ITGI - Gti4u

ITGITM

Facilita la Adopción de IS0/IEC 38500:2008

Copyright © 2009 IT Governance Institute. Reservados todos los derechos. Página 2

IT Governance Institute®

El Instituto de Gobierno de TI (ITGITM

) (www.itgi.org) es una entidad de investigación independiente y sin fines de lucro, que brinda orientación a la comunidad empresarial global sobre aspectos relacionados con el gobierno de los activos de Tecnologías de la Información (TI). ITGI fue fundado en 1998 por ISACA, asociación sin fines de lucro, para ayudar a ejecutivos y profesionales de TI a garantizar que las TI entreguen valor y mitiguen sus riesgos a través del alineamiento con los objetivos del negocio, que los recursos de TI se gestionen adecuadamente y se mida su rendimiento. ITGI desarrolló los Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT

®) y Val IT

TM, y ofrece investigación

original y casos de estudio para ayudar a líderes empresariales y consejos de administración a cumplir con sus responsabilidades en el gobierno de TI y a los profesionales de TI a entregar servicios de valor añadido.

Límite de responsabilidad

ITGI ha diseñado y creado esta publicación, titulada en su versión española “ITGITM

Facilita la Adopción de ISO/IEC 38500:2008” (la Obra), principalmente como un recurso educativo. ITGI no afirma que el uso de cualquier parte de la obra asegurará un resultado exitoso. No debe considerarse que la Obra incluya cualquier información, procedimientos y pruebas adecuadas o excluya otra información, procedimientos y pruebas que estén razonablemente dirigidos a la obtención de los mismos resultados. En la determinación de la adecuación de cualquier procedimiento de información o de prueba, los profesionales del control deben aplicar su propio criterio profesional a las circunstancias de control específicas presentadas por el entorno concreto de sistemas o de TI.

Reserva de derechos

© 2009 ITGI. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada, modificada, distribuida, visualizada o almacenada en un sistema de recuperación o transmitida en cualquier forma por cualquier medio (electrónico, mecánico, fotocopia, grabación o de otro tipo) sin la previa autorización por escrito de ITGI. La reproducción y el uso de cualquier parte de esta publicación se permiten únicamente para uso académico, interno y no comercial y para encargos de consulta y asesoramiento, y debe incluir plena atribución de la fuente del material. No se concede ningún otro derecho o permiso respecto a esta obra.

IT Governance Institute

3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 EE.UU. Teléfono: +1.847.660.5700 Fax: +1.847.253.1443 E-mail: [email protected] Sitio Web: www.itgi.org

ITGITM Facilita la Adopción de IS0/IEC 38500:2008

Impreso en Estados Unidos de América

ITGITM



Agradecimientos

ITGI desea reconocer a: Investigador Gary Hardy, CGEIT, IT Winners, South Africa Revisores Expertos Gregory T. Grocholski, CISA, The Dow Chemical Company, USA Tony Hayes, FCPA, Queensland Government, Australia John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia Maxwell J. Shanahan, CISA, FCPA, Max Shanahan & Associates, Australia Robert E. Stroud, CA Inc., USA John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada Wim Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and Governance Research Institute, Belgium Vatsaraman Venkatakrishnan, CISA, CISM, CGEIT, ACA, Emirates Airlines, UAE Patronato de ITGI Lynn Lawton, CISA, FBCS, FCA, FIIA, KPMG LLP, UK, International President George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Belgium, Vice President Yonosuke Harada, CISA, CISM, CAIS, InfoCom Research Inc., Japan, Vice President Howard Nicholson, CISA, CGEIT, City of Salisbury, Australia, Vice President José Ángel Peña Ibarra, CGEIT, Consultoría en Comunicaciones e Info., SA & CV, México, Vice President Robert E. Stroud, CA Inc., USA, Vice President Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, Vice President Frank Yam, CISA, CIA, CCP, CFE, CFSA, FFA, FHKCS, FHKIoD, Focus Strategic Group, Hong Kong, VicePresident Marios Damianides, CISA, CISM, CA, CPA, Ernst & Young LLP, USA, Past International President Everett C. Johnson Jr., CPA, Deloitte & Touche LLP (retired), USA, Past International President Comité de Gobierno de TI Tony Hayes, FCPA, Queensland Government, Australia, Chair Sushil Chatterji, Edutech Enterprises, Singapore Kyung-Tae Hwang, CISA, Dongguk University, Korea John W. Lain hart IV, CISA, CISM, CGEIT, IBM Business Consulting Services, USA Hugh Penri-Williams, CISA, CISM, CCSA, CIA, Accenture Technology Services, France Gustavo Adolfo Solís Montes, CISA, CISM, Grupo Cynthus, México Robert E. Stroud, CA Inc., USA John Thorp, CMC, I.S.P., the Thorp Network Inc., Canada Wimp Van Grembergen, Ph.D., University of Antwerp Management School and IT Alignment and Governance Research Institute, Belgium Patrocinadores y afiliados a ITGI American Institute of Certified Public Accountants ASIS International The Center for Internet Security Common wealth Association for Corporate Governance Inc. FIDA Inform Information Security Forum Information Systems Security Association Institut of Governance des Systems d’Information Institute of Management Accountants Inc. ISACA ISACA Chapters ITGI Japan

ITGITM



Patrocinadores y afiliados a ITGI (continuación) Norwich University Socitm Performance Management Group Solvay Brussels School of Economics and Management University of Antwerp Management School Aldion Consulting Pte. Ltd. Analytix Holdings Pty. Ltd. BWise B.V. CA Inc. Consult2Comply IBM IT preneurs Nederlands B.V. Log Logic Inc. Phoenix Business and Systems Process Inc. Project Rx Inc. Symantec Corp. TruArx Inc. Wolcott Group LLC World Pass IT Solutions Versión en español realizada por: Manuel Ballester, PhD IEEE, MBA, CISA, CISM, CGEIT Tomás Arroyo Salido. CISA Manuel Palao, CISA, CISM, CGEIT

ITGITM



Introducción

En 1998, ISACA1 identificó la necesidad de mejorar la forma en que las

empresas gobernaban el uso de la información y las tecnologías relacionadas (TI) y, en una iniciativa innovadora, creó el IT Governance Institute (ITGI) [Instituto de gobierno de las tecnologías de la información y la comunicación], para incentivar la investigación y desarrollar guías en este ámbito clave del gobierno corporativo. ITGI (www.itgi.org) fue creado para promover el pensamiento global y la orientación en la evaluación, dirección y la supervisión de la utilización de las Tecnologías de la Información en la empresa.

ITGI dio la bienvenida a la publicación de un nuevo estándar, la norma ISO/IEC ISO38500:2008 Corporate governance of information technology, marcando un reconocimiento global de la importancia de este tópico y la necesidad de formalizar su adopción. En una época en que la importancia de la información y la tecnología está a nuestro alrededor, en cada aspecto de los negocios y de la vida pública, nunca ha sido mayor la necesidad de obtener más valor de las inversiones en TI y de gestionar un abanico cada vez mayor de riesgos relacionados con TI. El aumento de la regulación también provoca una mayor concienciación de los directores sobre la importancia de un entorno TIC bien controlado y la necesidad de cumplir las obligaciones legales, regulatorias y contractuales. Un gobierno empresarial eficaz de TI se traducirá en la mejora del desempeño y en el cumplimiento de requisitos externos.

ITGI considera que una norma internacional proporciona una base para el posterior desarrollo del gobierno, sobre todo porque es aplicable a cualquier organización, desde las más pequeñas a las más grandes, independientemente de su estructura o propósito. Sin embargo, para una adopción efectiva, la norma exige más apoyo a su implantación. La familia de productos ITGI puede ofrecer tal apoyo de forma adaptable a cualquier empresa.

1 ISACA® fue fundada en 1969 y cuenta actualmente con más de 86.000 socios en más de 160 países.

ISACA es un reconocido líder mundial en gobierno de TI, el control, la seguridad y el aseguramiento. ISACA patrocina conferencias internacionales, publica el ISACA Journal ®, y desarrolla normas internacionales de control y auditoría de sistemas de información. También administra tres certificaciones de prestigio internacional: Certified Information Systems Auditor™ (CISA®), Certified Information Security Manager® (CISM®) and Certified in the Governance of Enterpriser IT™ (CGEIT™).

Nunca ha sido mayor la necesidad de obtener más valor de las inversiones en TI y de gestionar un abanico cada vez mayor de riesgos relacionados con TI.

Un gobierno empresarial eficaz de TI se traducirá en la mejora del desempeño y en el cumplimiento de requisitos externos.

http://www.itgi.org/

ITGITM



El enfoque de ITGI

A principios de 1990, ISACA reconoció que los auditores, quienes tenían sus propias listas de comprobación para evaluar los controles y la eficacia de TI, hablaban un lenguaje diferente del usado por los directores de empresa y los profesionales de TI. Para salvar esta brecha en la comunicación, se creó COBIT como un marco de control de TI para los directores de empresa, los administradores de TI y los auditores, basado en un grupo genérico de procesos significativos de TI tanto para profesionales de TI como para la dirección de la empresa.

Aprovechando la base única de miembros de ISACA, profesionales de gobierno, control, seguridad y aseguramiento de TI, y las experiencias prácticas de cientos de expertos globales, ITGI ha creado una guía líder en el sector basada en el marco COBIT, incluyendo el marco recientemente publicado Val ITTM, proporcionando un lenguaje y enfoque comunes que ayuden a miles de empresas alrededor del mundo a entender y poner en práctica los principios de gobierno de TI. Como organización no lucrativa, ITGI ha creado amplias prácticas que son independientes de cualquier tecnología, vendedor o producto comercial específico, y ha puesto esta guía a libre disposición. Esto ayuda a consejos de dirección, ejecutivos, directores y gerentes a implementar estructuras, procesos y herramientas que les permitan entender y dirigir requisitos importantes relacionados con TI, supervisar y evaluar actividades críticas de TI y tomar decisiones informadas.

Las empresas necesitan confiar en los sistemas de información y en la información que estos producen. Necesitan poder contar con un rendimiento positivo de las inversiones en TI. Las guías de ITGI, basadas

en los marcos de COBIT y Val IT, permiten a administradores y directores de empresa un mejor entendimiento de cómo dirigir y gestionar el uso de TI en la empresa y el estándar de buena práctica que debe esperarse de

los proveedores de TI. COBIT and Val IT aportan las herramientas para dirigir y supervisar todas las actividades relacionadas con las TI.

Al final de esta publicación se incluye una descripción de todos los productos de gobierno de TI suministrados por ITGI.

Las guías de ITGI, basadas en los marcos de COBIT y Val IT, permiten a administradores y directores de empresa un mejor entendimiento de cómo dirigir y gestionar el uso de TI en la empresa.

ITGITM



Beneficios del estándar ISO/IEC 38500

ISO/IEC 38500 es beneficioso por las siguientes razones:

Destaca la importancia del gobierno de TI debido a los riesgos involucrados y a las significativas inversiones requeridas.

Incentiva a las empresas a utilizar estándares apropiados para apuntalar su gobierno de TI.

Provee un marco de 6 principios básicos para que los directores lo utilicen cuando evalúen, dirijan y supervisen el uso de las TI en sus empresas. Seguir estos principios ayudará a los directores a balancear riesgos y propiciar oportunidades derivadas del uso de las TI.

Es aplicable a todas las empresas, desde las más pequeñas hasta las más grandes, independientemente del propósito, diseño y estructura de la propiedad.

Aclara que un buen gobierno corporativo de TI puede ayudar a los directivos a asegurar la conformidad con las obligaciones (regulatorias, legales, contractuales y de derecho común) sobre el uso aceptable de TI, y asegurar que este uso contribuya positivamente al desempeño de la empresa.

Asimismo, deja claro que los sistemas inadecuados de TI pueden exponer a los directivos al riesgo de incumplimiento con una gama cada vez más amplia de legislación.

La implementación de la norma y la respuesta a la dirección establecida por el consejo de dirección están soportadas por guías adicionales del ITGI.

ITGITM



Cómo apoya ITGI al estándar

A continuación se resume cómo es que COBIT, Val IT y las guías relacionadas apoyan la adopción de los principios y el enfoque de implementación del estándar. Para mayor información, se incluye una lista de productos disponibles y enlaces de la web al final de este documento. El nuevo estándar ISO/IEC 38500:2008 – Gobierno corporativo de las tecnologías de la información, se basa en seis principios fundamentales. A continuación, se detallan las implicaciones prácticas de cada principio y cómo es que las guías del ITGI facilitan las mejores prácticas.

Principios del estándar2

Principio 1-Responsabilidad

¿Qué significa en la práctica?: La empresa (cliente) y TI (proveedor) deberían colaborar en la utilización de comunicaciones efectivas basadas en una relación de confianza y positiva, demostrando claridad con respecto a la responsabilidad y la rendición de cuentas. Para empresas más grandes, un comité ejecutivo de TI (generalmente referido como el comité de estrategia de TI), actuando en nombre del consejo y presidido por un miembro del consejo, es un mecanismo muy eficaz para la evaluación, dirección y supervisión de la utilización de TI en la empresa, y para asesorar a la junta sobre cuestiones críticas de TI. Los directores de las pequeñas y medianas empresas, con una estructura de mando más simple y mecanismos de comunicación más rápidos, necesitan utilizar un enfoque más directo para supervisar las actividades de TI. En todos los casos, se requieren estructuras de organización de gobierno apropiadas, así como funciones y responsabilidades correctamente asignadas por la dirección, que proporcionen claridad en cuanto a la autoría y la rendición de cuentas por las tareas y decisiones importantes. Esto debería incluir las relaciones con proveedores críticos de servicios de TI.

¿Cómo es que las guías de ITGI facilitan las mejores prácticas?

La publicación Board Briefing on IT Governance and Unlocking Value: An Executive Primer on the Critical Role of IT Governance, 2nd Edition proporciona orientación sobre los roles y responsabilidades para el gobierno de TI en las empresas y para la función de TI, ya sea interna o tercerizada, y describe la forma de establecer un eficaz comité ejecutivo (estratégico) de TI.

Los marcos COBIT y Val IT incluyen tablas RACI3 que muestran

ejemplos de roles y responsabilidades para miembros del consejo y de la gerencia para todos los procesos y actividades claves relacionados con TI.

La publicación IT Governance Implementation Guide: Using COBIT® and Val IT™, 2nd Edition explica las responsabilidades de las partes interesadas e involucradas en la aplicación o la mejora del esquema de gobierno de TI.

2 Para las definiciones de los seis principios expuestos en esta sección, por favor refiérase al estándar IS0/IEC

38500-2008, que puede comprarse a Distribuidores Autorizados, tales como ANSI, 25 West 43rd Street, New York, NY 10036, EE.UU., +1.212.642.4900, o http://webstore.ansi.org u otro vendedor autorizado. 3 Las tablas RACI identifican quiénes son los responsables, los que rinden cuentas, los consultados e informados

para una tarea.

Se requieren estructuras de organización de gobierno apropiadas, así como funciones y responsabili-dades correctamente asignadas por la dirección, que proporcionen claridad en cuanto a la autoría y la rendición de cuentas por las tareas y decisiones importantes.

ITGITM



El proceso Monitoreo y Evaluación (ME) de COBIT explica el rol del director en la supervisión y evaluación del gobierno y el desempeño de TI con un método genérico para establecer las metas, los objetivos y sus métricas relacionadas.ME4 Monitoriza y evalúa el gobierno de TI se focaliza específicamente en la supervisión de actividades del gobierno de TI.

Principio 2-Estrategia ¿Qué significa en la práctica?: La planificación estratégica de TI es una tarea compleja y crítica que requiere una estrecha coordinación a lo largo de la empresa, unidades de negocio y planes estratégicos de TI. También es fundamental priorizar los planes que tienen mayor probabilidad de lograr los beneficios deseados y de asignar recursos de manera eficaz. Los objetivos de alto nivel tienen que ser traducidos en planes tácticos alcanzables, asegurando un mínimo de fallas y sorpresas. La meta es entregar valor en apoyo de los objetivos estratégicos, considerando los riesgos asociados en relación con el apetito de riesgo del consejo de dirección. Si bien es importante que los planes se trasladen en cascada de forma descendente (top-down), los planes también deben tener un grado razonable de flexibilidad y adaptabilidad para satisfacer rápidamente las cambiantes necesidades empresariales y las oportunidades de TI.

Además, la presencia o ausencia de capacidades de TI puede permitir o dificultar las estrategias de negocio; por tanto, la planificación estratégica de TI debería incluir una planificación adecuada y transparente de sus capacidades Esto debería incluir la evaluación de la capacidad de la actual infraestructura de TI y de los recursos humanos para apoyar las futuras necesidades empresariales así como la consideración de futuros avances tecnológicos que podrían permitir ventajas competitivas y/o la optimización de costos. Los recursos de TI incluyen relaciones con muchos vendedores de productos y proveedores de servicios, algunos de los cuales probablemente jueguen un papel fundamental en el apoyo a la empresa. El gobierno del abastecimiento estratégico se constituye en una actividad muy importante de la planificación estratégica que requiere supervisión y dirección a nivel ejecutivo.

¿Cómo es que las guías de ITGI facilitan las mejores prácticas?

La publicación Board Briefing on IT Governance and Unlocking Value: An Executive Primer on the Critical Role of IT Governance, 2nd Edition explica cómo el comité ejecutivo de TI debería implementar una planificación estratégica efectiva alineada con la planificación estratégica de toda la empresa, y cómo la dirección del negocio y la de TI deberían cooperar para lograr resultados exitosos.

Val IT proporciona guías específicas en la gestión de inversiones de TI (específicamente en el dominio IM – Investment Management) y cómo es que los objetivos estratégicos deberían ser sustentados por apropiados casos de negocio.

El dominio Planificar y Organizar (PO) de COBIT explica los procesos requeridos para una planificación efectiva y la organización de los recursos internos y externos, incluyendo la planificación estratégica, la planificación de la arquitectura y la tecnología, la planificación organizacional y de inversiones, así como la administración de los riesgos, la calidad y de proyectos. También se explica el alineamiento de las metas de negocio y de TI con ejemplos genéricos, mostrando cómo se apoyan a los objetivos estratégicos para todos los procesos relacionados a TI basados en investigaciones de la industria.

La meta es entregar valor en apoyo de los objetivos estratégicos, considerando los riesgos asociados en relación con el apetito de riesgo del consejo de dirección.

ITGITM



La publicación Identifying and Aligning Business Goals and IT Goals presenta una mejor interpretación de la relación en cascada entre objetivos de negocio, objetivos de TI y procesos de TI. Presenta una lista consolidada de 17 objetivos de negocio genéricos y 18 objetivos genéricos de TI, validada y priorizada para diferentes sectores. Junto a la información que las relaciona, proporciona una buena base sobre la cual construir una relación en cascada entre los objetivos de negocio y los objetivos de TI. Se identificó una relación completa de las más importantes metas de negocio y de TI en los diferentes sectores. Un exhaustivo análisis por sector y localización geográfica permitió identificar significativas desviaciones, lo cual enfatiza la relevancia práctica para las empresas que operan en un sector específico que quieran utilizar estas listas para ayudarlas a identificar un buen conjunto de objetivos de negocio y de TI.

El documento Understanding How Business Goals Drive IT Goals resume el contenido del reporte de investigación Identifying and Aligning Business Goals and IT Goals.

Principio 3-Adquisición ¿Qué significa en la práctica?: Existen soluciones de TI para apoyar los procesos de negocio y, por tanto, se debe tener cuidado de no considerar a las soluciones de TI de forma aislada o sólo como un servicio o proyecto "tecnológico". Por otra parte, una elección inadecuada de arquitectura de tecnología, una falla al mantener una infraestructura técnica apropiada, o la falta de recursos humanos calificados puede causar el fracaso del proyecto, una incapacidad de mantener las operaciones del negocio o una reducción del valor del negocio. Las adquisiciones de recursos de TI deberían ser consideradas como una parte del cambio en el negocio viabilizado por TI. La tecnología adquirida también debe apoyar y operar con los procesos de negocio e infraestructura de TI existentes. La puesta en práctica no es sólo una cuestión de tecnología, sino más bien de una combinación de cambio organizacional, procesos de negocio revisados, entrenamiento y posibilitar el cambio. Por lo tanto, se deberían emprender proyectos de TI como parte de programas de cambio a lo largo de la empresa que incluyen otros proyectos que satisfacen la gama completa de actividades exigidas para ayudar a asegurar un resultado exitoso.

¿Cómo las guías de ITGI facilitan las mejores prácticas?

En el dominio Gestión de la inversión (IM), Val IT proporciona orientación sobre el gobierno y la gestión de inversiones de negocio viabilizadas por TI a través de su ciclo de vida completo (adquisición, implementación, funcionamiento y desmantelamiento). El dominio Gestión de portafolio (PM) establece cómo aplicar una gestión eficaz de programa y portafolio de dichas inversiones para ayudar a garantizar que se obtengan los beneficios y se optimicen los costos.

El dominio PO (Planear y organizar) de COBIT proporciona orientación para la planificación de adquisiciones, incluyendo el plan de inversión, la gestión de riesgos, la planificación de programas y proyectos y la planificación de calidad.

El dominio AI (Adquirir e implementar) de COBIT proporciona orientación sobre los procesos necesarios para adquirir e implementar soluciones de TI, que abarca la definición de requisitos, la identificación de soluciones viables, la preparación de la documentación, y la formación y entrenamiento a los usuarios y las operaciones para ejecutar los nuevos sistemas. Además, se ofrece orientación para ayudar a asegurar que las soluciones se prueban y controlan adecuadamente puesto que los

La puesta en práctica no es sólo una cuestión de tecnología, sino más bien de una combinación de cambio organizacional, procesos de negocio revisados, entrenamiento y posibilitar el

cambio.

ITGITM



cambios pueden afectar a las operaciones de negocio y al entorno de TI.

El dominio ME (Monitorizar y evaluar) de COBIT incluye orientación sobre cómo es que los directores pueden supervisar y evaluar el proceso de adquisición, así como los controles internos para ayudar a asegurar que las adquisiciones están bien gestionadas y ejecutadas.

Principio 4-Desempeño ¿Qué significa en la práctica?: La medición efectiva del desempeño

depende de dos aspectos claves: La definición clara de objetivos de desempeño y el establecimiento de métricas efectivas para supervisar el logro de objetivos. Un proceso de medición del desempeño también es necesario para ayudar a asegurar que se supervisa en forma consistente y fiable. Un gobierno eficaz se consigue cuando se establecen objetivos de arriba hacia abajo y son alineados con objetivos de negocio de alto nivel, se establecen parámetros de abajo hacia arriba y se alinean de manera que permitan el logro de los objetivos en todos los niveles que se supervisa por cada capa de la gestión. Dos factores críticos de éxito del gobierno son la aprobación de objetivos por las partes interesadas, y la aceptación de la rendición de cuentas para el logro de los objetivos por parte de los directores y administradores. TI es un tema complejo y técnico, por tanto, es importante lograr la transparencia expresando los objetivos, indicadores y reportes de desempeño en un lenguaje asequible a los interesados de modo que se tomen las medidas apropiadas.


COBIT y Val IT proporcionan ejemplos genéricos de objetivos y métricas para la gama completa de los procesos relacionados con TI y nos enseñan cómo se relacionan con los objetivos de negocio, permitiendo a las empresas adaptarlos para su propio uso específico.

COBIT proporciona orientación sobre el establecimiento de objetivos, alineados con los objetivos de negocio y describe cómo supervisar el desempeño de estos objetivos mediante la utilización de indicadores y métricas. La capacidad puede ser comparada utilizando modelos de madurez y los objetivos de control. Dos de los principales procesos de COBIT ofrecen orientación específica:

PO1 Definir un plan estratégico de TI, que se focaliza en la definición de metas.

DS1 Definir y gestionar los niveles de servicio, que se centra en la definición de servicios apropiados y de objetivos de los servicios, así como en la documentación en acuerdos de niveles de servicio.

En el proceso ME1 Monitorizar y Evaluar el desempeño de TI, COBIT proporciona orientación sobre las responsabilidades de la dirección ejecutiva para esta actividad. COBIT ofrece orientación sobre el propio gobierno de TI en el proceso ME4 Supervisar y Evaluar el Gobierno de TI.

Val IT proporciona orientación específica y ejemplos concretos para el seguimiento del desempeño de una inversión de TI a través de todo su ciclo de vida económico, desde el caso de negocio hasta la realización de beneficios.

Dos factores críticos de éxito del gobierno son la aprobación de objetivos por las partes interesadas, y la aceptación de la rendición de cuentas para el logro de los objetivos por parte de los directores y

administradores.

ITGITM



La publicación IT Assurance Guide: Using COBIT explica cómo es que los profesionales de aseguramiento pueden proporcionar un enfoque independiente de aseguramiento a la dirección, en cuanto al desempeño de TI.

Principio 5-Conformidad ¿Qué significa en la práctica?: En el actual mercado global, gracias a Internet y a las avanzadas tecnologías, las empresas necesitan cumplir con un número creciente de requisitos legales y regulatorios. Debido a los escándalos corporativos y las anomalías financieras en años recientes, los consejos directivos tienen plena conciencia de la existencia y las implicaciones de las leyes y los reglamentos cada vez más estrictos. Las partes interesadas requieren una mayor garantía de que las empresas están cumpliendo con las leyes y regulaciones y que se ajusten a las mejores prácticas del gobierno corporativo en su entorno operativo. Además, debido a que las TI han facilitado procesos de negocio perfectamente integrados entre empresas, también hay una creciente necesidad de ayudar a garantizar que los contratos incluyen importantes requisitos relacionados con TI en áreas como la privacidad, la confidencialidad, la propiedad intelectual y la seguridad. Los directores necesitan asegurar que el cumplimiento de requisitos externos se considera como parte de la planificación estratégica y no como una costosa ocurrencia de último momento. Ellos también necesitan marcar la pauta en la alta dirección, estableciendo políticas y procedimientos a seguir por su gerencia y staff, para asegurar que se logren los objetivos de la empresa, se minimicen los riesgos y se superen los cumplimientos. La alta dirección debe lograr un equilibrio adecuado entre el desempeño y la conformidad, asegurando que los objetivos de desempeño no pongan en peligro el cumplimiento y, por el contrario, que el régimen de cumplimiento es adecuado y no restringe demasiado el funcionamiento de la empresa.


Los objetivos de control y las prácticas de control de COBIT proporcionan una base para el establecimiento de un ambiente de control apropiado y para la evaluación de la idoneidad de los controles de TI en la empresa. Los modelos de madurez permiten a la dirección evaluar y comparar la capacidad de los procesos de TI.

El proceso COBIT PO1 Definir un plan estratégico de TI, ayuda a asegurar la alineación entre los planes de TI y los objetivos estratégicos del negocio, incluyendo los requisitos enfocados al gobierno.

El proceso COBIT ME2 Monitorizar y evaluar los controles de TI, permite que los directores valoren si los controles son adecuados para satisfacer los requisitos de conformidad.

El proceso COBIT ME3 Asegurar el cumplimiento de los requisitos externos, ayuda a asegurar que se identifiquen los requerimientos externos, que los directores definan el enfoque para el cumplimiento, y que el propio cumplimiento de TI sea supervisado, evaluado e integrado como una parte de la conformidad general de los requerimientos de la empresa.

La publicación IT Assurance Guide: Using COBIT explica cómo es que los auditores pueden proporcionar garantía independiente de cumplimiento y adhesión a las políticas internas derivadas de directivas internas o requerimientos legales, regulatorios o contractuales, confirmando que se tomen las acciones correctivas para enfrentar

ITGITM



cualquier incumplimiento por el propietario responsable del proceso de una manera oportuna.

La conformidad también implica decisiones de inversión. Val IT, específicamente a través del Gobierno del Valor VG1 y 3, PM1 y 4, y Gestión de las Inversiones IM4, asegura que las inversiones relacionadas a la conformidad equilibren la conformidad con el riesgo y con el costo de la no conformidad.

Principio 6-El comportamiento humano. ¿Qué significa en la práctica?: La implementación de cualquier cambio viabilizado por TI, incluyendo el mismo gobierno de TI, generalmente requiere significativos cambios culturales y de comportamiento en las empresas, los clientes y los socios de negocios. Esto puede crear temor y malentendidos entre el personal, de modo que la implementación necesita ser gestionada con cuidado, sobre todo si el personal debe permanecer altamente comprometido. Los directores deben comunicar claramente los objetivos, y ser percibidos como los abanderados en el apoyo de los cambios propuestos. Los aspectos clave del cambio son el entrenamiento y la mejora de habilidades del personal, especialmente dada la veloz naturaleza evolutiva de la tecnología. Las personas están impactadas por las TI en todos los niveles de la empresa, sean partes interesadas, gerentes, usuarios o especialistas que proporcionan servicios y soluciones de TI al negocio. Más allá de la empresa, las TI afectan a clientes y socios de negocio, incrementando el autoservicio y las transacciones automatizadas entre compañías, dentro de los países y fuera de ellos. Si bien es cierto los procesos de negocio facilitados por TI traen nuevas ventajas y oportunidades, también incorporan un creciente número de riesgos. Aspectos tales como la privacidad y el fraude son preocupaciones crecientes para las personas; se requiere gestionar esos y otros riesgos para que la gente confíe en los sistemas de TI que utilizan. Los sistemas de información también impactan dramáticamente en las prácticas laborales, a través de la automatización de procedimientos manuales. ¿Cómo las guías de ITGI facilitan las mejores prácticas? Siete procesos de Val IT y COBIT proporcionan orientación ante los requerimientos que se relacionan con el comportamiento humano:

El capítulo 6 de Val IT, Responsabilidades y rendición de cuentas, acentúa la necesidad de entender los cambios relacionados con el gobierno de las inversiones y para los mismos cambios facilitados por TI.

El proceso de COBIT PO4 Definir la organización y relaciones de TI, explica cómo la organización de TI y sus procesos relacionados son desarrollados y mantenidos apropiadamente para satisfacer las necesidades y requerimientos del personal en todos los niveles.

El proceso de COBIT PO6 Comunicar la dirección y objetivos de la gerencia, se focaliza en asegurar que las metas y los objetivos son comunicados claramente y que la cultura laboral fomenta la actitud correcta del trabajador hacia el riesgo y el control.

El proceso de COBIT PO7 Gestión de los recursos humanos de TI explica cómo el desempeño de los individuos debería estar alineado con las metas corporativas, cómo deberían mantenerse las habilidades de los especialistas de TI, y cómo deberían definirse los roles y responsabilidades.

El proceso COBIT AI2 Adquirir y mantener el software de aplicación, ayuda a asegurar las especificaciones de diseño de las aplicaciones que satisfacen los requerimientos de uso y operación del personal.

Cualquier cambio viabilizado por TI, incluyendo el mismo gobierno de TI, generalmente requiere significativos cambios culturales y de comportamiento en las empresas, los clientes y los socios de negocios.

Aspectos tales como la privacidad y el fraude son preocupaciones crecientes para las personas; se requiere gestionar esos y otros riesgos para que la gente confíe en los sistemas de TI que utilizan.

Un gobierno empresarial eficaz de TI se traducirá en la mejora del desempeño y en el cumplimiento de requisitos externos.

ITGITM



El proceso de COBIT T AI4 Permitir la operación y el uso, ayuda a asegurar que los usuarios están capacitados para la utilización efectiva de los sistemas.

El proceso COBIT DS7 Educar y entrenar a los usuarios, explica cómo se pueden identificar y responder a las necesidades de entrenamiento de los usuarios, asegurando el uso eficaz de los sistemas de TI.

El proceso COBIT ME2 Monitorizar y evaluar los controles internos, permite que los directores puedan supervisar los controles internos y, específicamente, supervisar el desempeño de las personas a través de exámenes de control.

Además, ISACA ofrece tres certificaciones para los profesionales que desempeñan roles críticos relacionados con el gobierno de TI:

Certificación en el gobierno de TI de las empresas (CGEIT™).

Certificación de auditor de sistemas de información (CISA®).

Certificación de gerente de seguridad de la información (CISM®).

Los titulares de estas certificaciones han demostrado tanto capacidad como experiencia en el desempeño de tales roles.

Adopción del estándar

Fuente: © ISO. Este material es reproducido de ISO/IEC 38500:2008 con el permiso de ANSI (American National Standards Institute) en representación de ISO (International Organisation for Standardisation). Ninguna parte de este material puede ser copiado o reproducido en cualquier forma, sistema de recuperación electrónica u otro, o estar disponible en Internet, una red pública, satélite u otro, sin el previo permiso escrito de ANSI u otra entidad autorizada. Copias de este estándar pueden ser compradas en ANSI, 25 West 43rd Street, New York, NY10036, USA, +1.212.642.4900, http://webstore.ansi.org u otro vendedor autorizado.

Las mejores prácticas en COBIT son un enfoque común para un buen control de TI implementado por gerentes de TI y del negocio, y evaluado en la misma base por

auditores.

ITGITM



ISO/IEC 38500 recomienda que los directores de TI deberían gobernar a través de tres tareas principales, tal como se muestra en la figura 1:

Evaluar.

Dirigir.

Monitorizar. ¿Qué significa en la práctica?: La implementación de un enfoque efectivo de gobierno de TI se hace más fácil y es más efectivo cuando:

Se alinea con estándares y practicas aceptadas de gobierno corporativo.

Se alinea con el enfoque de la empresa para el gobierno.

Cubre todos los aspectos de las actividades relacionadas a TI en una empresa.

Está basado en principios y objetivos que pueden ser entendidos y aplicados por todos los interesados.

La referencia a marcos completos, estándares y prácticas disponibles y su adopción y utilización (adaptado para reflejar la cultura, los requisitos y las capacidades), pueden apoyar eficiente y eficazmente a las empresas en el establecimiento de un apropiado enfoque de gobierno de TI.


Los siguientes materiales de ITGI apoyan las tres tareas principales recomendadas en ISO/ IEC 38500. Evaluar:

Las publicaciones The Board Briefing on IT Governance, 2nd Edition y Unlocking Value: An Executive Primer on the Critical Role of IT Governance describen qué deberían hacer los consejos de dirección acerca del gobierno de TI, qué cubre, qué cuestiones deben preguntarse, y cómo comparar la propia empresa con las mejores prácticas.

COBIT and Val IT proporcionan una base para evaluar la idoneidad de las prácticas de gestión y los controles de TI, permitiendo a la dirección la evaluación y comparación de la capacidad de los procesos de TI.

Las fases Identificación de necesidades y Visualizar la solución de la publicación IT Governance Implementation Guide: Using COBIT

® and

Val IT, 2nd Edition, explican cómo focalizar la evaluación de TI en necesidades de negocio y procesos críticos de TI, y luego, cómo realizar un análisis de brecha respecto de las mejores prácticas.

COBIT® QuickStart™, 2nd Edition, proporciona orientación a las

pequeñas o grandes empresas que desean evaluar su control y gobierno de TI con referencia a una línea base predefinida.

La publicación Enterprise Value: Governance of IT Investments, Getting Started With Value Management, ayuda a identificar factores desencadenantes y a evaluar necesidades de negocio para mejorar la gestión de inversiones relacionadas con las TI.

La publicación Enterprise Value: Governance of IT Investments, The Business Case, ayuda a generar casos de negocio para el mejoramiento del gobierno de TI.

ITGITM



La publicación IT Assurance Guide: Using COBIT® permite que los

profesionales de aseguramiento brinden evaluaciones independientes a la gerencia y proporcionen un método y ejemplos para conducir auditorías y revisiones.

Dirigir:

Las publicaciones The Board Briefing on IT Governance, 2nd Edition y Unlocking Value: An Executive Primer on the Critical Role of IT Governance, describen lo que los consejos de dirección pueden hacer sobre el gobierno de TI y explican cómo se concretan.

COBIT y Val IT proporcionan guías de implementación sobre objetivos de control y prácticas clave de administración que se deberían considerar, (basado en mejores prácticas y en estándares internacionales generalmente aceptados), para implementar un buen gobierno de TI.

Las fases Planificar la solución e Implementar la solución de la publicación IT Governance Implementation Guide: Using COBIT

® and

Val IT, 2nd Edition, explican cómo priorizar, planificar y diseñar mejoras en el gobierno de TI.

COBIT ®

QuickStart™, 2nd Edition, brinda una línea base recomendada de controles para las pequeñas o grandes empresas que deseen dar un paso inicial hacia el buen gobierno de TI.

Para aquellas empresas donde la seguridad es el área clave que necesita mejoras, COBIT

® Security Baseline™, 2nd Edition proporciona

una guía sencilla para dirigir la implementación de controles de seguridad clave de TI, en alineamiento con el estándar de seguridad ISO/IEC 27002.

Monitorizar:

Las publicaciones The Board Briefing on IT Governance, 2nd Edition y Unlocking Value: An Executive Primer on the Critical Role of IT Governance, describen lo que los consejos de dirección deberían hacer para supervisar efectivamente el gobierno corporativo.

COBIT proporciona guías bajo la forma de procesos recomendados para supervisar y evaluar las TI (dominio ME), cubriendo la medición del desempeño, la efectividad del control interno, conformidad con requisitos externos y la consecución de un eficaz gobierno corporativo.

COBIT y Val IT incluyen ejemplos de metas y métricas para apoyar el establecimiento de un proceso de supervisión efectivo alineado con metas y objetivos de negocio.

La fase Implementar la solución de la publicación IT Governance Implementation Guide: Using COBIT

® and Val IT, 2nd Edition, explica

cómo introducir el gobierno de TI en las operaciones de negocio normales y cómo supervisar y medir el éxito de las mejoras en el gobierno de TI.

La publicación The IT Assurance Guide: Using COBIT® permite que los

profesionales de aseguramiento proporcionen opiniones independientes a la gerencia sobre el desempeño y la conformidad, brindando un método y ejemplos para conducir auditorías y revisiones.

ITGITM



¿Cómo los productos de ITGI apoyan en la adopción de ISO/IEC 38500?

La figura 2 muestra cómo es que los productos de ITGI apoyan en la adopción de ISO/IEC 38500.

Figura 2-Relación de productos ITGI e ISO/IEC 38500

Áreas de ISO/IEC 38500

Producto ITGI

Res

po

nsa

bil

idad

es

Est

rate

gia

s

Ad

qu

isic

ión

Des

emp

eño

Co

nfo

rmid

ad

Co

mp

ort

amie

nto

hu

man

o

Ev

alu

ar

Dir

igir

Mo

nit

ori

zar

Board Briefing on IT Governance, 2nd Edition √ √ √ √ √ √

Unlocking Value: An Executive Primer on the Critical Role of IT Governance √ √ √ √ √ √

COBIT® √ √ √ √ √ √ √ √ √

Val IT™ √ √ √ √ √ √ √ √ √

IT Governance Implementation Guide: Using

COBIT® and Val IT, 2nd Edition

√ √ √

IT Assurance Guide: Using COBIT® √ √ √ √

COBIT® Quickstart™, 2nd Edition √ √

Enterprise Value: Governance of IT

Investments, Getting Started With Value Management

√

COBIT® Security Baseline™, 2nd Edition √ √ √

Enterprise Value: Governance of IT Investments, The Business Case

√ √ √ √ √

Las mejores prácticas en COBIT son un enfoque común para un buen control de TI implementado por gerentes de TI y del negocio, y evaluado en la misma base por auditores. En el transcurso de los años, COBIT ha sido desarrollado como un marco libremente disponible y ahora está siendo globalmente adoptado de modo creciente como el modelo de control estándar “de facto” para implementar y demostrar una gestión y gobierno efectivo de TI. Recientemente, se introdujo Val IT para ampliar la orientación de ITGI en el área de inversiones viabilizadas por TI. La combinación de Val IT y COBIT proporciona una base completa para establecer un esquema de gobierno efectivo sobre las actividades relacionadas con TI.

COBIT está siendo globalmente adoptado de modo creciente como el modelo de control estándar “de facto”

Val IT se introdujo para ampliar la orientación de ITGI en el área de inversiones viabilizadas por TI.

La combinación de Val IT y COBIT proporciona una base completa para establecer un esquema de gobierno efectivo sobre las actividades relacionadas con TI.

ITGITM



El marco COBIT, en las versiones 4.0 y superiores, incluye lo siguiente:

Marco de referencia: Explica cómo es que COBIT organiza la gestión del gobierno de TI, los objetivos de control y las mejores prácticas mediante procesos y dominios de TI, y cómo enlazar a éstos con los requerimientos de la empresa.

Descripciones de procesos: Incluyen 34 procesos que cubren todas las áreas de responsabilidad de TI.

Objetivos de control: Proporcionan los objetivos de gestión de las mejores prácticas genéricas para los procesos de TI.

Directrices de gestión: Ofrece herramientas para ayudar a asignar responsabilidades y medir el desempeño.

Modelos de madurez: Proporcionan perfiles de los procesos de TI describiendo los posibles estados, el actual y el futuro.

En los años transcurridos desde su creación, el contenido básico de COBIT ha seguido evolucionando y se ha incrementado el número de trabajos derivados. A continuación, las publicaciones actuales derivadas de COBIT:

Unlocking Value: An Executive Primer on the Critical Role of IT Governance: Proporciona una visión a los ejecutivos de por qué el gobierno de TI es importante y cómo puede añadir valor a la empresa.

Board Briefing on IT Governance, 2nd Edition: Ayuda a los ejecutivos a entender mejor los conceptos de gobierno de TI, y cómo hacer para que se viabilicen.

COBIT Online ®: Permite a los usuarios personalizar una versión de

COBIT para su propia empresa y, a continuación, almacenar y manipular la versión como se desee. Se ofrece encuestas en línea, las preguntas más frecuentes, benchmarking, y un foro de debate para compartir experiencias y preguntas.

COBIT® Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition: Proporciona guías sobre los riesgos a evitar y el valor a obtener cuando se implementa un objetivo de control, así como las instrucciones para implementar el objetivo.

IT Assurance Guide: Using COBIT ®

: Proporciona guías sobre cómo se puede utilizar COBIT para apoyar una variedad de actividades de aseguramiento y ofrece medidas de comprobación para todos los procesos y objetivos de control de TI de COBIT. También es útil para llevar a cabo auto-evaluaciones contra los objetivos de control en COBIT 4.1.

IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting, 2nd Edition: Proporciona orientación sobre la manera de asegurar el cumplimiento para el entorno de TI, basándose en los objetivos de control de COBIT.

IT Control Objectives for Basel II - The Importance of Governance and Risk Management for Compliance: Proporciona orientación a los bancos en relación a los riesgos operativos relacionados con TI.

IT Governance Implementation Guide: Using COBIT® and Val IT, 2nd Edition: Proporciona una hoja de ruta genérica para implementar el gobierno de TI utilizando los recursos de COBIT y Val IT y el apoyo de su conjunto de herramientas.

COBIT® QuickStart ™, 2nd Edition: Proporciona una línea base de

control para las pequeñas empresas y un posible primer paso para las empresas más grandes.

COBIT® Security Baseline™, 2nd Edition: Se focaliza en los pasos

esenciales para la implementación de la seguridad de la información dentro de la empresa.

ITGITM



Mapeos con COBIT: Disponibles en www.isaca.org/downloads:

- Aligning COBIT® 4.1, ITIL v3 and ISO/IEC 27002 for Business Benefit.

- COBIT® Mapping: Overview of International IT Guidance, 2nd Edition.

- COBIT® Mapping: Mapping of CMMI® for Development V1.2 With

COBIT® 4.0.

- COBIT® Mapping: Mapping of ISO/IEC 17799:2000 With COBIT®

2nd

Edition.

- COBIT® Mapping: Mapping of ISO/IEC 17799:2005 With COBIT®

4.0.

- COBIT® Mapping: Mapping of ITIL With COBIT®

4.0.

- COBIT® Mapping: Mapping of NIST SP800-53 With COBIT®

4.1.

- COBIT® Mapping: Mapping of PMBOK With COBIT®

4.0.

- COBIT® Mapping: Mapping of PRINCE2 With COBIT®

4.0.

- COBIT® Mapping: Mapping of SEI's CMM for Software With COBIT®

4.0.

- COBIT® Mapping: Mapping of TOGAF 8.1 With COBIT®

4.0.

Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition: Presenta la seguridad de información en términos de negocio, conteniendo herramientas y técnicas para ayudar a descubrir los problemas relacionados a la seguridad.

Val IT es el término de paraguas utilizado para describir las publicaciones y futuros productos y actividades adicionales que abarquen el marco Val IT. Las publicaciones actuales relacionadas con Val IT son:

Enterprise Value: Governance of IT Investments, Getting Started With Value Management: Esta publicación proporciona una sencilla guía para conseguir una iniciativa de la gestión del valor para el negocio, los ejecutivos de IT y los líderes de la organización.

Enterprise Value: Governance of IT Investments—The Val IT Framework 2.0, que explica cómo una empresa puede extraer valor óptimo de TI y sus inversiones, basándose en el marco COBIT. Está organizada en:

- Tres procesos: Gobierno del valor, Gestión de portafolio y Gestión de inversiones.

- Prácticas clave de gestión de TI: Prácticas esenciales de gestión que influyen positivamente en el logro del resultado o propósito deseado de una actividad particular. Estas prácticas apoyan los procesos VAL IT y juegan más o menos el mismo rol como lo hacen los objetivos de control de COBIT.

Enterprise Value: Governance of IT Investments—The Business Case: Se focaliza en un elemento clave del proceso de gestión de inversiones.

Para la más completa y actualizada información sobre COBIT y Val IT y sus productos relacionados, casos de estudio, oportunidades de entrenamiento, boletines de actualización y otro marco específico de información, visite www.itgi.org, www.isaca.org/cobit o www.isaca.org/valit.

http://www.isaca.org/downloads

http://www.itgi.org/

http://www.isaca.org/cobit

http://www.isaca.org/valit

ITGI - Gti4u

Documents

Transcript of ITGI - Gti4u