Norma ISO 38500

Estándar asociado a la buena práctica COBIT

CHAFLOQUE HUAMÁN Joselyne VELASQUEZ QUIROZ Arnold VERA ZAPATA Irene

INTRODUCCIÓN:INTRODUCCIÓN:

Actualmente las organizaciones requieren una aproximación estructurada para abordar muchos desafíos.

Para poder definir al GOBIERNO DE TIPara poder definir al GOBIERNO DE TI

Se debe iniciar definiendo al Gobierno Corporativo

Conjunto de responsabilidades y prácticasConjunto de responsabilidades y prácticas

Por la junta directiva y la administraciónPor la junta directiva y la administración

ejecutadas

Proveer dirección estratégicaProveer dirección estratégica

finalidad

(ISACA, 2010)

¿De qué manera se provee una correcta dirección ¿De qué manera se provee una correcta dirección estratégica para la organización?estratégica para la organización?

Pero….

GOBIERNO DE TIGOBIERNO DE TI

Es una parte integral del Gobierno corporativoEs una parte integral del Gobierno corporativo

Consta

Liderazgo, estructuras organizacionales y procesos

Garantizan

Las TI de la empresa sustentan y extiendenLas TI de la empresa sustentan y extienden Estrategias y objetivos

OrganizacionalesEstrategias y objetivos Organizacionales

GOBIERNO DE TIGOBIERNO DE TI

Es una responsabilidad compartida de la junta directiva y la administración ejecutiva de la organización.

(ISACA, 2010)

Definición de Gobierno de TI según Definición de Gobierno de TI según norma ISO/IEC 38500:2008norma ISO/IEC 38500:2008

“Sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de información.”

“Sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de información.”

Implementación del Gobierno de TIImplementación del Gobierno de TI

Se tiene en cuenta las diferentes condiciones y circunstancias existentes en una organización, determinadas por factores como lo son:

Implementación del Gobierno de TIImplementación del Gobierno de TI

Enfoque del Gobierno de TIEnfoque del Gobierno de TI

Áreas de enfoque del Gobierno de TIÁreas de enfoque del Gobierno de TI

Alineación Estratégica:Alineación Estratégica:

Garantiza la alineación estratégica

Garantiza la alineación estratégica

Planes de Negocio

entre

Planes de TI

Alinear

Operaciones de TI Operaciones de la empresa

Entrega de Valor:Entrega de Valor:

Administración de Recursos: Administración de Recursos:

Aplicaciones. Información. Infraestructura. Personas.

Administración de Riesgos:Administración de Riesgos:

Riesgos de la función de TI

Procesos soportados por TI

Medición del desempeño:Medición del desempeño:

La estrategia de implementación.

La terminación del proyecto.

Uso de los recursos.

Desempeño de los procesos.

Entrega del servicio.

BSC

Mapa de implementación de Mapa de implementación de Gobierno de TI para la organización.Gobierno de TI para la organización.

IdIdentificar las necesidades de la organización:entificar las necesidades de la organización:

Fomentar conciencia

Obtener compromiso

También implica

• Analizar metas del negocio y de TI.• Realizar selección de procesos y controles. • Analizar riesgos.• Definir alcances.

Prever la solución de problemas:Prever la solución de problemas:

La capacidad

La madurez

Posteriormente definir

Planear la solución:Planear la solución:

Implantar Solución:Implantar Solución:

La retroalimentación y lecciones aprendidas post-implementación. Monitoreo de las mejoras sobre desempeño de la corporación. Balanced Scorecard de TI

Lograr Sustentabilidad:Lograr Sustentabilidad:

Gobierno de TI

Gobierno corporativo

Estructuras organizacionales apropiadas. Determinar políticas y controles. Cambio cultural impulsado desde la alta dirección. Monitoreo e informes óptimos

Pero….

¿Por qué utilizar un estándar? ¿Será bueno o ¿Por qué utilizar un estándar? ¿Será bueno o malo?malo?

¿Utilizo un Estándar?¿Utilizo un Estándar?

COBITCOBIT

COBIT…. Su misiónCOBIT…. Su misión

Investigar, desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI autorizado y actualizado, internacionalmente aceptado y adoptado para el uso cotidiano de las empresas, gerentes de negocios, profesionales de TI y de Aseguramiento.

DiagramaDiagrama dede lala misiónmisión dede COBIT: COBIT:

Principio básico del marco de referencia de COBITPrincipio básico del marco de referencia de COBIT

Los recursos de TI son manejados por procesos para alcanzar las metas de TI que responden a los requerimientos del negocio.

COBIT…. Sus características:COBIT…. Sus características:

COBIT 4.1

COBIT 4.1COBIT 4.1

Modelo de Madurez COBITModelo de Madurez COBIT

Tiene 6 niveles (0 al 5) para medir el nivel de madurez de los procesos de TI:

Modelo de Madurez COBITModelo de Madurez COBIT

Procesos de COBITProcesos de COBIT

COBIT 5COBIT 5

Procesos COBIT 5Procesos COBIT 5

La orientación de COBIT 5 es en procesos y existen 36 procesos que están separados como áreas de Gobierno y Administración.

Área: Gobierno Corporativo de TI

• Evaluar, Dirigir y Monitorear (EDM) – 5 procesos

Área: Administración de TI Corporativa

• Alinear, Planear, Organizar ( PO) – 12 procesos• Construcción, Adquisición e implementación (BAI) – 8 procesos• Entrega, Servicio y Soporte (DSS) – 8 procesos• Monitoreo, Evaluación e Informes (MEI) – 3 procesos

Procesos COBIT 5Procesos COBIT 5

Los nuevos procesos son los de EDMEDM1 - Establecer y mantener el marco de referencia del GobiernoEDM2 - Asegurar la Optimización del ValorEDM3 - Asegurar la optimización del riesgoEDM4 - Asegurar la optimización de los recursosEDM5 - Asegurar la transparencia hacia los stakeholders.Los procesos de disponibilidad y capacidad fueron mezclados:

BAI4 - Administrar la disponibilidad y capacidadLa mesa de servicio ha sido removida como parte del nombre de un proceso, ahora el

proceso que la incluye es:DSS4 - Administrar las solicitudes de servicio e incidentes

Cambios en COBIT 5Cambios en COBIT 5

COBIT 4.1 hacía referencia a ITIL; CMM, ISO 17799, PMBOK, PRINCE2. Uno de los objetivos de COBIT 5 sigue siendo mejorar la compatibilidad con otras guías de buenas prácticas y estándares.

Nuevo Modelo de Madurez COBIT 5Nuevo Modelo de Madurez COBIT 5

Toma precisamente el modelo de madurez definido por ISO en la norma ISO/IEC 15504 más conocida como SPICE (Software Process Improvement Capability Determination, (Determinación de la Capacidad de Mejora del Proceso de Software)

Modelo de capacidad de procesosModelo de capacidad de procesos

Estructura de los procesos:Estructura de los procesos:

Se dispone de un total de 36 procesos (34 en la versión 4.1).Se comprueba que muchos de los procesos ya están adoptados en la

organización: Gestión de proveedores. Gestión de cambios. Gestión de la configuración. Gestión de incidencias. Gestión de problemas. COBIT 5 propone tres procesos para la monitorización y evaluación.

Análisis:Análisis:

Principios de COBIT 5Principios de COBIT 5

Comparativo de versiones:Comparativo de versiones:

Característica Versión 4.1 Versión 5

Áreas de conocimiento Única Gobierno Corporativo de TI y Administración de TI Corporativa

Dominios 4(PO, AI, DS, ME) 5 (EDM, PO, BAI, DSS, MEI)

Procesos 34 36

Procesos por Dominio PO – 10 procesosAI – 7 procesosDS – 13 procesosME – 4 procesos

EDM – 5 procesosPO – 12 procesosBAI – 8 procesosDSS – 8 procesosMEI – 3 procesos

Nivel de Madurez 6, modelo propio 6, basado en ISO 15504, niveles de capacidad.

Historia:Historia:

La norma australiana AS8015 de 2005

Es un sistema que dirigía y controlaba el uso actual y futuro de las TIC Encargada de dirigir y evaluar los planes para que el uso de las TIC apoyen a la

organización y se monitoree su uso para lograr los planes establecidos La norma incluye la estrategia y las políticas para el uso de las TIC dentro de una

organización.

La norma ISO 38500 Fue publicada en junio del 2008 Es la primera de la línea ISO para el buen gobierno de las TI. Basada en la norma australiana AS8015 del 2005. Su objetivo es proporcionar un marco de principios para que la dirección de las

organizaciones los utilicen para evaluar, dirigir y monitorear el uso de las TI. Está alineada con los principios de gobierno corporativo recogidos en el "Informe

Cadbury" y con los "Principios de Gobierno Corporativo de la OCDE «.

ISO/IEC 38500:2008ISO/IEC 38500:2008

Aplicación

Esta norma es aplicable a todas las organizaciones, incluyendo públicos y privados empresas, entidades gubernamentales y organizaciones sin fines de lucro. La norma es aplicable a las organizaciones de todos los tamaños, desde la más pequeña hasta la más grande, independientemente de su grado de uso de las TI

ISO/IEC 38500:2008ISO/IEC 38500:2008Pr

opós

itos

Prop

ósito

sAsegurar que si la norma se sigue, las partes involucradas pueden confiar en el Gobierno Corporativo de TI.

Informar y orientar a los directivos que controlan el uso de las TI en la organización.

Proporcionar una base para la evaluación objetiva de la gestión de TI realizada por la alta dirección.

ISO/IEC 38500:2008ISO/IEC 38500:2008

Objetivos: • Generar confianza en los stakeholders

(empleados, clientes, proveedores, socios, accionistas, etc.) en el Gobierno Corporativo de TI de la Organización.

• Informar y guiar a la alta dirección en el gobierno TI en su organización.

• Proveer de bases para la evaluación objetiva del Gobierno Corporativo TI

Beneficios de la implantación del Beneficios de la implantación del estándar ISO/IEC 38500:2008estándar ISO/IEC 38500:2008• Adecuada aplicación y operación de activos de TI.• Asignación de responsabilidades.• Continuidad del negocio• Sostenibilidad.• Alineación de TI con los objetivos del negocio.• Asignación eficiente de recursos.• Innovación en los servicios, los mercados y las empresas.• Mejora de imagen y reputación en el mercado frente a los reguladores, y con los

stakeholders.• Optimización en los costes de una organización• Inversión efectiva en TI.• Cumplimiento legal.

La Norma se basa en que la alta dirección evalúe, dirija y siga el uso que se hace de las TI en sus organizaciones de manera que:

PRINCIPIOS DE LA NORMA PRINCIPIOS DE LA NORMA ISO/IEC 38500:2008ISO/IEC 38500:2008La Norma establece los principios para el buen gobierno corporativo de TIC:

PRINCIPIOS DE LA NORMA PRINCIPIOS DE LA NORMA ISO/IEC 38500:2008ISO/IEC 38500:2008

TAREAS: TAREAS:

Modelo de Gobierno ISO/IEC 38500:2008Modelo de Gobierno ISO/IEC 38500:2008

Orientaciones para el Gobierno Corporativo de TIOrientaciones para el Gobierno Corporativo de TI

Principio 1: Responsabilidad.

Evaluar

Dirigir Monitorear

Asignación con respecto a la organización actual y el futuro uso de TI.Asegurar efectivo, eficiente y aceptable uso y reparto de TI.Competencias de las personas que toman las decisiones respecto a TI.

Planes de acuerdo a las responsabilidades asignadas.Entrega de información a las personas de acuerdo a lo que requiere sus responsabilidades.

Mecanismos de Gobierno de TI sean apropiados.Las responsabilidades asignadas reconocidas y entendidas.El rendimiento de las responsabilidades en el gobierno de TI.


Principio 2: EstrategiaDesarrollos en TI y procesos de negocio.Asegurarse de que los planes y las políticas están alineadas con los objetivos de la empresa.Asegurarse que el uso de las TI están sujetos a riesgos

Evaluar

Dirigir Monitorear

Dirigir la preparación de uso de planes y políticas.Animar a que hagan propuestas de uso de TI que permitan a la organización responder a nuevas oportunidades.

Controlar el nivel de aprobación de las propuestas de TI.Asegurar que los objetivos sean alcanzables con el presupuesto asignado.Controlar el uso de TI para asegurar que sean alcanzados los beneficios propuestos.


Principio 3: AdquisiciónEvaluar opciones para compra de insumos TI.Realizar propuestas de aprobación, equilibrio de riesgos, y valor del dinero para las inversiones propuestas.

Evaluar

Dirigir Monitorear

Los activos de TI, sistemas e infraestructura, sean adquiridos de una manera adecuada.Dirigir que el abastecimiento de preparativos, incluyendo los internos y externos.

Controlar que las inversiones en TI aseguren que cumplan con las capacidades requeridas.Controlar que en la organización los proveedores mantengan una buena relación.


Principio 4: DesempeñoLos medios para que TI soporte los procesos del negocio, los riesgos derivados de la protección de la información y las opciones para asegurar la eficiencia y la toma de decisiones oportunas acerca del uso de TI, como apoyo a los objetivos del negocio.

Evaluar

Dirigir Monitorear

Asegurándose que la asignación de los recursos de TI cumpla con las necesidades de la Organización.La responsabilidad asegurando que TI soporte el negocio, cuando sea requerido.

El grado como TI soporta el negocio.El grado de aplicación y seguimiento de las políticas, tales como: Exactitud de los datos y eficiencia del uso de TI.


Principio 5: CumplimientoEvaluar opciones para compra de insumos TI.Realizar propuestas de aprobación, equilibrio de riesgos, y valor del dinero para las inversiones propuestas.

Evaluar

Dirigir Monitorear

Los activos de TI, sistemas e infraestructura, sean adquiridos de una manera adecuada.Dirigir que el abastecimiento de preparativos, incluyendo los internos y externos.

Controlar que las inversiones en TI aseguren que cumplan con las capacidades requeridas.Controlar que en la organización los proveedores mantengan una buena relación.


Principio 6: Recursos HumanosLas actividades de TI que aseguren que el factor humano fue considerado e identificado apropiadamente.

Evaluar

Dirigir Monitorear

Las actividades de TI que sea consiente con el factor humano .Los riesgos, oportunidades, problemas y preocupaciones para que puedan ser identificados y reportados en cualquier momento.

Las actividades de TI que aseguren que el factor humano identificado sigue siendo pertinente y que se le presta la debida atención.Que las practicas de trabajo son consistentes con el uso apropiado de TI.

Modelo de Madurez ISO/IEC 38500:2008Modelo de Madurez ISO/IEC 38500:2008

El modelo de Madurez (MM) permite establecer la situación relativa del gobierno de las TI, decidir a donde debe ir de manera eficiente y medir su avance en relación con los objetivos de la Empresa.

La evaluación del Gobierno de TI permite obtener lo siguiente:

Modelo de Madurez ISO/IEC 38500:2008Modelo de Madurez ISO/IEC 38500:2008

NIVELES DEL MODELO DE NIVELES DEL MODELO DE MADUREZMADUREZ

La ISO 38500 mira hacia abajo desde la parte superior, al igual que el techo de una casa.

COBIT son las paredes y marcos de procesos ITIL y los Proyectos en ambientes controlados son la

base. Usando la analogía de la casa, si la junta intentó para

poner en práctica el techo, ISO 38500, sin la base o las paredes, se vendría abajo.

Además, sin el techo, las empresas estarían expuestos a los elementos.

ISO 38500 no es igual para todos. No reemplaza COBIT, ITIL, u otras normas o marcos, sino, más bien, que los complementa proporcionando un lado de la demanda-de-TI-uso foco.

Representación de Frameworks:Representación de Frameworks:

Análisis del Modelo de Madurez por Análisis del Modelo de Madurez por cada principio de ISO/IEC cada principio de ISO/IEC

38500:200838500:2008

Análisis del Modelo de Madurez:Análisis del Modelo de Madurez: Principio de Responsabilidad.Principio de Responsabilidad.

Evaluar

Análisis del Modelo de Madurez:Análisis del Modelo de Madurez:Principio de Responsabilidad.Principio de Responsabilidad.

Dirigir

Por ejemplo, las personas que desempeñan funciones en los comités de dirección o en la presentación de propuestas a los directores.

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Responsabilidad.Principio de Responsabilidad.

Monitorizar o Controlar:

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Estrategia.Principio de Estrategia.

Evaluar


Dirigir

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Adquisición.Principio de Adquisición.

Evaluar


Dirigir:



Los directores deben supervisar las inversiones en TI para asegurarse de que proporcionan las capacidades requeridas.

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Desempeño.Principio de Desempeño.

Evaluar:


Dirigir:

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Cumplimiento.Principio de Cumplimiento.

Evaluar:


Dirigir:



Directores deben vigilar el cumplimiento de TI y la conformidad a través de apropiadas prácticas de auditoría y presentación de informes, lo que garantiza que los comentarios sean oportunos, completos y adecuados para la evaluación de la medida de la satisfacción de la empresa. Los directores deben supervisar las actividades de TI, incluida la eliminación de los activos y datos, a garantizar que, la gestión del conocimiento ambiental estratégica, y otras obligaciones pertinentes se cumplan.

Análisis del Modelo de Madurez: Análisis del Modelo de Madurez: Principio de Factor Humano.Principio de Factor Humano.

Evaluar:

Los directores deben evaluar las actividades de TI para asegurar que los comportamientos humanos son identificados y considerados apropiadamente.


Dirigir :

Estos riesgos deben ser manejados en conformidad con las políticas y procedimientos publicados y escalarlos a la quienes toman las decisiones pertinentes.


Monitorizar o Controlar: Los directores deben supervisar las prácticas de trabajo para

asegurarse de que sean compatibles con el uso adecuado de la información.

ISO/IEC 38500:2008 y COBITISO/IEC 38500:2008 y COBIT

ISO/IEC38500:2008 COBIT

No se posiciona como alternativa

Complemento

QUÉ se debe hacer CÓMO

Se c

entr

a en

Se focaliza

Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 4.1con COBIT 4.1

ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: RESPONSABILIDAD

PO4 Definir los procesos de TI, la organización y sus relaciones.

PO6 Comunicar la dirección y objetivos de la gerencia.

PO7 Administrar los recursos humanos de TI.

DS2 Administrar servicios de terceros.

ME1 Monitorear y evaluar el desempeño de TI.

ME4 Proveer Gobierno de TI.


PRINCIPIO DE RESPONSABILIDAD:

ISO/IEC 38500:2008

COBIT 4.1• Proporciona matrices RACI de responsabilidades en los distintos procesos.

• Se requieren estructuras de organización de gobierno apropiadas.• Funciones y responsabilidades correctamente asignadas por la dirección.

PO4: Definir los procesos de TI, la organización y sus relaciones.

Enfocándose en: Establecer estructuras organizacionales de TI

transparentes, flexibles y responsables. Integración de roles y responsabilidades hacia los

procesos de negocio y de decisión.

Se logra con: La definición de un marco de trabajo de procesos de TI. El establecimiento de un cuerpo y una estructura organizacional

apropiada. La definición de roles y responsabilidades.

Se mide con:

El porcentaje de roles con descripciones de puestos y autoridad documentados.

PO6: Comunicar la dirección y objetivos de la gerencia.

Enfocándose en: Proporcionar políticas, procedimientos, directrices y otra

documentación aprobada, de forma precisa, entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados.

Se logra con: La definición de un marco de trabajo de control para TI. La elaboración e implementación de políticas para TI. El refuerzo de políticas de TI.

Se mide con:

Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa. Porcentaje de interesados que no cumple las políticas.

PO7: Administrar los recursos humanos de TI.

Enfocándose en: Asignación de roles que correspondan a las habilidades. La creación de descripción de puestos. Aseguramiento de la conciencia de dependencia sobre los

individuos.

Se logra con: La revisión del desempeño del personal. La contratación y entrenamiento de personal de TI para apoyar los

planes tácticos de TI. La mitigación del riesgo sobre dependencia de recursos clave.

Se mide con:

El porcentaje de roles con descripciones de puestos y autoridad documentados.

DS2: Administrar servicios de terceros.

Enfocándose en: El establecimiento de relaciones y responsabilidades bilaterales con

proveedores calificados de servicios tercerizados y el monitoreo de la prestación de servicios.

Se logra con: La identificación y categorización de los servicios del proveedor. La identificación y mitigación de riesgos del proveedor El monitoreo y medición del desempeño del proveedor.

Se mide con: El número de quejas de usuarios debido a servicios contratados El porcentaje de los principales proveedores que cumplen los

requerimientos definidos y los niveles de servicio.

ME1: Monitorear y evaluar el desempeño de TI.

Enfocándose en: Monitorear y reportar las métricas del proceso e identificar e implementar acciones de

mejoramiento del desempeño.

Se logra con: La Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales. Comparar el desempeño contra las metas acordadas e iniciar las medidas correctivas necesarias.

Se mide con: Satisfacción de la gerencia y de la entidad de gobierno con los reportes

de desempeño. Porcentaje de procesos críticos monitoreados.

ME4: Proveer Gobierno de TI.

Enfocándose en: La elaboración de informes para el consejo directivo sobre la estrategia, el desempeño, los

riesgos de TI y responder los requerimientos de gobierno de acuerdo a las directrices del consejo directivo.

Se logra con:

El establecimiento de un marco de trabajo para el gobierno de TI, integrando al gobierno corporativo.

Se mide con: La frecuencia de informes del consejo directivo sobre Ti a los interesados

(incluyendo el nivel de madurez

Principio: Responsabilidad

PO4

PO7

Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos.

Marco de trabajo para el proceso de TI.

•Organización y relaciones de TI• Roles y

responsabilidades documentados

Marco de procesos, roles documentados y

responsabilidades de TI.

PO7

ME4

Todos

ME1

ME4

Planes de acciones

correctivas

Mejoras al marco de procesos

Reporte sobre el estatus del gobierno de TI

Roles y responsabilidades

PO6

•Marco de control empresarial para TI.• Políticas para TI

DS2


ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: ESTRATEGIA

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO5 Administrar las inversiones en TI.

PO9 Evaluar y administrar riesgos de TI.

AI1 Identificar soluciones de automatización.


PRINCIPIO DE ESTRATEGIA:

ISO/IEC 38500:2008

COBIT 4.1

• Se debe implementar una planificación estratégica de TI efectiva alineada con la estrategia de la organización de forma que aporte valor.

• El dominio Planificar y Organizar PO, se definen los procesos necesarios para una planificación efectiva por parte de la función TI.

Principio: Estrategia

PO5

PO5

PO9

PO2

Reporte de costo/beneficio • Plan de

sistemas de negocio optimizado.•Arquitectura de

informaciónEvaluación de riesgo

PO1

• Plan estratégico y táctico de TI

• Portafolio de proyectos de TI

PO3

PO9• Portafolio de

servicios de TI.

AI1

Plan estratégico de TI

Estudio de factibilidad de los requerimientos

de negocioInformación sobre

desempeño de

capacidad

PO3

Requerimientos de

infraestructura

• Estándares tecnológicos• Actualizaciones rutinarias

del “estado de la tecnología”


ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: ADQUISICIÓN


PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicaciones.

AI3 Adquirir y mantener la infraestructura tecnológica .

AI5 Obtener recursos de TI.

AI7 Instalar y acreditar soluciones y cambios.

DS1 Definir y administrar niveles de servicio.



PRINCIPIO DE ADQUISICIÓN:

ISO/IEC 38500:2008

COBIT 4.1• El dominio Adquirir e Implementar AI proporciona una guía sobre cómo adquirir e implementar soluciones viables incluyendo la especificación de requisitos, implementación, pruebas, formación a usuarios, etc.

• En el dominio PO se contemplan procesos de planificación de inversiones así como planificación de programas y proyectos.

• Las inversiones deben realizarse después de un análisis adecuado.

Principio: Adquisición

PO10

PO5

PO7

Portafolio de proyectos de TI

actualizado

Revisión post implementación

AI7

• Directrices de administración del proyecto,• Planes detallados

del proyecto,

AI7

AI1

AI2

AI3

AI5

AI1

• Información sobre el desempeño y la capacidad.• Estudio de factibilidad de los

requerimientos del negocio.Estudio de factibilidad de los requerimientos del negocio.

DS1 * SLAs planeados inicialmente

* OLAs planeadas inicialmente

Sistema configurado para realizar prueba/ instalación

Decisiones de

adquisiciónAI5 AI2

Reporte de costo/beneficio

DS2

Catálogo de proveedores

Reporte de revisión de contrato

AI5

Adquisición de productos

• Requerimientos de administración en relación con terceros.

Portafolio actualizado de

servicios de TI

* SLAs: Acuerdos de nivel de servicios; OLAs: Acuerdos de nivel operacional


ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: DESEMPEÑO

PO2 Definir la arquitectura de información.


PO6 Comunicar la inversión.

PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI.

AI6 Administrar cambios


ISO/IEC 38500:2008 COBIT 4.1



DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.

DS8 Administrar servicios de apoyo e incidentes.


DS9 Administrar la configuración.

DS10 Administrar problemas.

DS11 Administrar datos.

DS12 Administrar el ambiente físico.

DS13 Administrar operaciones.

ME4 Proveer Gobierno de TI


COBIT 4.1ISO/IEC 38500:2008


PRINCIPIO DE DESEMPEÑO:

ISO/IEC 38500:2008

COBIT 4.1

• La TI está dimensionada para dar soporte a la organización, proporciona los servicios de calidad adecuada para cumplir con las necesidades actuales y futuras.

• Los procesos PO1 (Definir un plan estratégico de TI y DS1 (Definir y gestionar los acuerdos de servicio) ofrecen orientaciones específicas para establecer metas concretas de desempeño.• El proceso COBIT ME1 (Monitorizar y evaluar el desempeño de TI) se focaliza en las responsabilidades de la dirección ejecutiva para esta actividad.• El proceso ME4 (Supervisar y evaluar el gobierno de TI) se orienta en la propia medición del desempeño del gobierno TI.

Principio: desempeño

PO2

DS3

Información de desempeño y

capacidad PO5

Plan de desempeño y capacidad

DS6

ME4

Resultados esperados de

las inversiones

Finanzas de TI DS4

DS5

DS12

DS11

Clasificación de datos

asignados

Diccionario de Datos

Arquitectura de

información

DS9

Criticidad de puntos de

contingencia de TI

PO9

DS8

DS11 DS13

Valoración del riesgo

Umbrales de incidente/ desastre

Plan de almacenamiento y respaldos de protección

Reporte de coste beneficio

DS2 DS4

Todas

PO6 DS5

Directrices de administración de

riesgos relativos a TIRiesgos de

proveedores

Resultado de prueba

de contingencia

Amenaza y vulnerabilidades de seguridad

• Evaluación de riesgos• Reporte de riesgos

• Marco de control empresarial para TI• Políticas de TI

AI6

Planes de acciones correctivas para riesgos

relacionados con TI

DS10

DS8Autorización de cambio

DS13

Instrucciones del operador para administración

de datos

PO9

DS12

Evaluación del riesgo

Principio: desempeño

DS8Solicitud de servicio/

de cambio

AI6

Cambios requeridosDS3

DS5

Cambios de seguridad requeridos

DS9

• Solicitudes de cambio• Registro de problemas

DS10

* RFC (dónde y cómo aplicar)

PO8Medidas para mejorar la

calidad

Métricas de calidad

Todas

Estándares de adquisición DS2

DS4Requerimiento de

servicio contra desastres

Definición de incidentes de

seguridad

DS9

Detalles de configuración /Activos de TI

DS13

Tiquetes de incidente

DS10

Problemas y errores conocidos y soluciones

alternas

Bitácora de errores

Reporte de incidentes

Principio: Cumplimiento

Planes de acciones

correctivas

PO4

ME1

Reporte de efectividad de los

controles de TI

ME2

ME3

Catálogo de requerimientos legales y regulatorios relacionados con los

servicios de TI.


responsabilidad de TI Todos

Reporte de desempeño de

procesoReporte sobre el cumplimiento de las actividades de TI, respecto a requerimientos legales y regulatorios externos.

Principio: Factor Humano

PO4

PO7

Políticas y procedimientos de TI y RH, matriz de habilidades de TI, descripciones de puestos.


responsabilidad de TI Todos

•Organización y relaciones de TI•Roles y responsabilidades

documentados

Todos Roles y

responsabilidades

DS7

•Aptitudes y habilidades de los usuarios , incluyendo el entrenamiento individual.•Requerimientos específicos de

entrenamiento.

•Requerimientos de transferencia de conocimiento para implementación.•Materiales de entrenamiento.

Actualización de documentos requeridos

AI4DS1


ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: CUMPLIMIENTO


ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.


PRINCIPIO DE CUMPLIMIENTO:

ISO/IEC 38500:2008

COBIT 4.1

• Deben tener definidas sus propias políticas y procedimientos internos y apoyar su implantación y cumplimiento.

• El proceso ME2 (Monitorizar y evaluar controles TI) se encarga de monitorizar y evaluar la consecución de los controles internos establecidos.• En el proceso ME3 (Asegurar el cumplimiento de requisitos externos), se sientan las bases para el análisis y la supervisión de los requerimientos externos, incluyendo las normativas.


ISO/IEC 38500:2008 COBIT 4.1

PRINCIPIO: FACTOR HUMANO


PO7 Administrar los recursos humanos de TI.

AI4 Permitir la operación y uso.

DS1 Definir y administrar niveles de servicio.

DS7 Educar y capacitar usuarios.


PRINCIPIO DE FACTOR HUMANO:

ISO/IEC 38500:2008

COBIT 4.1

• Indica que la alta dirección debe preocuparse del comportamiento de las personas que de una manera u otra se relacionan con las actividades TI. Esto debe ocurrir en dos sentidos: -Las personas deben comportarse de manera que afecten positivamente el desempeño de TI y - Debe garantizarse que las actividades de TI no afecten negativamente a las personas.

• El proceso PO4 (Definir la organización y relaciones TI) explica como la organización y sus procesos relacionados pueden satisfacer las necesidades del personal a todos los niveles. Así mismo, de manera explícita define el comportamiento esperado del personal en el desempeño de su trabajo.


PRINCIPIO DE FACTOR HUMANO:

COBIT 4.1• Por medio del proceso PO6 (Comunicar la dirección objetivos de la gerencia) se asegura que los objetivos de la organización son comunicados claramente y que la cultura laboral favorece una actitud correcta del trabajador hacia el control de riesgo.

• PO7 (Gestión de los recursos humanos de TI) es el proceso específico de COBIT para alinear el comportamiento de las personas con las metas corporativas, la definición de responsabilidades y el mantenimiento del conocimiento.

• El foco del proceso DS7 (Educar y entrenar a los usuarios) es el de asegurar que los usuarios conocen lo necesario para garantizar un uso eficaz de los sistemas TI.


EVALUAR:

Los siguientes recursos de COBIT apoyan en la consecución de la tarea Evaluar de ISO/IEC 38500:2008:

• Todo el modelo de COBIT se basa en el ciclo de Deming que incluye como acciones básicas la planificación inicial así como la comprobación posterior de que las acciones se han desarrollado de acuerdo a lo previsto.


DIRIGIR:

No hay una correspondencia directa entre una parte concreta del modelo de COBIT y esta tarea definida en la norma ISO/IEC 38500. Sin embargo, todo el modelo de COBIT proporciona una base para evaluar la idoneidad de las prácticas de gestión y los controles de TI, permitiendo a la dirección la evaluación y comunicación de la capacidad de los procesos de TI.


MONITORIZAR:

Todo el dominio ME cubre la medición del desempeño, la efectividad del control interno, conformidad con requisitos y la consecución de un eficaz gobierno corporaivo.

Relación de ISO/IEC 38500:2008 Relación de ISO/IEC 38500:2008 con COBIT 5con COBIT 5

Lo que sigue a continuación resume cómo COBIT 5 soporta la adopción de los principios y la aproximación a la implementación del estándar ISO/IEC 38500:2008


PRINCIPIO 1—RESPONSABILIDADEl negocio (el cliente) y las TI (proveedor) deberían colaborar en un modelo cooperativo utilizando

canales eficaces de comunicación basados en relaciones positivas y de confianza y demostrando claridad con respecto a la responsabilidad de llevar a cabo las tareas y la verificación de las mismas.


PRINCIPIO 2—ESTRATEGIALa planificación estratégica de la TI es una tarea compleja y crítica que requiere una estrecha

coordinación entre la unidad de negocio de la empresa y los planes estratégicos de las TI.


PRINCIPIO 3 —ADQUISICIÓN:una elección inadecuada de la arquitectura tecnológica, fallos a la hora de mantener una

infraestructura técnica actual y apropiada o una ausencia de recursos humanos cualificados pueden dar como resultado un proyecto fracasado, una incapacidad para soportar las operaciones del negocio o una reducción en el valor del negocio.

• El dominio EDM de COBIT 5 nos proporciona orientaciones sobre cómo gobernar y gestionar las inversiones en negocio posibilitadas por las TI a través de su ciclo completo de vida (adquisición, implementación, operación y desmantelamiento). El proceso APO05 Gestión del portafolio contempla cómo aplicar de manera eficaz la gestión del programa y la cartera de tales inversiones para asegurarse de que se logran los beneficios y de que se optimizan los costes.

• El dominio APO de COBIT 5 provee orientaciones para la planificación de la adquisición, incluyendo planes de inversión, gestión del riesgo, planificación de programas y proyectos y planificación de la calidad.

• El dominio BAI de COBIT 5 nos da orientaciones sobre los procesos necesarios para adquirir e implementar soluciones TI, cubriendo la definición de requerimientos, identificando soluciones viables, preparando documentación y formando y habilitando a los usuarios y las operaciones para hacer funcionar los nuevos sistemas.


PRINCIPIO 4 —RENDIMIENTO:La medición eficaz del desempeño depende de que se tengan en cuenta dos aspectos clave:

una definición clara de las metas de rendimiento y el establecimiento de métricas eficaces para supervisar el logro de las metas.

• COBIT 5 proporciona orientación a la Dirección en la tarea de establecer metas TI alineadas con las metas de negocio y describe cómo supervisar el desempeño de estos objetivos a través de metas y métricas. La capacidad de un proceso puede ser evaluada usando un modelo de evaluación de capacidades conforme a la ISO/IEC 15504.

• Dos procesos clave de COBIT 5 nos dan orientación específica:- APO02 Gestionar la estrategia se centra en el establecimiento de metas.- APO09 Gestionar los acuerdos de servicio se centra en la definición de servicios y de

metas de servicio apropiadas y las documenta en acuerdos de nivel de servicio (SLA).

• En el proceso MEA01 Supervisa, evaluar y valorar rendimiento y conformidad, COBIT 5 proporciona orientación acerca de las responsabilidades de la gestión ejecutiva para esta actividad.


PRINCIPIO 5 —CONFORMIDAD:En el mercado global de hoy en día, apoyado por Internet y las tecnologías avanzadas, las

empresas necesitan cumplir con un número cada vez más grande de requisitos legales y regulatorios.

• El proceso APO02 Gestionar la estrategia de COBIT 5 se asegura de que hay un alineamiento entre los planes TI y los objetivos globales de negocio, incluyendo los requisitos de gobierno.

• El proceso MEA02 Supervisar, evaluar y valorar el sistema de control interno de COBIT 5 facilita a los directivos cómo valorar si los controles son adecuados para satisfacer los requisitos de conformidad.

• El proceso MEA03 Supervisar, evaluar y valorar la conformidad con los Requerimientos externos de COBIT 5 garantiza que se identifican los requisitos de conformidad externos, que los directivos marcan la dirección para la conformidad, y que se supervisa, evalúa y se hacen informes de la conformidad TI en sí misma como una parte de la conformidad global con los requisitos de la empresa.


PRINCIPIO 6 — FACTOR HUMANO La implementación de cualquier cambio facilitado por las TI, incluyendo el gobierno de las TI en sí

mismo, normalmente requiere cambios significativos culturales y de comportamiento tanto dentro de las empresas como con los clientes y con los socios del negocio.

Implantación y Certificación Implantación y Certificación ISO/IEC 38500:2008ISO/IEC 38500:2008

DOCUMENTOS ASOCIADOSEn el precio total del coste del proyecto deben estar incluidos los gastos de

desplazamiento, alojamiento y manutención.

CASOS DE ÉXITOCASOS DE ÉXITO

Caso de Éxito Nº 01Caso de Éxito Nº 01

AUREN - Primera empresa a nivel mundial en obtener la Certificación de Buen Gobierno de TI (ISO 38500).

La ISO38500 es un marco de gestión y gobierno que hace de nexo entre el negocio y las TIC, y que tiene gran cantidad de normativa ISO asociada: Responsabilidad Social Corporativa (ISO26001), Sistema de Gestión de Seguridad de la Información (ISO27001), Ciclo de Vida de Desarrollo (ISO15504), Sistema de Gestión de la Calidad (ISO9001), etc.

La certificación acredita que la empresa AUREN cumple:• Personas.• Estrategias.• Responsabilidad.• Adquisición. • Rendimiento.• Cumplimiento Legal y normativo.Desde mayo del 2009 ha sido la primera empresa piloto en alinearse con la norma ISO 38500.

Caso de Éxito Nº 02Caso de Éxito Nº 02

Abast Systems S.A. ha llevado a cabo un seguimiento en el desarrollo de la norma desde los orígenes de la norma AS8015:2005 hasta la actual ISO/IEC 38500:2008. Disponemos de un equipo de consultores expertos en la norma y en la guía de implantación del marco de Gobierno, basado en COBIT 4.1, VAL IT 2.0 y RISK IT. Nuestra amplia experiencia en la implantación de estándares ISO asociados a los sistemas de información hace que Abast Systems S.A. esté posicionada como empresa de referencia en el sector.

La norma ISO/IEC 38500 se aplica al gobierno de los procesos de gestión de TI en todo tipo de organizaciones que utilicen las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TI. Además del cumplimiento con la legislación vigente, el gobierno de las TI permite:

Una apropiada implementación y operación de los recursos de TI.La clarificación de las responsabilidades y medición del logro de los objetivos de la organización.La continuidad y sostenibilidad del negocio.El alineamiento de las TI con las necesidades del negocio.La asignación eficiente de los recursos de TI.La innovación en servicios, mercados y negocios.Mejorar la relación con los stakeholders.Reducción de costes de TI.La materialización efectiva de los beneficios esperados de cada inversión en TI.

Abast Systems S.A. implemento la norma ISO/IEC 38500 para diversas instituciones como lo son:

CONCLUSIONESCONCLUSIONES

ISO 38500 es aplicable a entidades de todos los tamaños, incluidas las empresas públicas y privadas, organizaciones gubernamentales con o sin ánimo de lucro.

ISO 38500 no ha llegado para sustituir a otras normas y estándares basados en la buena gestión de los activos que soportan la información ya presentes en muchas empresas (ISO27001, COBIT , ITIL) puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la dirección está debidamente implicada en la gestión eficaz de las TI en cualquier ámbito y alcance.

La norma se aplica al gobierno de los procesos de gestión de las TI, en cualquier tipo de organizaciones que utilicen todas las tecnologías de la información, facilitando unas bases para la evaluación objetiva del gobierno de TI.

La importancia de un Sistema de Gobierno de ISO 38500 viene dado por las características propias del mundo actual, el gobierno de las TIC constituyen el componente esencial para el logro de la excelencia y competitividad requerida por la empresa moderna y esto es posible sólo mediante la profesionalidad de sus gobernantes, gestores y resto del personal.

Norma ISO 38500

Technology

Transcript of Norma ISO 38500