Aplicación de mejores prácticas

de gestión y auditoría

ITIL, Cobit e ISOs

Ing. Sergio Richetti

IT Governance

El gobierno de IT es el grupo de liderazgo, las estructuras y los

procesos organizacionales que aseguran que las IT´s de la

organización soportan y extienden las estrategias

y los objetivos organizacionales

Fuente: IT Governance Institute

La Gestión de IT

Prestación de Servicios de Tecnología seguros, confiables,

predecibles, sostenibles y de costo efectivo, con un nivel de

servicio adecuado a las necesidades del Negocio y un nivel

de riesgo razonable para el Negocio

Se basa en construir y mantener tres pilares:

– Optimización de Infraestructura

– Operaciones de IT adecuadas

– Seguridad de IT adecuada

Fuente: XXIV Salón de la Informática

Estándares y Mejores Practicas

COBIT

ITIL

COSO

BS 7799

ISO 17799

British Standard BS 15000

MAGERIT

Sarbanes-Oxley (SOX)

Planificación y organización

Adquisición e implantación

Soporte y servicios

Monitoreo

Planeación y Alineamiento Estratégico (ITIL, COBIT)

Operaciones de TI (ITIL, ISO/IEC 27002)

Manejo Financiero (ITIL)

Marcos de Control (COBIT, ISO/IEC 27002)

Fuente: XXIV Salón de la Informática

Mejores Practicas

Las expresiones "buenas/mejores prácticas" son traducciones

demasiado literales de la expresión inglesa ”best practices”.

Por mejores prácticas se entiende un conjunto coherente de acciones

que han rendido buen o incluso excelente servicio en un determinado

contexto y que se espera que, en contextos similares, rindan similares

resultados.

Las mejores prácticas dependen de las épocas,

de las modas y hasta de la empresa consultora

O del autor que las preconiza.

No es de extrañar que algunas sean incluso

contradictorias entre ellas.

Fuente: www.wikipedia.org

Otros, en cambio, reconocen que las mejores prácticas son sólo un

buen comienzo, mejor que una hoja en blanco, pero que no

reemplazan al sentido común y a la reflexión y que, mientras se usen

de manera racional y coherente, pueden acelerar la puesta en servicio

de mejoras en los procesos de las organizaciones.

Fuente: www.wikipedia.org

Mejores Practicas (Mitos y Realidades)

Sus detractores dicen que la mayoría de estos términos son

empleados por “Empresas Consultoras”

Las Consultoras los comercializan y se encargan de

convencer a las empresas para que los pongan en

práctica.

Muchas de estas teorías, afirman los detractores,

resultan ser una moda pasajera que, impulsada por

las grandes empresas consultoras, toma fuerza pero

después de cierto tiempo cae en desuso tras quedar

en evidencia sus limitaciones, o bien ante la aparición

de una nueva moda.

Algunas de esas aseveraciones son en cierto grado ciertas.

Sin embargo, esos mismos detractores reconocen que no todas son un

mero producto de la comercialización de las consultoras.

Aplicadas con sentido común, pueden aportar soluciones a problemas

reales.

Mejores Practicas (Mitos y Realidades)

BuenasPracticas

Requerimientos del Negocio

COBIT (Ver. 4.1)

Es un estándar muy bien construido, ampliamente reconocido y aceptado.

Toda la documentación de COBIT se encuentra en línea

La versión "QuickStart" de COBIT para organizaciones pequeñas y medianas

contiene un subconjunto de COBIT enfocado a los elementos más críticos para

organizaciones que no tienen los recursos para buscar una implementacion

completa del estándar.

COBIT tiene 4 dominios

PO: Planning & Organizing

AI: Acquisition & Implementation

DS: Delivery & Support

M: Monitoring

Compuesto por 34 Objetivos de control de alto nivel y

210 objetivos de control detallados

Están diseñados para ayudar a las organizaciones a

mantener un control efectivo

Fuente: XXIV Salón de la Informática

ITIL / ISO 20000

La Biblioteca de Infraestructura de Tecnologías de Información,

frecuentemente abreviada ITIL (del inglés Information Technology

Infrastructure Library), es un marco de trabajo de las buenas prácticas

destinadas a facilitar la entrega de servicios de tecnologías de la

información (TI).

ITIL resume un extenso conjunto de procedimientos

de gestión ideados para ayudar a las organizaciones

a lograr calidad y eficiencia en las operaciones de TI.

Estos procedimientos son independientes del

proveedor y han sido desarrollados para servir

como guía que abarque toda infraestructura,

desarrollo y operaciones de TI.

Fuente: www.wikipedia.org

ITIL V3

Publicada en Mayo de 2007

Dividida en 5 Libros:1. Service Strategy

2. Service Design

3. Service Transition

4. Service Operation

ITIL V3 - Ciclo de Vida del Servicio

Estrategia de Diseño

Diseño del Servicio

Transición del

Servicio

Operación del

Servicio

Mejora Continua del Proceso

Informes del Servicio

Procesos de Mejora en 7

pasos

Medición del Servicio

Roles

Procesos

Gente

ITIL V3 - Roles

Estrategia de Diseño

Diseño del Servicio

Transición del

Servicio

Operación del

Servicio

Estrategia de Diseño (3)

IT Steering Group (ISG)

Financial Manager

Service Portfolio Manager

Los Roles corresponden a los

Procesos:

Service Portfolio Management

Demand Management

IT Financial Management

ITIL V3 - Roles

Estrategia de Diseño

Diseño del Servicio

Transición del

Servicio

Operación del

Servicio

Diseño del Servicio (14)

Service Catalogue Manager

Service Level Manager

Service Owner (*)

Service Design Manager

Applications Analyst/ Architect (*)

Technical Analyst/ Architect (*)

Risk Manager

Capacity Manager

Availability Manager

IT Service Continuity Manager

IT Security Manager

Compliance Manager

IT Architect

Supplier Manager

(*) pueden ser requeridos por tipo o clase de

Servicio segun el tamaño de la Organizacion

ITIL V3 - Roles

Estrategia de Diseño

Diseño del Servicio

Transición del

Servicio

Operación del

Servicio

Transicion del Servicio (10)

Change Manager

Change Advisory Board (CAB)

Change Owner

Emergency Change Advisory Board

Project Manager

Application Developer

Release Manager

Configuration Manager

Knowledge Manager

Test Manager

Segun el tamaño de la Organizacion pueden ser

necesarios un Project Manager y un Application

Developer por cada tipo de Servicio

Los roles de Change Advisory Board (CAB) y

Emergency Change Advisory Board requieren

de la participacion de otros Roles del Proceso

ITIL V3 - Roles

Estrategia de Diseño

Diseño del Servicio

Transición del

Servicio

Operación del

Servicio

Operacion del Servicio (11)

1st Level Support

2nd Level Support

3rd Level Support

Major Incident Team

Incident Manager

Problem Manager

Service Request Fulfilment Group

Access Manager

IT Operations Manager

IT Operator

IT Facilities Manager

1st 2nd 3rd Level Support puede ser

requeridos por tipo o clase de Servicio segun

el tamaño de la Organizacion

ITIL V3 - Ciclo de Vida del Servicio

Mejora Continua del Proceso

Informes del Servicio

Procesos de Mejora en 7

pasos

Medición del Servicio

Mejora Continua del Proceso (3)

CSI Manager

Process Manager

Process Owner

Según el tamaño de la Organización puede ser

necesario tener un Process Manager y un

Process Owner por cada tipo de Servicio

ITIL V3ITIL V3

Strategic de Diseño (3)IT Steering Group (ISG)

Financial Manager

Service Portfolio Manager

Diseño del Servicio (14)Service Catalogue Manager

Service Level Manager

Service Owner

Service Design Manager

Applications Analyst/ Architect

Technical Analyst/ Architect

Risk Manager

Capacity Manager

Availability Manager

IT Service Continuity Manager

IT Security Manager

Compliance Manager

IT Architect

Supplier Manager

Transicion del Servicio (10)Change Manager

Change Advisory Board (CAB)

Change Owner

Emergency Change Advisory Board

Project Manager

Application Developer

Release Manager

Configuration Manager

Knowledge Manager

Test Manager

Service Operation (11)1st Level Support

2nd Level Support

3rd Level Support

Major Incident Team

Incident Manager

Problem Manager

Service Request Fulfilment Group

Access Manager

IT Operations Manager

IT Operator

IT Facilities Manager

Mejora continua del Proceso (3)

CSI Manager Process Manager Process Owner

• Cambio en la Cultura de la Empresa

• Bussines Sponsor con autoridad y Decisión

• Comunicación Clara y continua a la Organización

• Análisis y Adaptación de los Procesos

• Implementación por Etapas

• Asignación de Roles según Competencias

• Fuerte inversión en el entrenamiento del Equipo

• Programas de Reconocimiento (RRHH)

• Proceso de Actualización de Competencias

• Programas de Desarrollo de Carrera

• Procesos de Revisión de Remuneraciones

• Programas de Team Building

• Programas de Evaluación 360

Reflexiones

Aplicación de mejores

prácticas de gestión y

auditoría