Professional Documents
Culture Documents
Banda Gamboa
Departamento de Informtica y Ciencias de Computacin
Introduccin
La gobernanza de TI constituye actualmente uno de los procesos clave en la gestin
organizacional con el apoyo de las TI. La gerencia de cualquier organizacin, sea o no con fines de lucro, est obligada a incorporar en su prctica de gestin el liderazgo, las estructuras organizacionales y los procesos que aseguren que las TI sustenten y extiendan las estrategias y objetivos organizacionales.
Dr. Hugo A. Banda Gamboa - 2010 2
Objetivos
Los objetivos de la presente unidad, son:
Explicar los conceptos y principios de la
gobernanza de TI en organizaciones del sector pblico y privado. Aplicar los fundamentos de la gobernanza de TI a los procesos de gestin organizacional. Analizar las principales ventajas asociadas con la correcta aplicacin de la gobernanza de TI en las organizaciones actuales.
Dr. Hugo A. Banda Gamboa - 2010 3
Contenido
Gobernanza Corporativa Gobernanza de las TI Polticas y Procedimientos Planeacin Estrategia de las TI Gobernanza de la Seguridad de las TI Gestin del Riesgo Prcticas para Gestin de las TI Implementacin de la Gobernanza de las TI 9. Conclusin
1. 2. 3. 4. 5. 6. 7. 8.
Dr. Hugo A. Banda Gamboa 2010 4
GOBERNANZA CORPORATIVA
Gobernanza Corporativa
Es un conjunto de polticas, estrategias,
procesos, regulaciones, responsabilidades y prcticas que afectan la forma en que una organizacin es dirigida, administrada y controlada. Son ejecutadas por la Junta Directiva y la Alta Gerencia, con el objetivo de:
Proveer direccin estratgica Asegurar el logro de los objetivos Asegurar que los riesgos se administran
corporativas sean especificados, logrados y monitoreados. Establece las reglas y procedimientos para la toma de decisiones en asuntos organizacionales. Se utiliza como medio para evaluar los resultados obtenidos, impulsar procesos de mejoramiento continuo y de motivacin organizacional. Define reglas para la gestin y el reporte de riesgos. Requiere que la organizacin tenga un sistema de control interno para monitorear el riesgo cuando se exploren nuevas formas innovadoras de mejorar las operaciones. La gobernanza corporativa incluye a los todos involucrados: inversionistas, directivos, gerentes, empleados, proveedores, clientes, entes reguladores y otros miembros de su entorno.
Dr. Hugo A. Banda Gamboa - 2010 7
estar alineadas con estrategia corporativa . Las decisiones estratgicas relacionadas con las TI deben corresponder a la alta direccin en su conjunto y no recaer slo sobre los Gerentes de Informtica. Los proyectos de TI pueden salirse de control y afectar profundamente el desempeo organizacional.
la aplicacin de las TI en una organizacin. La gestin, desarrollo y evaluacin de planes para el buen uso de las TI en apoyo de los procesos organizacionales; y, El monitoreo continuo de los logros obtenidos.
Dr. Hugo A. Banda Gamboa - 2010 10
estrategias y objetivos organizacionales. Den soporte, agreguen valor a los procesos, balanceen el riesgo y logren retorno de las inversin realizadas.
dos aspectos:
La entrega valor por parte de TI a la organizacin; y,
La mitigacin de los riesgos asociados a las TI.
Dr. Hugo A. Banda Gamboa 2010 11
Procesos de la Gobernanza de TI
El Directorio y de la Alta Gerencia son responsables de la gobernanza de TI, lo cual involucra estructuras y procesos que dirigen la organizacin hacia el logro de sus objetivos.
1. Direccin y Control
1. Direccin y Control
La alta gerencia provee direccin para implementar un cambio. Para establecer una direccin efectiva, la alta gerencia necesita entender el cambio proyectado. Adems, la alta gerencia instruye a los niveles inferiores para que ejecuten el cambio. El control asegura que el objetivo se alcanza y que no ocurren incidentes no deseados. A travs de un proceso de monitoreo se van midiendo el cumplimiento de objetivos, disposiciones y actividades. Esto genera informacin y elementos de comparacin para evaluar la efectividad y la eficiencia de la direccin.
Dr. Hugo A. Banda Gamboa 2010 13
2. Asignacin de Responsabilidades
A los directivos organizacionales les corresponde:
Establecer polticas, normas y procedimientos de
control interno. Asignar las responsabilidades especficas para el personal que se desempea en cada unidad funcional.
responsabilidad de cada uno dentro de una organizacin y debe ser parte explcita de la descripcin y asignacin de sus funciones. Por principio, el Gerente General (CEO) es el responsable final de todo el control interno.
Dr. Hugo A. Banda Gamboa 2010 14
3. Rendicin de Cuentas
La rendicin de cuentas est relacionada con la responsabilidad asignada. Se enfoca especficamente en alcanzar metas planificadas, contando con los recursos para hacerlo, ejerciendo autoridad para aprobar y tomar decisiones.
Es el resultado final de un conjunto de actividades, la responsabilidad no se puede delegar a nadie.
Varias personas pueden tener responsabilidad para la ejecucin de ciertas tareas y actividades, pero la autoridad que decide sobre los asuntos clave y aprueba la versin final es el responsable de que se materialice la rendicin de cuentas.
Dr. Hugo A. Banda Gamboa 2010 15
4. Actividades de TI Efectivas
No se trata simplemente de excelencia de TI, sino
de cumplir con los requerimientos de servicio y contribuir al logro de los objetivos estratgicos de la organizacin. Los procesos de TI se deben alinear con los objetivos y necesidades de la organizacin. El grado de alineamiento es un indicador de desempeo mucho ms efectivo que cualquier parmetro tcnico. Las actividades de TI son efectivas cuando existe una buena prctica de gobernanza de TI.
Dr. Hugo A. Banda Gamboa 2010 16
Auditora de la Gobernanza de TI
La auditora de la gobernanza de TI empieza al nivel ms alto de la organizacin, cruzando fronteras de divisiones, funciones o departamentos. El auditor debe confirmar que los trminos de referencia establecen: El alcance del trabajo, incluyendo una clara definicin de las reas funcionales y aspectos que sern cubiertos. La estructura del reporte, en el que los aspectos de la gobernanza de TI se identifican al nivel ms alto de la organizacin. Los derechos que tiene el auditor para acceder a la informacin.
Dr. Hugo A. Banda Gamboa - 2010 17
Concepto de Auditora
Evaluacin sistemtica realizada a un objeto,
por parte de un sujeto competente e independiente, a fin de formarse una opinin e informar acerca del grado de concordancia que tiene el objeto con ciertos criterios preestablecidos. El objeto puede ser: procesos, productos, inventarios, sistemas, etc. Los criterios preestablecidos, pueden ser: existencia, idoneidad, cumplimiento, nivel de riesgo, etc.
Dr. Hugo A. Banda Gamboa 2010 19
informacin, con la misin, visin, valores, objetivos y estrategias organizacionales. Verificar que la funcin de los sistemas de informacin tiene una declaracin clara acerca del desempeo esperado de las funciones organizacionales (efectividad y eficiencia) y evaluar su cumplimiento. Revisar y evaluar la efectividad de los recursos de sistemas de informacin y de los procesos de gestin del desempeo. Revisar y evaluar el cumplimiento de requisitos legales, ambientales, as como de los requerimientos de calidad, seguridad y fiabilidad de la informacin. Utilizar una metodologa basada en riesgos para evaluar la funcin de los sistemas de informacin. Revisar y evaluar el entorno de control de la organizacin. Revisar y evaluar los riesgos que podran afectar adversamente al entorno de los sistemas de informacin.
Dr. Hugo A. Banda Gamboa 2010 20
21
Polticas
Son documentos alto nivel que representan la filosofa corporativa de una organizacin y el
pensamiento estratgico de la alta gerencia y de los responsables de los procesos organizacionales. La gerencia debe crear un entorno positivo de control, asegurando la responsabilidad para formular, desarrollar, documentar, promulgar y controlar las polticas, cubriendo directivas y metas generales. La gerencia debera asegurarse que el personal afectado por polticas especficas reciba una explicacin completa para que comprenda su intencionalidad.
Dr. Hugo A. Banda Gamboa - 2010 22
Procedimientos
Son documentos detallados que se derivan de las polticas para implementar el espritu o intensin de la poltica formulada.
Los procedimientos documentan procesos administrativos y operativos de la organizacin, as como los controles incorporados en los mismos.
Los procedimientos son formulados por la gerencia media como una traduccin efectiva de las polticas. Los procedimientos son ms dinmicos que sus respectivas polticas.
Dr. Hugo A. Banda Gamboa - 2010 23
Control Interno
En Febrero de 2009, el Committee of Sponsoring
Organizations of the Treadway Commission (COSO), entreg la nueva Gua para el Monitoreo de Sistemas de Control Interno, que actualiza, ampla y clarifica los componentes de monitoreo publicados por ellos en 1992 en el Marco Integrado de Control Interno. La gua pretende asistir a las organizaciones para:
Identificar la existencia de monitoreo efectivo y utilizarlo para obtener el mximo beneficio. 2. Identificar y aplicar mejoras a monitoreo menos eficiente o inefectivo.
1.
Dr. Hugo A. Banda Gamboa 2010 24
Monitoreo y Gobernanza
COSO considera que si el monitoreo es apropiadamente diseado y aplicado, las organizaciones se benefician porque mejoran su capacidad de: 1. Identificar y corregir oportunamente problemas de control interno. 2. Producir informacin ms precisa y confiable para la toma de decisiones. 3. Preparar a tiempo reportes financieros confiables. 4. Estar en posicin de proveer certificaciones peridicas o evaluaciones precisas acerca de la efectividad del control interno.
Dr. Hugo A. Banda Gamboa - 2010 25
la eficiencia, minimizan el riesgo, aseguran la confiabilidad de los estados financieros y cumple con leyes y regulaciones.
26
27
28
29
Planeacin Estratgica
Desde el punto de vista de las TI, la planeacin estratgica se relaciona con el direccionamiento de largo plazo (3 a 5 aos) que una organizacin desea tomar para utilizar la TI en el mejoramiento de sus procesos. Factores a considerar incluyen: Identificacin de soluciones de TI efectivas en costo para resolver problemas y aprovechar oportunidades. Desarrollo de planes de accin para identificar y adquirir los recursos necesarios. Alineamiento y consistencia con los objetivos y metas organizacionales.
30
El Plan Estratgico de TI
La planeacin estratgica de TI es necesaria para
gestionar y dirigir todos los recursos de TI alineados con las prioridades y estrategias de la organizacin. El rea de TI y los involucrados de la organizacin son los responsables de asegurar que se obtenga el valor ptimo de los portafolios de proyectos y servicios. El plan estratgico mejora la comprensin de los involucrados clave de las oportunidades y limitaciones de las TI, evala el desempeo actual, identifica la capacidad y requerimientos de talento humano; y, clarifica el nivel de inversiones requeridas. Las estrategias y prioridades de la organizacin se reflejan en los portafolios y se ejecutan a travs de planes tcticos de TI, que son comprendidos y aceptados por la direccin organizacional y por el rea de TI.
Dr. Hugo A. Banda Gamboa 2010 31
Requisitos de Gobernanza
32
33
Planificacin de TI
Reportes del Estado Actual de Gobernanza de TI / Direccionamiento Estratgico Organizacional para las TI
38
39
40
Requirements ISO/IEC 27002 - Code of practice for information security management ISO/IEC 27003 - Information security management system implementation guidance ISO/IEC 27004 - Information security management Measurement ISO/IEC 27005 - Information security risk management ISO/IEC 27006- Requirements for bodies providing audit and certification of information security management systems
Dr. Hugo A. Banda Gamboa 2010 44
45
amenazas a los recursos de informacin que usa una organizacin para lograr sus objetivos y permite decidir qu medidas se va a tomar para reducir el riesgo a un nivel aceptable, basado en el valor que el recurso de informacin tiene para la organizacin. Dependiendo del tipo de riesgo y su significado, una organizacin puede escoger:
Evitar
Eliminar Mitigar
Transferir
Aceptar
Dr. Hugo A. Banda Gamboa - 2010 46
objetivos:
Concienciar a los responsables de los sistemas de informacin de
la existencia de riesgos y de la necesidad de enfrentarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso.
Dr. Hugo A. Banda Gamboa - 2010 49
Principios de Risk IT
La Gobernanza empresarial efectiva de los riesgos de TI: Siempre est conectada con los objetivos organizacionales Alinea la gestin de los riesgos relacionados con las TI con la gestin total de los riesgos organizacionales La gestin efectiva de los riesgos de TI: Promueve la comunicacin clara y abierta acerca de los riesgos de TI Establece la estrategia apropiada desde la alta gerencia, a la vez que define y refuerza la responsabilidad para operar dentro de niveles de tolerancia bien definidos y aceptables Es un proceso continuo y forma parte de las actividades cotidianas
52
53
ISO/IEC 20000
ISO/IEC 20000 fue publicada en Diciembre 15 de 2005,
en dos partes:
ISO/IEC 20000-1 ITSM Especificacin para Gestin del
Servicio.- Proporciona los requerimientos para la gestin del servicio de TI y es relevante para los responsables de iniciar, implementar o mantener la gestin del servicio de TI en la organizacin. Esta es la parte que corresponde a la certificacin. ISO/IEC 20000-2 ITSM Cdigo de Prctica para Gestin del Servicio.- Provee una gua para los auditores internos y asistencia a los proveedores de servicio para planificacin, mejora o preparacin para las auditorias establecidas en la ISO/IEC 20000-1.
ITIL versin 3
ITIL v3 fue publicada en Mayo 2007 y
comprende 5 volmenes clave: 1. Estrategia del Servicio 2. Diseo del Servicio 3. Transicin del Servicio 4. Operacin del Servicio 5. Mejoramiento Continuo del Servicio
crticos de todas las funciones organizacionales. En un mundo altamente computarizado, es imperativo que se pongan a operar slidas prcticas de gestin financiera. La gestin de los SI al igual que otros departamentos, tiene que desarrollar un presupuesto para estimar, monitorear y analizar la informacin financiera. Permite la asignacin apropiada de fondos, especialmente en un entorno de SI caracterizado por ser intenso en costo. El presupuesto de TI debe estar asociado a planes de TI de largo y corto plazo.
Dr. Hugo A. Banda Gamboa - 2010 59
60
Principios de Val IT
Las inversiones en TI, debern: Ser gestionadas como un portafolio de inversiones Incluir todas las actividades requeridas para lograr la generacin de valor para la organizacin Ser gestionadas a lo largo de todo el ciclo de vida econmico Las prcticas de generacin de valor, debern: Reconocer que existen diferentes tipos de inversiones que sern evaluadas y gestionadas de manera diferente Definir y monitorear mtricas clave y responder rpidamente a cualquier cambio o desviacin Incluir a todos los involucrados y asignar responsabilidades para la entrega de capacidades y la obtencin de beneficios Ser continuamente monitoreadas, evaluadas y mejoradas
61
Gestin de Portafolio
La gestin del portafolio de aplicaciones potenciales para una organizacin permite: Clasificar, Priorizar, y; Decidir sobre su ejecucin. No existe un perfil ideal para todas las organizaciones. Pero, en general, se debe ejecutar proyectos que impliquen altos beneficios y bajos riesgos.
Dr. Hugo A. Banda Gamboa 2010 62
ALTOS
Proceder
BAJOS
Evitar
ALTOS
Riesgos Totales
Dr. Hugo A. Banda Gamboa 2010 63
Valoracin Financiera
La presupuestacin de capital es un proceso de
anlisis y seleccin de diversas propuestas para gastos de capital. Todos los mtodos de presupuestacin de capital utilizan los flujos de efectivo desde y hacia la empresa. Los sistemas de informacin tienen una elevada tasas de obsolescencia tecnolgica lo que implica que el perodo de pago tiene que ser ms corto (3 aos) y las tasas de recuperacin ms altas que en los casos tpicos de proyectos de capital de vida til ms larga.
Dr. Hugo A. Banda Gamboa 2010 64
inversin Relacin beneficio / costos El valor presente neto El ndice de rentabilidad La Tasa Interna de Retorno (TIR)
Dr. Hugo A. Banda Gamboa 2010 65
Costos y Beneficios
Los costos y beneficios no ocurren dentro del
mismo marco de tiempo. Los costos tienden a ser en efectivo y tangibles, mientras que algunos beneficios pueden ser a posteriori e intangibles. Los beneficios tangibles se los puede cuantificar y asignar un valor monetario. Los beneficios intangibles, no se pueden cuantificar de inmediato, pero a la larga pueden llevar a ganancias cuantificables.
Dr. Hugo A. Banda Gamboa 2010 66
Es una visin sistmica de los costos de adquisicin y administracin de los sistemas de informacin y comunicaciones de una empresa. En un estudio realizado por el Grupo Gartner (USA, 1996), se encontr que apenas el 20% del TCO, corresponde a los costos de iniciales de adquisicin, el resto est distribuido en los costos de administracin.
Dr. Hugo A. Banda Gamboa 2010 67
Costos de Administracin
Control Operaciones
Soporte y mantenimiento Evaluacin Instalacin / Mejoras Reclutamiento / Entrenamiento Servicios de comunicacin Auditoria Consumo de energa Tiempo fuera de servicio Virus y Spyware Uso no autorizado
Hardware Implementacin y mantenimiento de Software la centralizacin Almacenamiento y Bases de Datos Implementacin y mantenimiento de Redes de la estandarizacin Comunicacin Recursos Humanos
Nivel de Servicio
TCO
69
Seleccionar tecnologas y mejorar prcticas Establecer modelos de valoracin y de ROI Seleccionar la mejor alternativa
Dr. Hugo A. Banda Gamboa 2010 70
Gestin de la Calidad
Se refiere a los medios utilizados por el departamento
de TI para controlar, medir y mejorar procesos. En este contexto se entiende por proceso al conjunto de tareas que, cuando son apropiadamente ejecutadas, producen los resultados esperados. reas de control de calidad pueden incluir:
Desarrollo de SW, mantenimiento e implementacin Adquisicin de HW y SW Operaciones diarias Gestin del servicio
Seguridad
Gestin del capital humano
Administracin general
71
ISO 9001-2008
Tiene un impacto directo en los procesos de auditora: Manual de calidad.- Es estndar requiere un manual de calidad que contenga procedimientos documentados a los que se haga referencia en el sistema de gestin de la calidad y el los procesos involucrados Recurso humano.- Requiere que el personal que trabaja en procesos que pueden afectar la calidad, tengan competencias basadas en entrenamiento apropiado, educacin, habilidades y experiencia. Adquisiciones.- Impone un fuerte control en las adquisiciones, incluyendo evaluacin de proveedores y el uso de procesos definidos y debidamente documentados.
Dr. Hugo A. Banda Gamboa - 2010 72
Funciones y Responsabilidades en TI
Los departamentos de TI pueden ser organizados de diferentes maneras, sin embargo se debe asegurar que est dependiente de la mxima autoridad administrativa de la organizacin ya que as se garantiza su proyeccin prospectiva y de continuo desarrollo apoyando las estrategias y polticas organizacionales. En pequeas organizaciones estn dirigidos por un director o gerente de TI y en organizaciones ms grandes por un Gerente de Informtica (CIO) o un Gerente de Recursos de Informacin (IRM).
73
Segregacin de Responsabilidades en TI
La segregacin de funciones evita que haya la posibilidad que una sola persona sea responsable de una diversidad de funciones crticas.
En este caso cualquier error que ocurriera podra pasar inadvertido o no detectado oportunamente.
La segregacin de tareas y funciones es un medio importante para evitar la comisin de actos dolosos o maliciosos: Custodia de valores Autorizaciones Registro de transacciones
Dr. Hugo A. Banda Gamboa - 2010 74
COBIT provee gua para estos procesos : Medicin del desempeo Perfilamiento del control de TI Concienciacin Benchmarking
Dr. Hugo A. Banda Gamboa - 2010 75
77
Procesos COSO Gua diseada para ayudar a las organizaciones a monitorear la calidad de sus sistemas de control interno. COBIT - Control Objectives for Information and related Technology Auditora y Gestin de Recursos de Informacin ISO/IEC 38500:2008 Gobernanza Corporativa de TI ISO 20000 (ITIL - Information Technology Infrastructure Library) Gestin de Servicios utilizando TI ISO/IEC 27001/27002/ Sistema de Gestin de Seguridad de la Informacin People-CMM The People Capability Maturity Model Mejoramiento continuo del capital humano.
Dr. Hugo A. Banda Gamboa 2010 79
ISO 27000
ISO 9000
Qu
ITIL (ISO 20000)
Cmo
80
COBIT: Gobernanza de TI
COBIT se enfoca en la entrega de valor y la mitigacin del riesgo, definiendo:
1. Qu decisiones clave deben tomarse
2. Quin es el responsable de tomarlas 3. Cmo deben tomarse 4. Cundo se esperan y cmo se medirn
los resultados
81
GOBERNANZA DE TI
4. Gestin de Recursos
Fuente: COBIT 4.1
82
1. Alineamiento Estratgico
Asegura el alineamiento entre estrategia del negocio y la estrategia de TI.
Define, mantiene y valida la proposicin de valor de las TI.
83
84
3. Gestin de Riesgos
Requiere: Conciencia de riesgo por parte de la alta gerencia Claro entendimiento de la actitud organizacional hacia el riesgo Entendimiento de los requerimientos de cumplimiento Transparencia sobre los riesgos significativos de la organizacin Incremento de las responsabilidades de la Unidad de Gestin de Riesgos dentro de la organizacin Los riesgos pueden ser gestionados por medio de: Mitigacin Transferencia Aceptacin Prevencin
Dr. Hugo A. Banda Gamboa 2010 85
87
COBIT: Control de TI
Conceptualiza el marco de referencia para control de TI desde tres perspectivas:
4 Recursos de TI: Aplicaciones, Informacin,
Infraestructura y Personas 210 actividades distribuidas en 34 Procesos de TI, agrupados en 4 Dominios 7 atributos que caracterizan los requerimientos de informacin de la organizacin
El Cubo de COBIT
Requerimientos de Informacin
(4)
(34)
(210)
89
Recursos de TI
Datos En su sentido ms amplio: Externos, internos, estructurados, no estructurados (texto, sonidos, imgenes, grficos, etc.) Infraestructura Incluye la tecnologa (HW, SW, Redes) y el ambiente en el que se encuentran (instalaciones, entorno, etc.) Aplicaciones Comprende el conjunto de procedimientos manuales y automatizados. Capital Humano Personal requerido para planificar, organizar, adquirir, implementar, distribuir, soportar, monitorear y evaluar la informacin de servicios y sistemas. Puede ser interno, externo o contratado.
Dr. Hugo A. Banda Gamboa 2010 90
Procesos de TI
Estn agrupados en 4 dominios. Cada uno corresponde a una responsabilidad organizacional: Planeacin y Organizacin (Plan and Organize) Adquisicin e Implementacin (Acquire and Implement) Entrega y Soporte (Deliver and Support) Monitoreo y Evaluacin (Monitor and Evaluate)
Dr. Hugo A. Banda Gamboa 2010 91
Informacin relevante y pertinente para los procesos organizacionales; as como correcta consistente, formato utilizable y despachada oportunamente.
Eficiencia:
Proveer informacin de mediante el empleo ptimo de recursos (de forma ms productiva y econmica).
Seguridad Integridad:
Informacin exacta y completa, as como vlida de acuerdo al conjunto de valores y expectativas de la organizacin.
Confidencialidad: Proteccin de la informacin sensible de divulgacin no autorizada. Disponibilidad: Informacin disponible cuando es requerida por los procesos de la organizacin ahora y en el futuro. Involucra la salvaguarda de los recursos y capacidades asociadas.
Fiabilidad Cumplimiento:
Cumplimiento de leyes, regulaciones, compromisos contractuales a los que estn sujetos los procesos de la organizacin, ya sean criterios externos o polticas internas.
Confiabilidad: Proveer informacin apropiada a la alta gerencia para operar la entidad y para ejercer sus responsabilidades fiduciarias y de gobernanza.
92
COBIT Framework
Objetivos Organizacionales Objetivos de Gobernanza
Informacin
Monitorear y Evaluar
Recursos
Datos Infraestructura Aplicaciones Recursos Humanos
Planear y Organizar
Adquirir e Implantar
93
Conclusin
En una poca de cambios radicales, el futuro es de los que siguen aprendiendo. Los que se conforman con lo que aprendieron, quedarn equipados para vivir en un mundo que ya no existe
Eric Hoffer
Dr. Hugo A. Banda Gamboa 2010 94