1 marcos marcos-de-referencia-v040811


Published on

Published in: Business, Technology
  • Be the first to comment

No Downloads
Total Views
On Slideshare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • Essentials V 7.0 Workbook Guide and Instructors Guide: The key drivers for IT governance have been corporate objectives – where the business driven by regulatory requirements on privacy – security, financial reporting SOX s404, Canadian Bill 198, etc have required that IT is more transparent in terms of its activities, holds back-up data, and is able attest to financial reporting under SOX. This requires an assurance that financial reporting systems are available and any risks relating to availability (lack of change control, etc). are managed. In addition the data needs to be secure and accurately. In addition corporate objectives are a driver in the need to push towards greater efficiencies, cost reduction and cost transparency in IT. SOX did not specify how to ensure governance – only that it needs to be done. COSO – and enterprise wide risk control framework required IT controls to be clearly defined. COBIT is the IT governance framework which integrates into COSO which is enterprise wide. As governance frameworks – COSO and COBIT emphasize ‘what’ controls are needed and provide management guidelines for these controls. The frameworks do not go into the details on specifying how it should be done. As such disciplines such as ITIL, PMI, etc support and integrate with overall control frameworks like COBIT.
  • 1.5 Structure and scope of the ICT book Figure 1.5 of the ICT book presents the main ICTIM processes described in detail in the following chapters of this book. The relationships to each other and with Service Management and Application Management are also shown. The main ICTIM processes as shown in Figure 1.5 are: Design and Planning – concerned with the creation and/or improvement of the ICT solution Deployment – concerned with the implementation and rolling out of the business and/or ICT solution as designed and planned, with minimum disruption to the business processes Operations – concerned with the daily housekeeping and maintenance of the ICT infrastructure Technical Support – concerned with structuring and underpinning other processes to guarantee the services delivered by ICTIM.
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • © 2001 Pink Elephant Inc. Todos los derechos reservados.
  • © 2001 Pink Elephant Inc. Todos los derechos reservados. © 2001 Pink Elephant Inc. Todos los derechos reservados. 21 © 2001 Pink Elephant Inc. Todos los derechos reservados. 21
  • Planning and Organization (PO) This domain covers strategy and tactics, and concerns the identification of the way IT can best contribute to the achievement of the business objectives. Beside that, the realization of the strategic vision has to be planned, communicated and managed for different perspectives (e.g. information architecture and technological direction). Finally, a proper organization as well as technological infrastructure must be in place. Acquisition and Implementation (AI) To realize the IT strategy, IT solutions need to be identified, developed or acquired, as well as implemented and integrated into the business process. In addition, changes in and maintenance of existing systems are covered by this domain to make sure that the life cycle is continued for these systems. Delivery and Support (DS) This domain is concerned with the actual delivery of required services, which range from traditional operations over security and continuity aspects to training. In order to deliver services, the necessary support processes must be set up. This domain includes the actual processing of data by application systems, often classified under application controls. Monitoring (M) All IT processes need to be regularly assessed over time for their quality and compliance with control requirements. This domain addresses the management’s oversight of the organization’s control process and independent assurance provided by internal and external audit or obtained from alternative sources.
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • Conceptos Básicos   Política de Seguridad de la Información La Política de Seguridad de la Información debe contar con el respaldo total de la dirección ejecutiva superior de TI e, idealmente, el apoyo y compromiso de los ejecutivos superiores de la gestión del negocio.   Sistema de Información de Administración de la Seguridad (SMIS) El marco o el SMIS en turno, proporciona la base para el desarrollo de un programa de seguridad de la información rentable que soporta los objetivos de negocio. Los cinco elementos dentro de este marco son: Controlar, planificar, implementar, evaluar y mantener.   Gobierno de la Seguridad de la Información El Gobierno de la Seguridad de la Información, cuando se implementa correctamente, debe proporcionar seis resultados básicos:   Alineación estratégica Entrega de valor Gestión de riesgos Gestión del rendimiento Gestión de recursos Aseguramiento del proceso de negocio
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • © 2001 Pink Elephant Inc. Todos los derechos reservados.
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • Essentials V 7.0 Remind participants that we don’t do this simple for the sake of an ‘introduction’, but that there is key information in this intro that they are likely to be examined on.
  • © 2001 Pink Elephant Inc. All rights reserved.
  • 1 marcos marcos-de-referencia-v040811

    1. 1. Importancia de la integración de los diferentes Marcos de Referencia en TI Pink Elephant Iberoamérica
    2. 2. Alineación de TI al Negocio
    3. 3. Las Prioridades del CIO <ul><li>Integrar TI a los objetivos estratégicos del negocio </li></ul><ul><li>La obligación de hacer más con menos presupuesto </li></ul><ul><li>Gobernabilidad de TI </li></ul><ul><li>Gestión de Procesos de Negocio (BPM) </li></ul><ul><li>Seguridad </li></ul><ul><li>Continuidad de Negocio, Disponibilidad </li></ul><ul><li>Servicios de TI que habiliten procesos de Negocio </li></ul>
    4. 4. Empresa y Gobierno de TI ITIL ® / ASL / ISO17799 / PMI / ISO Disciplinas Regulaciones Reportes / Privacidad Objetivos Corporativos Marco de trabajo de control de riesgo interno (COSO) Marco de trabajo de Gobernabilidad de TI (COBIT) Impulsores Gestión de Riesgos Empresariales Guías de Gestión de Controles de TI Estándares de Control Propiedad y Responsabilidad Monitoreo y Reportes
    5. 5. TI Service G Service F Service E Service D Service C Service B Servicio A Negocio Servicios Áreas Internas Proveedores Business Process 9 Business Process 8 Proceso de Negocio 7 Business Process 6 Business Process 5 Proceso de Negocio 4 Business Process 3 Business Process 2 Proceso de Negocio 1 Unidad de Negocio “A” Unidad de Negocio “B” Unidad de Negocio “C” Modelo de Servicios TI Entorno del Negocio Estrategias y Objetivos de Negocio Necesidades a Cubrir por los Procesos de Negocio <ul><li>El servicio ofrece : </li></ul><ul><li>Calidad </li></ul><ul><li>Confiabilidad </li></ul><ul><li>Consistencia </li></ul><ul><li>Disponibilidad </li></ul><ul><li>Capacidad </li></ul><ul><li>Adecuaciones </li></ul><ul><li>Seguridad </li></ul><ul><li>Soporte </li></ul><ul><li>Continuidad </li></ul><ul><li>Innovación </li></ul>H/W BD S/W RED AMB. Support Team 3 Support Team 2 Equipo de Soporte 1 Support Team 3 Support Team 2 Prov. 1 SLAs SLAs OLAs SLAs SLAs Contratos
    6. 6. Principales Marcos de Referencia
    7. 7. Principales Marcos de Referencia <ul><li>ITIL (Information Technology Infrastructure Library) </li></ul><ul><li>COBIT (control Objectives for Information and related Technologies) </li></ul><ul><li>eTOM (Enhanced Telecom Operations Map) </li></ul><ul><li>MOF (Microsoft Operations Framework) </li></ul>
    8. 8. Marco de referencia: ITIL <ul><li>Biblioteca de Infraestructura de TI (ITIL) </li></ul><ul><li>Custodio: Oficina de Comercio del Gobierno (OGC) Reino Unido </li></ul><ul><li>ITIL v2 (Marco de referencia de Mejores Prácticas) 2001 </li></ul><ul><ul><li>Define 10 procesos de TI claves; 1 función </li></ul></ul><ul><ul><li>ITIL v3 (Marco de referencia de Mejores Prácticas) 2007 </li></ul></ul><ul><ul><li>Define 24 procesos de TI claves; 4 funciones en el Ciclo de Vida del Servicio </li></ul></ul><ul><ul><li>Certificación individual: Si </li></ul></ul><ul><ul><li>Evaluación Organizacional: Si </li></ul></ul><ul><ul><li>Evaluación Organizacional: Si </li></ul></ul><ul><ul><li>www.itil-officialsite.com </li></ul></ul>
    9. 9. El Ciclo de Vida del Servicio Crown ® derechos de reproducción 2007 Reproducida con la autorización de la OGC.
    10. 10. Procesos del Ciclo de Vida
    11. 11. <ul><li>Objetivos de Control de Información y Tecnología Relacionada (COBIT) </li></ul><ul><li>Custodio: Instituto de Gobierno de TI (ITGI) junto con la Asociación de Auditorías </li></ul><ul><li>y Control de Sistemas de Información (ISACA) </li></ul><ul><li>Versión actual: 4.1 (2007) </li></ul><ul><li>Define 4 Dominios, 34 procesos de TI y cientos de objetivos de control </li></ul><ul><ul><li>Marcos de referencia agregados: </li></ul></ul><ul><ul><ul><li>Val-IT 2.0 (2008) </li></ul></ul></ul><ul><ul><ul><li>Risk-IT (2009) </li></ul></ul></ul><ul><li>Certificación individual: Si </li></ul><ul><li>Evaluación organizacional: Si </li></ul><ul><li>www.isaca.org </li></ul>Marco de referencia: COBIT
    12. 12. Entrega & Soporte (DS) Monitoreo & Evaluación (ME) Adquisición e Implementación (AI) Planeación & Organización (PO) Dominios de COBIT
    13. 13. 34 Objetivos de Control Planeación y Organización Monitoreo y Evaluación Entrega y Soporte Adquisición e Implementación PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organization & relationships PO5 Manage the IT investment PO6 Communicate management aims & direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manages changes AI7 Install and accredit solutions and changes DS 1 Define and manage service levels DS 2 Manage third party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manager Service Desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS 13 Manage operations ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT Governance
    14. 14. Marco de referencia: eTOM <ul><li>Mapa de Operaciones de Telecomunicaciones Mejorado (eTOM) </li></ul><ul><li>Custodio: Foro Tele Management (E.U.) </li></ul><ul><li>El foro TM es una organización conformada por un grupo de empresas proveedoras </li></ul><ul><li>de servicios de telecomunicaciones así como por empresas desarrolladoras de aplicaciones para </li></ul><ul><li>automatizar los procesos de ésta industria </li></ul><ul><li>La visión original de eTOM es acelerar la disponibilidad de productos interoperables de gestión de </li></ul><ul><li>red, y hasta la fecha uno de los grandes retos es la capacidad real que poseen las aplicaciones </li></ul><ul><li>de soporte al negocio (BSS) y a las operaciones (OSS) de interoperar entre sí. </li></ul><ul><li>El marco pretende entre otras cosas estandarizar los conceptos de los procesos y dar una </li></ul><ul><li>estructura coherente a los procesos de una empresa de telecomunicaciones para lo cual abarca </li></ul><ul><li>tres áreas: Gestión Empresarial (EM), Estrategia, Infraestructura y Productos (SIP) y Operaciones </li></ul><ul><li>(OPS). </li></ul><ul><li>www.tmforum.org </li></ul>
    15. 15. Marco de referencia: MOF <ul><ul><li>Marco de referencia de Operaciones Microsoft (MOF) </li></ul></ul><ul><ul><li>Custodio: Microsoft Corporation (E.U.) </li></ul></ul><ul><ul><li>MOF 4.0 fue creado para proveer guía a través de todo el ciclo de vida de TI. Terminado a inicios de 2008, MOF 4.0 integra procesos; gobierno, riesgos y actividades de cumplimiento; revisiones gerenciales y mejores prácticas del marco de referencia de soluciones Microsoft (MSF). </li></ul></ul><ul><ul><li>La guía en el marco de referencia de operaciones Microsoft comprende todas las actividades y procesos involucradas en el manejo de los servicios de TI: su concepción, desarrollo, operación, mantenimiento y en última instancia su retiro. </li></ul></ul><ul><ul><li>Certificación individual: Si </li></ul></ul><ul><ul><li>Evaluación organizacional: Si </li></ul></ul><ul><ul><li>www.microsoft.com/mof </li></ul></ul>
    16. 16. Modelo CMMI
    17. 17. Modelo: CMMI <ul><li>Modelo de Madurez de Capacidad Integrado (CMMI) </li></ul><ul><li>Custodio – Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon </li></ul><ul><li>Detalla 16 procesos compartidos y diferentes procesos discretos para cada una de las 3 áreas. </li></ul><ul><li>Versión actual: CMMI v1.2 (2008) </li></ul><ul><ul><li>CMMI-DEV (CMMI para Desarrollo) </li></ul></ul><ul><ul><li>CMMI-SVC (CMMI para Servicios) </li></ul></ul><ul><ul><li>CMMI-ACQ (CMMI para Adquisiciones) </li></ul></ul><ul><li>Detalla 5 nivels de madurez de procesos </li></ul><ul><li>Certificación individual: No; (Asesor/Auditor: Si) </li></ul><ul><li>Evaluación organizacional/Certificación: Si </li></ul><ul><li>www.sei.cmu.edu/cmmi </li></ul>
    18. 18. Niveles de madurez Niveles de madurez Optimizado Administrado cuantitativamente Definido Manejado Inicial Enfocado en mejora Continua de procesos Procesos medidos y controlados Procesos caracterizados por la organización y la proactividad Procesos vistos como Proyectos, a menudo reactivos Procesos impredecibles, pobremente controlados y reactivos
    19. 19. Niveles de madurez <ul><li>Estándar de facto usado por: </li></ul><ul><ul><li>ITILv3 </li></ul></ul><ul><ul><li>COBIT </li></ul></ul><ul><ul><li>CMMI </li></ul></ul><ul><li>Para medir la madurez de cualquier proceso </li></ul>Niveles de madurez
    20. 20. Estándares ISO
    21. 21. Organización Internacional de Estandarización (ISO) <ul><li>www.iso.org </li></ul><ul><li>ISO es una red de institutos de estándares nacionales de 156 países, con un miembro por país, con una secretaría central en Ginebra, Suiza, que coordina el sistema. </li></ul><ul><li>ISO no es una organización gubernamental. Sin embargo ISO ocupa una posición especial entre los sectores público y privado. Esto es, por una parte, porque muchos de sus institutos miembros son parte de la estructura gubernamental de sus países o dependen de su gobierno. Por otra parte, otros miembros tienen sus raíces únicamente en el sector privado, siendo establecidos por una asociación nacional de industrias. </li></ul>
    22. 22. Estándares <ul><li>ISO/IEC 20000:2005 (Gestión de Servicios de TI) </li></ul><ul><li>ISO/IEC 27001:2005 (Seguridad de la Información Req.) </li></ul><ul><li>ISO/IEC 27002:2005 (Seguridad de la Información Mgt.) </li></ul><ul><li>ISO/IEC 38500:2008 (Gobernabilidad de TI) </li></ul><ul><li>Custodio: </li></ul><ul><ul><li>ISO, Organización Internacional de Estándares </li></ul></ul><ul><ul><li>IEC, Comisión Intenacional Electrotécnica </li></ul></ul><ul><ul><li>Ginebra, Suiza </li></ul></ul><ul><li>Los estándares evolucionan y cambian como todo </li></ul><ul><li>En el mundo ISO se utilizan años en lugar de números de versiones y la revisión y control de documentación es estricta </li></ul><ul><li>Una versión de ISO debe estar vigente por lo menos 3 años </li></ul>
    23. 23. Estándar: ISO/IEC 20000:2005 <ul><li>ISO/IEC 20000 es el primer estándar mundial enfocado a Gestión de Servicios de TI. Describe un conjunto integrado de procesos para una efectiva entrega de servicios al negocio. </li></ul><ul><li>ISO/IEC 20000 consiste de dos partes: </li></ul><ul><ul><li>ISO/IEC 20000-1:2005 </li></ul></ul><ul><ul><ul><li>Especificación formal, define los requerimientos para una organización para entregar servicios gestionados con calidad aceptable para sus clientes. </li></ul></ul></ul><ul><ul><li>ISO/IEC 20000-2:2005 </li></ul></ul><ul><ul><ul><li>Código de Práctica, describe la mejor práctica para los procesos de Gestión de Servicios dentro del alcance de ISO/IEC 20000-1. El código de práctica será de uso particular para preparar a las organizaciones a ser auditadas contra el ISO/IEC 20000. </li></ul></ul></ul><ul><ul><ul><li>Certificación individual: Si (por servicios) </li></ul></ul></ul><ul><ul><ul><li>Evaluación organizacional/Certificación: Si </li></ul></ul></ul><ul><ul><ul><li>www.iso.org </li></ul></ul></ul>
    24. 24. ISO 20000 Procesos de Gestión de Servicios Procesos de Entrega de Servicios Procesos de Control Procesos de Liberación Procesos de Resolución Procesos de Relacionamiento
    25. 25. Relación de ISO20000 con ITIL ITIL versión 2 ITIL versión 3
    26. 26. Relación de ISO20000 con ITIL 9 Procesos de Liberaciones Procesos de Resolución Procesos de Relaciones Procesos de Control Planeación e Implementación de Nuevos Servicios y sus Modificaciones Planeación e Implementación de la Administración de los Servicios de TI <ul><li>Administración de Niveles de Servicio </li></ul><ul><li>Administración de Seguridad de la Información </li></ul><ul><li>Presupuestos y contabilidad de los Servicios TI </li></ul><ul><li>Administración de la Capacidad </li></ul><ul><li>Administración de la Continuidad y Disponibilidad </li></ul><ul><li>Administración de Niveles de Servicio </li></ul><ul><li>Administración de Configuraciones </li></ul><ul><li>Administración de Cambios </li></ul><ul><li>Administración de Liberaciones </li></ul><ul><li>Administración de Incidentes </li></ul><ul><li>Administración de Problemas </li></ul><ul><li>Administración de Relaciones con el Negocio </li></ul><ul><li>Administración de Proveedores </li></ul><ul><li>Reportes del Servicio </li></ul>ITIL versión 2 ITIL versión 3 Estrategia del Servicio Procesos de Entrega del Servicio Sistema de Administración de la Calidad
    27. 27. Estándar: ISO/IEC 20000:2005 <ul><li>Adopción: 441 organizaciones en 40 países </li></ul><ul><li>Qué sigue para ISO 20000? </li></ul><ul><ul><li>Parte 1: Rediseñada para alinearlo aún más con ITILv3 (2011) </li></ul></ul><ul><li>Parte 2: Actualización con la Parte 1 (2012) </li></ul><ul><ul><li>Parte 3: Guía de alcance y aplicabilidad (2010) </li></ul></ul><ul><ul><li>Parte 4: Modelo de Referencia de Procesos (2010) </li></ul></ul><ul><ul><li>Parte 5: Plan de implementación para ISO/IEC 20000 (2010) </li></ul></ul>
    28. 28. Estándar: ISO/IEC 27001 <ul><li>ISO/IEC 27001:2005 </li></ul><ul><li>Sistema de Gestión de Seguridad de la Información para brindar seguridad de la información bajo un control de gestión explícito </li></ul><ul><li>ISO/IEC 27001 requiere que la gestión: </li></ul><ul><ul><li>Examine sistemáticamente los riesgos de seguridad de la información de una organización, tomando en cuenta las amenazas, vulnerabilidades y sus impactos; </li></ul></ul><ul><ul><li>Diseñe e implemente un conjunto coherente de controles de seguridad de la información y/o formas de tratamiento de riesgos para afrontar los riesgos que considera inaceptables; y </li></ul></ul><ul><ul><li>Adoptar un proceso general de gestión para asegurar que los controles de seguridad de la información cumplan con las necesidades de seguridad de la información de la organización de forma continua. </li></ul></ul>
    29. 29. Estándar: ISO/IEC 27002:2005 <ul><li>ISO/IEC 27002:2005 </li></ul><ul><li>Un “código de práctica” para Gestión de Seguridad de la Información </li></ul><ul><li>Solía ser ISO 17799 (fue simplemente renombrado en 2007) </li></ul><ul><li>ISO/IEC 27002 provee recomendaciones de mejores prácticas sobre gestión de seguridad de la información para quienes son responsables de iniciar, implementar o mantener Sistemas de Gestión de Seguridad de la Información (ISMS). Seguridad de la Información esta definida dentro del estándar en el contexto de C-I-A: </li></ul><ul><ul><li>Preservar la confidencialidad (asegurando que la información es a accesible solo para quellos autorizados a hacer uso de ella), integridad (salvaguardar la precisión de la información y los métodos de procesamiento) y disponibilidad (asegurando que los usuarios autorizados tengan acceso a la información y activos asociados cuando lo requieran) . </li></ul></ul>
    30. 30. Gestión de la Seguridad de la Informacióin (ITIL) <ul><li>Una política de seguridad de la información integral. </li></ul><ul><li>Política del uso y mal uso de los activos de TI. </li></ul><ul><li>Una política de control de accesos. </li></ul><ul><li>Una política de control de contraseñas. </li></ul><ul><li>Una política de correo electrónico. </li></ul><ul><li>Una política de internet. </li></ul><ul><li>Una política de anti-virus. </li></ul><ul><li>Una política de clasificación de la información. </li></ul><ul><li>Una política de clasificación de documentos. </li></ul><ul><li>Una política de acceso remoto. </li></ul><ul><li>Una política para el acceso a los proveedores de los servicios de TI, información y componentes. </li></ul><ul><li>Política de eliminación de activos. </li></ul><ul><li>Una política de seguridad de la información. </li></ul><ul><li>Un sistema de administración de seguridad de la información (ISMS). </li></ul><ul><li>Una estrategia comprensible de seguridad. </li></ul><ul><li>Una estructura de seguridad organizacional efectiva. </li></ul><ul><li>Un conjunto de controles de seguridad para soportar la política. </li></ul><ul><li>La administración de riesgos de seguridad. </li></ul><ul><li>Procesos de monitoreo. </li></ul><ul><li>Una estrategia y plan de comunicación para la seguridad. </li></ul><ul><li>Capacitación y concientización de la estrategia y el plan. </li></ul><ul><li>Marco de referencia de seguridad. </li></ul><ul><li>Sistema de Administración de Seguridad de la Información(ISMS). </li></ul><ul><li>Política de Seguridad de la Información </li></ul>© Crown copyright 2007 Reproduced under license from OGC Figure 4.26 Service Design, page 143 Evaluar Planear Implementar Controlar Mantener
    31. 31. Estándar: ISO/IEC 38500:2008 <ul><li>ISO 38500 es el primer estándar internacional para Gobernabilidad de TI </li></ul><ul><li>El estándar “Gobernabilidad corporativa de TI” provee un marco de trabajo para una gobernabilidad efectiva de TI para ayudar a aquellos altos niveles de la organización a entender y cumplir las obligaciones legales, regulatorias y éticas respecto al uso de TI en las organizaciones. </li></ul><ul><li>ISO/IEC 38500 es aplicable a organizaciones de todos tamaños, tanto públicas como privadas, entidades de gobierno y organizaciones no lucrativas. Este estándar provee una guía de principios para organizaciones sobre el uso efectivo, eficiente y aceptable de las TI dentro de las mismas. Esta organizado en tres secciones específicamente, Alcance, Marco de trabajo y Guía </li></ul><ul><li>Derivado del AS 8015 (Australia) </li></ul><ul><li>El marco de trabajo comprende definiciones, principios y un modelo. Establece seis principios para una buena gobernabilidad corporativa de TI: </li></ul><ul><ul><li>Responsabilidad </li></ul></ul><ul><ul><li>Estrategia </li></ul></ul><ul><ul><li>Desempeño </li></ul></ul><ul><ul><li>Cumplimiento </li></ul></ul><ul><ul><li>Comportamiento humano </li></ul></ul>
    32. 32. Organizaciones miembros de ISO <ul><li>Miembros ISO relevantes: </li></ul><ul><ul><li>US – ANSI (American National Standards Institute) </li></ul></ul><ul><ul><li>CA – SCC (Standards Council of Canada) </li></ul></ul><ul><ul><li>MY – DSM (Department of Standards Malaysia) </li></ul></ul><ul><ul><li>SG – SPRING SG (Standards, Productivity and Innovation Board - Singapore) </li></ul></ul><ul><ul><li>UAE – ESMA (Emirates Authority for Standardization and Metrology) </li></ul></ul><ul><ul><li>MX – DGN (Dirección General de Normas - Mexico) </li></ul></ul><ul><ul><li>UK – BSI (British Standards Institution) </li></ul></ul><ul><ul><li>NL – NEN (Nederlands Normalisatie-instituut - Netherlands) </li></ul></ul><ul><ul><li>ZA – SABS (South African Bureau of Standards) </li></ul></ul><ul><ul><li>AU – SA (Standards Australia) </li></ul></ul><ul><ul><li>NZ – SNZ (Standards New Zealand) </li></ul></ul><ul><ul><li>CN – SAC (Standardization Administration of China) </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
    33. 33. Gestión de la Continuidad de los Servicios de TI
    34. 34. Objetivos <ul><li>Mantener un conjunto de Planes de Continuidad de los Servicios de TI y planes de recuperación de TI que soportan a su vez los Planes de Continuidad de Negocio de la organización </li></ul><ul><li>Llevar a cabo ejercicios regulares de Análisis del Impacto de Negocio (BIA) </li></ul><ul><li>Realizar una evaluación de riesgos y ejercicios de gestión regulares </li></ul><ul><li>Proporcionar asesoría y guía al resto de las áreas del negocio y al área de TI sobre los asuntos relacionados con la continuidad y recuperación </li></ul><ul><li>Asegurar la instauración de los mecanismos de continuidad y recuperación adecuados para cumplir o exceder los objetivos acordados </li></ul><ul><li>Evaluar el impacto de todos los cambios en los Planes de Continuidad de los Servicios de TI y planes de recuperación del área de TI </li></ul><ul><li>Asegurar la implementación de medidas proactivas para mejorar la disponibilidad de los servicios siempre y cuando su costo sea justificable </li></ul><ul><li>Negociar y acordar los contratos necesarios con los proveedores para el aprovisionamiento de la capacidad de recuperación necesaria </li></ul>
    35. 35. Conceptos Básicos Gestión de la Continuidad del Negocio 1. Iniciación 4. Operaciones Continuas 3. Implementación 2. Requisitos y Estrategia Invocación Estrategia de la Continuidad del Negocio Planes de Continuidad del Negocio <ul><li>Actividades Clave </li></ul><ul><li>Establecimiento de Políticas </li></ul><ul><li>Alcance </li></ul><ul><li>Inicio de un Proyecto </li></ul><ul><li>Análisis del Impacto de Negocio </li></ul><ul><li>Evaluación de Riesgos </li></ul><ul><li>Estrategia de la Continuidad de los Servicios de TI </li></ul><ul><li>Desarrollo de Planes de Continuidad de los Servicios de TI </li></ul><ul><li>Desarrollar Planes de TI, Planes de Recuperación y Procedimientos </li></ul><ul><li>Planificación Organizacional </li></ul><ul><li>Estrategia de las Pruebas </li></ul><ul><li>Educación, Conciencia y Capacitación </li></ul><ul><li>Revisión y Auditoría </li></ul><ul><li>Pruebas </li></ul><ul><li>Gestión de Cambios </li></ul>Ciclo de Vida © Crown derechos de reproducción 2007 Reproducido con la autorización de la OGC Figura 4.21 Diseño del Servicio, página 31
    36. 36. Ventajas de Integrar Continuidad y Seguridad a través de ITIL <ul><li>Enfoque en Servicios y no en componentes TI. Cuando la decisi ón de recuperar se basa sobre un Servicio que se provee y no sobre una aplicación o tecnologías se asegurará que es una decisi ó n alineada a los requerimientos del negocio </li></ul><ul><li>Alinear las estrategias de Negocio y Gobernabilidad de TI </li></ul><ul><li>Tener un buen nivel de madurez en los procesos de ITIL no solo va ayudar en el plan del Continuidad sino tambi é n en la actualizaci ó n y la ejecuci ón en caso de un desastre </li></ul><ul><li>Integrado a la operaci ó n de TI </li></ul><ul><li>Principios b á sicos de ITIL </li></ul><ul><ul><li>Enfoque en procesos, m é tricas, controles, integraci ón de TI </li></ul></ul><ul><li>Mejores decisiones en costos, mejor informaci ó n de la Administraci ón Financiera </li></ul><ul><li>Costos m ás bajos para implementar Continuidad y Seguridad pero sobre todo en la fase de mantenimiento de los planes de estos procesos </li></ul>
    37. 37. Metodologías de Gestión de Proyectos
    38. 38. Metodologías de Gestión de Proyectos <ul><li>PMI </li></ul><ul><li>Prince2 </li></ul><ul><li>P3O </li></ul>
    39. 39. Gestión de Proyectos: PMBOK <ul><li>Cuerpo de conocimiento de Gestión de Proyectos (PMBOK) </li></ul><ul><li>Custodio: Instituto de Gestión de Proyectos (PMI) </li></ul><ul><li>Establecido en 1969 </li></ul><ul><li>Enfocado en proycetos de cualquier tipo, no solo de TI </li></ul><ul><li>Actualmente más del 60% de los miembros trabajan en TI </li></ul><ul><li>Más de 300,000 credenciales expedidas en el mundo </li></ul><ul><li>Certificación individual: Si </li></ul><ul><li>Evaluación organizacional: Si </li></ul><ul><li>www.pmi.org </li></ul>
    40. 40. Gestión de Proyectos: Prince2 2009 <ul><li>Proyectos en ambientes controlados v2 (Prince2) </li></ul><ul><li>Custodio: Oficina de Comercio del Gobierno (UK) </li></ul><ul><li>Recientemente actualizado en 2009 </li></ul><ul><li>A pesar de no ser específico para TI, funciona muy bien para la gestión de proyectos de TI </li></ul><ul><li>Certificación individual: Si </li></ul><ul><li>Evaluación organizacional: Si </li></ul><ul><li>www.prince-officialsite.com </li></ul>
    41. 41. Project Management: P3O <ul><li>Oficinas de Portafolios, Programas y Proyectos </li></ul><ul><li>Custodio: Oficina de Comercio del Gobierno (UK) </li></ul><ul><li>Combina Prince 2 con otras áreas para crear una vista más comprensiva de la empresa de cómo lograr proyectos exitosos </li></ul><ul><li>Certificación individual: Si </li></ul><ul><li>Evaluación organizacional: No </li></ul><ul><li>www.ogc.gov.uk </li></ul>
    42. 42. Mejora Continua
    43. 43. El ciclo de Deming Control continuo de la Calidad Mejora Efectiva de la Calidad ACT CHECK PLAN DO Tiempo Nivel de Madurez Consolidación del nivel alcanzado i.e.: ISO 9001 o Estándar Británico Alineación de TI con el Negocio Do (Project) Check (Audit) Act (New Actions) Plan (Project Plan )
    44. 44. Modelo de Gobernabilidad
    45. 45. Modelo de Gobernabilidad TI OPERACIONES TI Modelos de Auditoría Sistemas de Calidad y Marcos de Referencia Adm. Adm. de Servicios Desarrollo de Apl. Adm. de Proyectos Planeación TI Seguridad TI Sistema de Calidad COBIT COSO ISO 27001 PMI ISO Six Sigma Estrategia de SI TSO ASL RUP Sarbanes Oxley / CNBV Estados Unidos SEC (Securities and Exchange Commission) ITIL ISO 20000 CMM
    46. 46. Modelo de Servicios Los conductores del Negocio deben determinar los Servicios de TI y los objetivos de los procesos Objetivos de TI Procesos de TI Servicios de TI Conductores del Negocio Objetivos de Negocio Requerimientos del Negocio Aplicaciones Información Infraestructura Personas Requerimientos del Negocio Recursos Procesos Servicios CMMi , Rup ITIL – ISO 20000 Seguridad – ISO 27001 Proyectos - PMI Sistemas de Calidad- ISO / 6r
    47. 47. Recomendaciones <ul><li>Siendo Proveedor de Servicios de TI invariablemente tendrá que trabajar con ITIL tarde o temprano </li></ul><ul><li>Un buen inicio temprano es definir un modelo de procesos basado en ITIL </li></ul><ul><ul><li>Integrar esfuerzos y alineación con el Negocio (Servicios) </li></ul></ul><ul><ul><li>Ordenar/ Controlar las complejas operaciones de TI (Procesos) </li></ul></ul><ul><ul><li>Cumplimiento de regulaciones/ estándares (Modelo de procesos) </li></ul></ul><ul><li>Si existe otra iniciativa (COBIT, CMMI, PMI, ISO 20000, ISO 27000, Etc.) en paralelo con ITIL trabajar en forma conjunta ya que ITIL dictará los lineamientos a seguir </li></ul><ul><li>Si no existe en el momento otra iniciativa, el modelo de procesos basado en ITIL será el soporte adecuado para posteriormente integrar otros modelos/ estándares de forma controlada </li></ul><ul><li>Definir una estrategia de Manejo del Cambio Organizacional </li></ul>
    48. 48. Pink Elephant - Expertos en Gestión de Servicios de TI [email_address] www.pinkelephant.com