de la capacidad de los recursos. Su objetivo es determinar y comprender el uso de los componentes y la infraestructura de TI. Niveles de evaluación
  • 38. 21/4/2017 38 • Servicios Core • Un Servicio TI que genera Entregables para uno o más Clientes. • Servicios de Soporte • Un Servicio que permite entregar un Servicio Core • Servicio de back up • Nivel Estratégico • Patrones de Actividad de Negocio • Perfil de Carga de trabajo de una o más actividades de negocio • Variable en el tiempo • Representa cambios en la demanda del negocio • Perfil de Usuario • Patrón de demanda de usuarios para los servicios TI • Cada perfil de usuario incluye uno más Patrones de Actividad de Negocio • Nivel Táctico • Se puede usar el cargo diferencial para fomentar entre los Clientes el uso de servicios en horarios de menor actividad - ejemplo En este proceso se generan informes de excepciones sobre: • Discrepancias entre la capacidad real y planificada • Tendencias en las discrepancias • Impacto sobre los niveles de servicio • Aumento/descenso esperado de los niveles de capacidad y uso a corto y largo plazo • Umbrales que, en caso de alcanzarse, pueden requerir la adquisición de capacidad adicional Indicadores clave del rendimiento: • Predictibilidadde la demanda del cliente - Identificación de tendencias y evolución de la carga de trabajo con el tiempo, y precisión del plan de capacidad. • Tecnología - Opciones para medir el rendimiento de todos los servicios de TI, • Costo - Reducción del número de compras precipitadas, reducción de la sobrecapacidad costosa o innecesaria, y elaboración temprana de planes de inversión. • Operaciones - Reducción del número de incidencias debidas a problemas de capacidad o rendimiento, capacidad para satisfacer en todo momento la demanda del cliente, y grado de importancia que se concede al proceso de gestión de la capacidad Asegurar que los servicios nuevos, modificados o retirados, cumplen los requisitos documentados en la definición de la estrategia y diseño del servicio. Debe estar presente en la coordinación de procesos, sistemas y funciones para empaquetar, estructurar, probar y desplegar una versión de un servicio o parte de él en un entorno de producción. Transición del servicio
  • 39. 21/4/2017 39 Planificación y Soporte a la Transición 116 • Establecer y mantener políticas, normas y modelos para los procesos y actividades de la transición del servicio. • Presupuestar los recursos necesarios para cumplir con los requerimientos futuros de la transición. • Coordinar la transición del servicio junto con la gestión de proyectos, diseño del servicio y las actividades de desarrollo del servicio. La Gestión de Nivel de Servicio... • ...es un Proceso de: • planeamiento, coordinación, escritura, concordancia, supervisión e información de SLAs, y de revisión de la realización de los servicios • Para asegurar: • que la calidad y los costos justificables de los servicios requeridos, es mantenida y mejorada • Definir, negociar, acordar, monitorear y documentar los niveles de servicio de cualquier servicio TI que se está entregando • Establecer la comunicación efectiva entre los Clientes y TI • Brindar claridad para que todas las partes que intervienen en la entrega de servicios entienden el nivel de servicio que se va a entregar • Asegurar el desarrollo de objetivos específicos y medibles • Monitorear y mejorar la satisfaccióndel Cliente • Asegurar la implementación de medidas adecuadas para mejorar la calidad del servicio
  • 40. 21/4/2017 40 Mejor relación entre TI y ClientesMejor relación entre TI y Clientes Proceso crítico para todo proveedor de servicios de TI, ya que se encarga de acordar y documentar los objetivos de nivel de servicio y las responsabilidades dentro de los acuerdos de servicio • Interfase consistente entre el negocio para todos los servicios de TI • Feedback entre las fallas del servicio o sus brechas y las acciones tomadas • Mejoras en el canal de comunicación • Relación sustentada en la confianza Valor para el Negocio Corresponde a todos los requisitos de servicios que ha definido sólo por el cliente. Corresponde al nivel de acuerdos de servicio entre el proveedor de servicios TI y el cliente. • En este proceso se negocia, acuerdan y documentan los SLR. • Se negocian los SLA en base a los SLR definidos. • Se revisan los OLAs y contratos de servicios para asegurar que los objetivos estén alineados. • Se revisan los contratos de servicio en conjunto con la gestión de proveedores. • El gestor de relación con el negocio garantiza que el proveedor es capaz de satisfacer las necesidades del cliente. • El gestor de nivel de servicio asegura que se entreguen a usuarios y clientes los niveles de servicios acordados. Un SLA multinivel contiene 3 capas: 1.SLA a nivel corporativo 2.SLA a nivel de cliente o a unidad de negocio 3.SLA a nivel de un servicio en particular. – Cantidad y % de objetivos que se están cubriendo en el Acuerdo – Cantidad y severidad de las brechas de servicio – Cantidad y % de SLAs administrados y gestionados – Cantidad de servicios sobre los que se hacen e informan revisiones – Mejoras en la Satisfacción del Cliente MÉTRICAS
  • 41. 21/4/2017 41 • Identificar los adecuados representantes de los Clientes y el negocio • Tener bajo control los temas pendientes • Diferentes Requerimientos para diferentes niveles dentro de la comunidad de usuarios • Mantener el adecuado monitoreo de las mejoras de los servicios • Lograr que los SLAs se firmen al nivel adecuado El plan de mejoras de servicio se ejecuta una vez que el servicio está dado y busca la mejora y el aprendizaje en base a los riesgos e impactos relacionados con el servicio DESAFÍOS • Asegurar que los SLA sean alcanzables antes de comprometerse • Verificar resultados propuestos en SLA antes de acordar con el cliente. • Cuidar que no sean extensos. • Foco, recursos y tiempo inadecuado: a menudo SLM es visto como algo que puede ser hecho “en los márgenes de tiempo” • Autoridad insuficiente dada a la gestión de nivel de servicio por medio de negociaciones • Los SLA pueden no estar soportados por contratos • Las responsabilidades de las partes no están claramente definidas • Los SLA que no son comunicados apropiadamente • Para algunas compañías, la gestión del nivel de servicio (SLM) puede ser visto como un gasto más que un servicio cobrable • Muchas personas de TI y negocios están viendo al SLM como un ejercicio en la arbitración de contratos Posibles problemas Generar en plazo los informes acordados, fiables y precisos para la toma de decisiones y una comunicación eficaz. • Debe haber una clara descripción de cada informe de servicio conteniendo su identificación, propósito, audiencia y detalle de la fuente de datos. • Se deben tomar decisiones y acciones correctivas que consideren los hallazgos determinados por los informes de servicio y deben ser comunicadas a las partes interesadas.
  • 42. 21/4/2017 42 COBIT 5 Gobierno y gestión de terceras partes Propósito Obtener valor por el dinero de proveedores, a la vez que se proveen servicios integrales de TI al negocio. Obtener valor por el dinero de proveedores, a la vez que se proveen servicios integrales de TI al negocio. EJE VERTICAL Lista de elementos de información que se dividenen dos categorías: • Elementos de información esenciales siempre requeridos dentro de un módulo de temas. • Elementos de información que a veces son aplicables y que, a discreciónde los compradores, a veces se espera dependiendoel módulo de temas. EJE HORIZONTAL Elementos de información requerida asignados a una gama de módulos temáticos divididoen dos categorías: • Módulos temáticos que siempre se incluirán en un proceso de precalificacióny que están alineados con las regulaciones de la organización • Módulos de temas adicionales en los que el comprador tiene la discreción de incluirlos o no
  • 43. 21/4/2017 43 Ayuda en la evaluación de la capacidad, de adherirse y cumplir los requisitos clave Gestión de alto nivel, evaluación de riesgos y grados de cumplimiento de la información en los procesos de precalificación de proveedores Módulos temáticos "Core“ • Perfil de la organización • Capacidades y Capacidades del Proveedor • Información Financiera y Seguros Gobernanza empresarial • Políticas de empleo • Salud y Seguridad • Protección de datos • Gestión Ambiental • Gestión de la Calidad Módulos temáticos "Core“ • Perfil de la organización • Capacidades y Capacidades del Proveedor • Información Financiera y Seguros Gobernanza empresarial • Políticas de empleo • Salud y Seguridad • Protección de datos • Gestión Ambiental • Gestión de la Calidad Módulos temáticos "adicionales“ • Ética empresarial • Trazabilidad de la cadena de suministro • Gestión de la Seguridad de la Cadena de Suministro • Igualdad de Oportunidades y Libertad de Asociación • Práctica Disciplinaria y Abuso • Gestión de la Continuidad del Negocio Módulos temáticos "adicionales“ • Ética empresarial • Trazabilidad de la cadena de suministro • Gestión de la Seguridad de la Cadena de Suministro • Igualdad de Oportunidades y Libertad de Asociación • Práctica Disciplinaria y Abuso • Gestión de la Continuidad del Negocio Alcance del servicio Alcance de responsabilidades Alcance de los controles • Gestión del servicio • Tratamiento de datos • Gestión de registros • Gestión de componentes del servicio (Documentación y RRHH) • Gestión del servicio • Tratamiento de datos • Gestión de registros • Gestión de componentes del servicio (Documentación y RRHH) MARCO CONTRACTUAL Los tres tipos de proveedores a clientes internos o externos de una organización son: Contratación interna • Tipo I: encargada a proveedores internos de servicios circunscritos a cada unidad de negocio • Tipo II: encargadas a unidades de servicios compartidosque prestan sus servicios a las diferentes unidades de negocio pertenecientes a una misma corporación Contratación externa (Tipo III) • Tradicional: un solo proveedor de servicios se encarga de la prestación del servicio en cuestión • Múltiple: • Principal: un solo proveedor de servicios que subcontrata a su vez a otros proveedores • Consorcio: combinación de diferentes proveedores de servicios para optimizar la oferta y calidad del servicio • Selectiva: múltiples proveedores gestionados directamente por la organización receptora del servicio 129
  • 44. 21/4/2017 44 Tipo de proveedores • Suministrador Estratégico: Proveedor de servicios a nivel mundial/Aplicación CORE. • Suministrador Táctico: Proveedor de servicios de resolución de incidentes en servidores. • Suministrador Operacional: Proveedor de servicios de hosting para un servicio interno de bajo impacto. • Suministrador de Servicios y productos de fácil acceso: Suministrador de papel o tóner de impresora. Análisis de la contratación Evaluación del proveedor Condiciones de administración y operación de TI Condiciones de Seguridad de la Información Control del servicio • Descripción de objetivos • Lista de proveedores • Procedimientode selección • Análisis costo - beneficio • Aplicaciones que se le dará al producto o servicio a adquirir • Observacionesy recomendaciones • Capacidad financiera • Capacidad técnica • Habilidad de gestión y recursos disponibles. • Política de manejo de cuentas y vínculo con los clientes • Instrucción,capacitación e implementación • Mantenimientode software y equipo • Seguridad de los datos • Beneficios del sistema • Vida útil prevista para el sistema • Reputación y fiabilidad del fabricante y el proveedorde servicios • Gestión de calidad • Registro de inspeccionessobre condicionesy elementos de seguridad general • Auditorías • Capacitación del personal • Tecnología utilizada (hardware y software) • Niveles de actualización general Análisis de riesgos Controles, monitoreo y auditorías • Alcance de las actividades; • Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado; • Participación de subcontratistas. • No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la función de auditoría interna y/o externa de dichas actividades. • Compromisos de confidencialidad. Término de compromiso de confidencialidad de la información a la que tenga acceso/alcance el proveedor y/o subcontratista. • Identificar posibles riesgos: • Los mecanismos de notificación de cambios en el control accionario; • Los mecanismos de notificación de cambios de niveles gerenciales; • Resarcimiento por daños económicos que causará el proveedor • El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda obtener los datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante cualquier situación que pudiera sufrir el proveedor externo por la cual dejara de prestar sus servicios o de operar en el mercado • Tener derecho a realizar auditorías a los proveedores, propias o de empresas contratadas para tal fin, y eestablecer que cualquier Entidad Regulatoria pueda acceder sin limitación • Contar con un plan de contingencia
  • 45. 21/4/2017 45 Conectividad y servicios de nube Conectividad y servicios de nube Espacio Físico Proveedor Espacio Físico Cliente Componentes Físicos Componentes Físicos Usuario Final EnlacesEnlaces GobiernoGobierno EducaciónEducación CumplimientoCumplimiento Gestión de Riesgo Gestión de Riesgo EducaciónEducación Gestión de Riesgo Gestión de Riesgo Componentes Virtuales Componentes Virtuales Complemento de los procedimientos formales del área de compras, establece las previsiones que se deben tomar en consideración a la calidad del servicio y la seguridad de la información, en la contratación de proveedores y contratistas para las áreas tecnológicas Alcance de responsabilidad Cliente/Proveedor por tipo de servicio IaaSIaaS SaaSSaaSPaaSPaaS DatosDatos Software y aplicaciones de usuariosSoftware y aplicaciones de usuarios Sistemas operativos y bases de datosSistemas operativos y bases de datos InfraestructuraVirtualInfraestructuraVirtual Hardware e infraestructurade redHardware e infraestructurade red Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía) Hardware Software Conectividad IaaS Hardware Software Conectividad IaaS Servicio Soporte Aplicaciones del Proveedor SaaS Servicio Soporte Aplicaciones del Proveedor SaaS Desarrollo Despliegue de Aplicaciones del Cliente PaaS Desarrollo Despliegue de Aplicaciones del Cliente PaaS Aplicación Plataforma Infraestructura Virtualización Recursos físicos Externalizar responsabilidad, no subcontratarla Evitar “Acusaciones cruzadas" Garantía del proveedor de no poder descifrar los datos Gestión de riesgos y control al proveedor en la forma continua Gestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta.
  • 46. 21/4/2017 46 Extremos de responsabilidad Cliente / Proveedor IaaSIaaS SaaSSaaSPaaSPaaS DatosDatos Hardware e infraestructurade redHardware e infraestructurade red Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía) Balance de decisiones = Perfil de riesgo Tangibilizar los riesgos asociados a los “extremos” para poder establecer los controles necesarios y adecuados Extremos de responsabilidad Cliente / Proveedor IaaSIaaS SaaSSaaSPaaSPaaS DatosDatos Hardware e infraestructurade redHardware e infraestructurade red Data Center (instalaciones físicas, infraestructurade seguridad, energía)Data Center (instalaciones físicas, infraestructurade seguridad, energía) GobiernoGobierno Gestión de Riesgo Gestión de Riesgo EducaciónEducación CumplimientoCumplimiento Reinvertir en controles AHORRO Control de Acceso Afecta a la confidencialidad , Integridad y Disponibilidad de los datos Control de Acceso Afecta a la confidencialidad , Integridad y Disponibilidad de los datos Control Ambiental Afecta al rendimiento y la integridad de la prestación del servicio. Control Ambiental Afecta al rendimiento y la integridad de la prestación del servicio.
  • 47. 21/4/2017 47 Estrategia de Contratación Descripción Contratación interna (Insourcing) Utiliza los recursos internos de la organización para todas las etapas del Ciclo de Vida Contratación externa (Outsourcing) Utiliza recursos externos de la organización Contratación Conjunta (Co-sourcing) La combinación de Insourcing y Outsourcing para proveer los elementos clave del Ciclo de vida Asociación o contratación múltiple (Partnership o Multi-sourcing) Acuerdos formales entre 2 o más organizaciones para trabajar en forma conjunta. Foco en los partners estratégicos para aprovechar oportunidades de mercado Contratación externa de procesos de negocio (Business Process Outsourcing) Los BPO son acuerdos formales entre 2 o más organizaciones para reubicar una completa función del negocio. (por ej. Sueldos, call center) a una locación de menor costo Aprovisionamiento de servicios de aplicación (Application Service Provision) Acuerdo formal con un Application Service Provider (ASP) para proveer un servicio sobre un computador en una red (muchas veces llamado ‘on-demand’ software/applications) Contratación externa de procesos de conocimiento (Knowledge Process Outsourcing) Provisión de especialistas en procesos y negocio requiriendo específicos skills del outsourcer. La KPO se encuentra un paso delante de la BPO en cuanto al dominio de los profesionales en el tema COBIT 5 Gobierno, eventos y la continuidad de negocios • Evento • Un Evento es un cambio de estado que es importante para la Gestión de un Elemento de Configuración (CI) o Servicio • Finalización de un job batch, evento sobre el cual el staff de Operaciones puede tomar alguna acción y puede llegar a ser un Incidente • Gestión de Eventos • El proceso responsable de administrar y gestionar los Eventos durante todo el Ciclo de Vida • Alerta • Es una advertencia de que algo ocurrió y requiere una acción o intervención humana después que el evento ocurrió • Incluye cualquier aspecto de servicios que se necesite controlar y que pueda ser automatizado: • Condiciones ambientales • Monitorización de licencias de Software • Seguridad (detección de intrusos) • Actividad Normal (monitorizar una aplicación) Proceso de resolución
  • 48. 21/4/2017 48 • Detectar Eventos y conocer que ocurrieron para determinar las adecuadas acciones de control • Gestión de Eventos es la base del Monitoreo y control Operacional • Proporciona mecanismos para la detección temprana de Incidentes • Si se integra con Gestión de Disponibilidad y Gestión de Capacidad, la Gestión de Eventos puede indicar cambios de estado o excepciones que permitan una respuesta temprana Objetivos ¿Qué es un incidente? Tener en cuenta que un incidente jamás se convierte en un problema Tener en cuenta que un incidente jamás se convierte en un problema Es una interrupción no planificada de un servicio que ocurre de forma eventual, que puede causar una interrupción del servicio o una reducción en su calidad • Una condición identificada en múltiples incidentes con síntomas comunes • Conlleva un proceso de análisis para identificar las causas La resolución de un incidente solo busca RECOMPONER EL SERVICIO Relaciones Gestión de Incidentes Gestión de Problemas Gestión de Cambios Los Incidentes siguen ocurriendo hasta que el cambio esté implementado Los Incidentes siguen ocurriendo hasta que el cambio esté implementado Problema > Error Conocido Problema > Error Conocido Causa raíz identificada Causa raíz identificada solución temporalsolución temporal Implementación del Cambio Implementación del Cambio Generación deRFC Generación deRFC
  • 49. 21/4/2017 49 Base de datos de errores/ Problemas Service Desk Operaciones Redes Procedimientos Otras fuentes de incidentes Procedimientos de pedido de servicio CMDB Proceso de Gestión de Cambios Proceso de entrada de incidentes Resolución Work- arounds Proceso de Gestión de Incidentes •Detección y registro de incidentes •Clasificación y soporte inicial •Investigación y diagnóstico •Resolución y recuperación •Cierre del incidente •Asignación de incidentes, supervisión, seguimiento y comunicación Ruteo RFC Resolución Detalles de Configuración Resolución / Work-around Supervisión Incidencia RecuperaciónDiagnóstico ReparaciónDetección Incidencia Restablecimiento MTBF – Tiempo medio entre fallas o tiempo de disponibilidad Tiempo de recuperación Tiempo reparación Tiempo de respuesta Tiempo de detección MTBSI – Tiempo medio entre incidencias del sistema MTTR: Tiempo medio de reparación o tiempo de inactividad 1 hora 9 horas 10 horas 9 horas 1 hora 10 horas Líneas de soporte Procedimiento de pedido de servicio Detectar y registrar Soporte inicial Resolución Recupero Pedido Investigación Diagnóstico ¿Resuelto? Primera línea Segunda línea Tercera línea N-línea ¿Resuelto? Investigación Diagnóstico ¿Resuelto? Resolución Recupero Resolución Recupero ETC SI Cierre NO NO NO
  • 50. 21/4/2017 50 Categorías de incidentes Se debe categorizar el incidente para que quede un registro del tipo exacto del incidente. • Prioridad, es la importancia relativa de un incidente , problema o cambio. • Impacto, medida del efecto de un incidente, problema o cambio sobre los procesos del negocio. • Urgencia, medida de tiempo hasta que un incidente, problema o cambio tiene un impacto significativo sobre el negocio. • Numero total de Incidentes • Desglose en cada etapa del ciclo de vida • Tiempo promedio transcurrido hasta lograr la solución • Desglose por código de impacto • % de Incidentes manejados dentro del tiempo de respuesta acordado • % de Incidentes resueltos en el Service Desk (1er Nivel) • Cantidad y % de Incidentes Mayores • Cantidad y % de Incidentes correctamente asignados. • Costo promedio de la gestión de Incidentes Métricas La gestión de problemas busca minimizar el impacto de los incidentes y problemas en el negocio, y evitar la repetición de incidentes. Actúa desde la identificación, pasando por la investigación y documentación, hasta la eventual eliminación del problema.
  • 51. 21/4/2017 51 • Los incidentes “no son” un problema. • Los problemas causan incidentes. • La gestión reactiva de problemas, se dispara por un incidente que ha tenido lugar (actividades basadas en la fase de operaciones) • La gestión proactiva de problemas, se dispara por actividades que buscan mejorar los servicios (actividades basadas en las fases del diseño y de mejora continua). • Base de datos de errores conocidos contiene registro de todos los errores conocidos. Los registros deben contener información del fallo, síntomas, detalles de la solución. “Soportar los procesos de gestión de continuidad de negocios asegurando que los servicios de TI requeridos, pueden ser recuperados para reanudar su actividad frente a una caída, dentro de los tiempos y en las condiciones acordadas con el negocio” • Mantener los Planes de Continuidad y Planes de Recuperación • Realizar ejercicios de Análisis de impacto en el negocio (BIA) para asegurar que todos los Planes están alineados al negocio y a sus posibles cambios • Evaluar impacto en los cambios de los Planes • Asegurar implementación de medidas proactivas que permitan asegurar la disponibilidad del servicio, cuyos costos sean justificables • Negociar y acordar contratos con los proveedores para tener en cuenta el aprovisionamiento necesario para el caso de contingencias que permitan soportar el plan de continuidad • Realizar evaluación de riesgos y ejercicios regulares para asegurar que los Planes definidos funcionan
  • 52. 21/4/2017 52 Se define en términos de: • Procesos de negocios a ser cubiertos y sus requerimientos de TI • Riesgos que deben considerarse • Incluye: • Dependencia tecnológica de la organización • Número de ubicaciones y servicios provistos • Nivel de servicios necesarios para soportar procesos de negocios • Limitaciones en los mecanismos de provisión de TISCM • Actitudes de las organizaciones hacia el riesgo Planeamiento de Contingencia Gestión de la Continuidad de Negocios Planeamiento de la Continuidad de Negocios [BCP] Planeamiento de la Gestión de Continuidad de Servicios de TI [TISCM] • Tecnología como componente central de más procesos de negocios • Disponibilidad de TI es crítica • Compromiso de niveles directivos • Apoyo de toda la organización • Mantenimiento continuo de la capacidad de recuperación, mediante: • Procesos de gestión de configuración y cambio • Formación y concientización de la organización • Tecnología de punta y herramientas de software de soporte • Formación específica del personal involucrado en el proceso • Pruebas regulares Conceptos básicos
  • 53. 21/4/2017 53 Modelo del Proceso Iterativo Iniciar BCM Análisis de Impacto en el negocio Evaluación de Riesgos Estrategia de continuidad del negocio Planif. Organización e Implementación Desarrollar planes de recuperación Implementar medidas de reducción de riesgo Implementar acuerdos Desarrollar Procedimientos Prueba Inicial Etapa 1 Inicio Etapa 2 Requerimientos y Estrategia Etapa 3 Implementación Etapa 4 Gestión Operativa Educación y Comunicación Revisión y Auditoria Prueba Gestión de Cambios Capacitación Aseguramiento de la Calidad Establecer políticas, alcance “Entender los requerimientos de disponibilidad del negocio y planificar, medir, supervisar y mejorar continuamente la disponibilidad de la infraestructura de TI, sus servicios y la organización de soporte, para asegurar que estos requerimientos se satisfagan” • Asegurar que los servicios de TI están diseñados para proveer o exceder el nivel de disponibilidad requerida por el negocio • Proporcionar reportes de disponibilidad para asegurar que los niveles acordados de disponibilidad y confiabilidad son supervisados regularmente • Optimizar la disponibilidad de la infraestructura para mejorar la relación costo-beneficio • Disminuir en un periodo de tiempo la frecuencia y duración de incidentes que impactan la disponibilidad de TI • Producir un Plan de disponibilidad actualizado y evaluar el impacto de los cambios en el mismo
  • 54. 21/4/2017 54 Requerimientos de disponibilidad de negocios Evaluación de impacto en los negocios Requerimientos de disponibilidad, fiabilidad y mantenimiento Datos de incidentes y problemas Datos de supervisión y configuración Realización de niveles de servicios Diseño de criterio de disponibilidad y recuperación Capacidad de recuperación de infraestructura de TI y evaluación de riesgos Objetivos acordados de disponibilidad fiabilidad y mantenimiento Reportes de disponibilidad fiabilidad y mantenimiento Supervisión de disponibilidad Planes de mejoramiento de disponibilidad La disponibilidad de la infraestructura de TI es influenciada por:  Complejidad de la infraestructura de TI y el diseño de servicios  Confiabilidad de los componentes  Capacidad de la organización de soporte de TI para mantener la infraestructura de TI  Niveles y calidad de mantenimientos provisto por proveedores  Calidad de los procesos y procedimientos operacionales Influencias 162 CAPACIDAD HARDWARE Y SOFTWARE PLANIFICACIÓN DE ESPACIO CAPACIDAD DE SISTEMAS AMBIENTALES CAPACIDAD DE RRHH
  • 55. 21/4/2017 55 Estrategia de Negocios Plan de Negocios Estrategia de TI/SI Plan de Negocios de TI/SI Gestión de Capacidad Gestión de Capacidad Rendimiento y Capacidad Rendimiento y Capacidad Hardware Redes Periféricos Software Recursos Humanos • Documenta el nivel actual de utilización de recursos y el rendimiento de los servicios • Debe alinearse con los planes y estrategias de negocios • Pronostica requerimientos futuros de recursos para soporte de los servicios de TI • Deben indicarse claramente los supuestos • Recomienda sobre recursos requeridos, costos, beneficios, impactos, etc. • Debe actualizarse preferentemente en forma trimestral AjusteAjuste MonitoreoMonitoreo AnálisisAnálisisImplementaciónImplementación Reporte de excepciones al SLM Reporte de excepciones al SLM Reportes de excepciones al uso de recursos Reportes de excepciones al uso de recursos Umbral de Uso de Recursos Umbral de Uso de Recursos Base de Datos de Capacidad Base de Datos de Capacidad Umbral de SLM Umbral de SLM 165
  • 56. 21/4/2017 56 Garantizar que se controlen adecuadamente los activos necesarios para la entrega de servicios. Incluye la gestión del ciclo de vida completo de cada CI. Garantizar que se controlen adecuadamente los activos necesarios para la entrega de servicios. Incluye la gestión del ciclo de vida completo de cada CI. • Conocer los bienes de TI, las configuraciones dentro de la organización y los servicios • Proveer información precisa sobre configuraciones y su documentación para contribuir con todos los otros procesos de gestión de servicios • Brindar una base sólida para gestión de eventos, incidentes, problemas, cambios y versiones de software • Verificar los registros de configuración contra la infraestructura y corregir cualquier diferencia • Gestión de configuración • Incluye la información sobre los elementos de configuración necesarios para los otros procesos • Además mantiene detalles de las relaciones entre los elementos de configuración • Gestión de Activos • Es un proceso contable que incluye depreciación • Mantiene detalles de encima de un determinado valor, su unidad de negocio y su ubicación Configuración básica o Baseline “Una configuración estándar que se puede reproducir y distribuir a los usuarios.”
  • 57. 21/4/2017 57 Actividades Gestión de la Configuración Gestión de la Configuración 1 Gestión y Planificación 1 Gestión y Planificación 3 Control de Configuración 3 Control de Configuración 4 Reporte de estados 4 Reporte de estados 2 Identificación de Configuración 2 Identificación de Configuración 5 Auditoria y verificación 5 Auditoria y verificación 170 Controlar el ciclo de vida de todos los cambios, permitiendo que estos se realicen con una interrupción mínima de los servicios de TI para el negocio. Controlar el ciclo de vida de todos los cambios, permitiendo que estos se realicen con una interrupción mínima de los servicios de TI para el negocio. Abarca los cambios para servicios activos y para Elementos de Configuración de la línea base durante el Ciclo de vida del Servicio Abarca los cambios para servicios activos y para Elementos de Configuración de la línea base durante el Ciclo de vida del Servicio Asegurar que los cambios • Se registran • Se evalúan • Se autorizan • Se clasifican por prioridad • Se planifican • Se prueban • Se implementan • Se documentan • Se revisan • Se controlan