Gobierno para el control y Auditora de Tecnologas de Informacin

Gobierno de tecnologas de informacin

El impacto de tecnologas de informacin en el mundo empresarial a concitado un inters creciente por parte de la alta gerencia. Ventaja estratgica que proporcionan las tecnologas de informacin. Desde la dcada de los 90 se han hecho esfuerzos sostenidos por desarrollar la gestin o gobierno de TI

Gobierno de tecnologas de informacin

Qu es? Es un patrn de comportamiento por parte de los grupos de inters de una organizacin, encargado del desarrollo estratgico, organizacional, cultural y de los procesos que aseguren que las TI soportan, amplan y desarrollan las estrategias y objetivos corporativos

Gobierno de tecnologas de informacin

Gobierno de tecnologas de informacin es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de objetivos de la organizacin. Bajo esta consideracin el gobierno de TI, no es una disciplina aislada, sino parte integral del gobierno de la empresa

Objetivos del gobierno de TI

De acuerdo a lo anteriormente sealado, el objetivo fundamental es generar una ventaja estratgica sostenible para la empresa por parte de las TI. Dentro de este marco se han definido cinco grandes focos de accin.

Objetivos del gobierno de TI

1. Desarrollar e innovar modelos de negocios que transformen la organizacin. 2. Facilitar el desarrollo y crecimiento de la empresa 3. Aumentar el valor de la empresa 4. Optimizar la operacin empresarial 5. Minimizar los riesgos en la operacin de la empresa

Objetivos del gobierno de TI

En torno a estos focos existen objetivos especficos sobre los cuales se centra la accin del gobierno de TI. Ej:
Tomar ventajas de las capacidades de TI para desarrollar nuevos negocios y cambiar las prcticas del negocio. Equilibrar el aumento en costos con el incremento en la oportunidad, calidad de informacin y conocimiento, para obtener un adecuado retorno de las inversiones
7

Objetivos del gobierno de TI

Gestionar el riesgo de hacer negocios en un mundo interconectado. Manejar los impactos de TI en todas las esferas del negocio. Evitar la disminucin del valor de la empresa

Modelo bsico

El modelo bsico de TI comprende los siguientes componentes:

Modelo bsico
Alineamiento estratgico: alinear estrategia de TI con la corporativa. Valor agregado: es la oferta que se hace al cliente sobre los beneficios que este recibe de la relacin con la organizacin. Administracin del riesgo: salvaguardar los activos de TI y la recuperacin de desastres. Administracin de recursos: optimizar infraestructura, personas procesos, aplicaciones datos e informacin. Medicin de resultados: Seguir los proyectos y monitorear el servicio de TI.
10

Herramientas del gobierno de TI

Para la aplicacin del gobierno de TI han surgido diferentes asociaciones e iniciativas que se han orientado a desarrollar herramientas para cubrir aspectos especficos de los componentes del gobierno de TI. Las herramientas tienen propsitos tales como coadyuvar en la comunicacin y autoevaluacin, en el monitoreo de riesgos, en evaluar la calidad de desarrollo de software y en definir los alcances de la auditora y administracin.
11

Herramientas del gobierno de TI

Entre las herramientas de mayor difusin, se encuentran:

COBIT ITIL MOF CMMI ISO 17799

12

COBIT
Control objectives for Information and related Technology. Objetivos de Control para la Informacin y Tecnologas Relacionadas. Son las mejores prcticas de la industria en seguridad y tecnologas de informacin condensadas en Objetivos de Control

13

COBIT

Fue creada por ISACA (Information System Audit and Control) y por IT Governance Institute (ITGI)

14

COBIT
Es una herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Coadyuva identificacin y adopcin de las mejores prcticas de control y auditora en la gestin de TI. Para ello define objetivos de control.

15

COBIT

Objetivos de control
Los objetivos de control, aseguran que se proporciona un sistema de control adecuado para el ambiente de tecnologa de la informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora que permite la revisin de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la gerencia la certeza de su cumplimiento.
16

COBIT

COBIT define objetivos de control sobre cuatro dominios.

1. 2. 3. 4. Planeacin y Organizacin Adquisicin e Implementacin Entrega y Monitoreo.

17

COBIT

Planeacin y Organizacin Este dominio cubre la estrategia y las tcticas y se refiere a la forma en la que la tecnologa de la informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiada. Adquisicin e implementacin Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizado a sistemas existentes.
18

COBIT
Entrega y soporte En este dominio se hace referencia a la entrega de servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Monitoreo Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

19

COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente,

Gobierno TI

COBIT
Informacin efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

Planeacin y Organizacin
PO1 Definir un Plan Estratgico de Tecnologa de Informacin PO2 Definir la Arquitectura de Informacin PO3 Determinar la direccin tecnolgica PO4 Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad

Monitoreo

Entrega y Soporte
DS1 Definir Niveles de Servicio DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeo y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Apoyar y Asistir a los Clientes de TI DS9 Administrar la Configuracin DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones

Recursos de TI datos sistemas de aplicacin tecnologa instalaciones recursos humanos

Adquisicin e Implementacin
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

20

COBIT

A continuacin se muestran los requerimientos para la informacin hecha por COBIT: Efectividad. Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad. Se refiere a la disponibilidad de la informacin cuando esta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. 21

COBIT

Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Datos. Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones. Recursos para alojar y dar soporte a los sistemas de informacin. Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
22

COBIT

Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI, de tal forma que la administracin pueda ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar.
23

COBIT

Modelos de Madurez para el control sobre los procesos TI consisten en el desarrollo de un mtodo de puntaje que una organizacin puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Esta aproximacin ha sido derivada desde el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la capacidad de desarrollo del Software (CMM): Contra estos niveles se desarroll para cada uno de los 34 objetivos de procesos de Cobit la administracin puede mapear: El estado actual de la organizacin es decir donde la organizacin est hoy da. El estado actual de (los mejores en su clase) la industria comparacin El estado actual de los estndares internacionales comparacin adicional Y la estrategia de la organizacin para mejorar es decir, donde la organizacin desea estar.
No e x is te I n ic ia l 1 R e p e tib le D e fin id o A d m in is -tr a d o 2 3 4 O p tim iz a d o 5

0 E s ta d o A c tu a l d e la E m p r e s a E s t n d a r I n te r n a c io n a l 1 2 M e jo r P r c tic a d e la 3 I n d u s tr ia E s tr a te g a d e la E m p r e s a

-- N o s e a p lic a a d m in is tr a c i n a l p roceso I n ic ia l -- P r o c e s o H a d -H o c y d e s o r g a n iz a d o R e p e tib le -- P r o c e s o s ig u e u n p a tr n r e g u la r D e fin id o -- P r o c e so D o c u m e n ta d o y c o m u n ic a d o 4 A d m in is tr a d o --P r o c e s o m o n ito r e a d o y m d id o 5 O p tim iz a d o -- M e jo r e s P r c tic a s s o n s e g u id a s y a u to m a tiz a d a s

N o e x is te

24

COBIT

MODELO GENERICO DE MADUREZ

0 No-Existente. Falta completa de cualquier proceso reconocible. La organizacin no ha reconocido an que hay un elemento a ser dirigido.
1 Inicial. No hay procesos estndares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitacin formal o comunicacin de procedimientos estndares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables. 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a travs de capacitacin. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones sern detectadas. Los procedimientos no son terminados pero formalizan las practicas existentes.
25

COBIT

4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando stos no estn trabajando efectivamente. Los procesos estn bajo constante mejoramiento y proveen de buenas practicas. La automatizacin y herramientas son utilizadas en forma limitada. 5 Optimizado. Los procesos se han refinado al nivel de mejores prcticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse rpidamente.
26