Gobernabilidad de las Tecnologías de la Información

IntroducciónIntroducciónRodrigo Rebolledo M

rrebolledo@javeriana.edu.coGestión de la Plataforma Tecnológica

Contenido

1. Gobernabilidad de TI.

2. Estándares y su relación con la Gobernabilidad.

3. ISO 200003. ISO 20000

4. Conceptos de ITIL

1. Gobernabilidad de TI

Necesidad

Necesidad

¿Qué es Gobernabilidad de TI? (1)

– Cómo la organización alinea su estrategiade TI con la estrategia del negocio.

– Asegurar que el negocio mantiene elseguimiento para lograr sus estrategias yseguimiento para lograr sus estrategias ymetas basado en el apoyo de las TI

– Implementar acciones para medir eldesempeño de las TI

¿Qué es Gobernabilidad de TI? (2)

– Asegurar que todos los intereses de los“stakeholders” son tomados en cuentadesde TI.

– Se generan procesos que dan respuesta alas necesidades en TI

– Cuál es el retorno sobre la inversión (ROI)realizado a las TI para el negocio

Definición de Gobernabilidad de TI

“Es un marco de trabajo para: El liderazgo,definición de la estructura organizacional,procesos de negocio, estándares yprocesos de negocio, estándares ycumplimiento de ellos, que asegura quelas organizaciones de TI soportan el logrode sus estrategias y objetivos”.

Focos de la Gobernabilidad de TI

Beneficios de la Gobernabilidad de TI

– Menor resistencia al cambio

– Estrategia de TI que se refleja en el negocio

– Estructura de la organización que facilita laimplementación de la estrategia y de las metasimplementación de la estrategia y de las metas

– Ahorros en los costos

– Forma de medir el desempeño de TI como unidad.

– Capacitación eficiente.

– Soporte eficiente.

– Gestión del conocimiento.

Beneficios de la Gobernabilidad de TI

• Maximizar el valor económico.

• Crear sinergias a través del empaquetamientode requerimientos similares

• Optimizar la utilización de los recursos de IT• Optimizar la utilización de los recursos de IT

• Construir confianza en el proceso deplaneación.

2. Estándares y su relación 2. Estándares y su relación con la Gobernabilidad

Estándares Internacionales

– Marcos de referencia de Gobernabilidad deTI.

• COBIT 4.1 ( Control Objectives for Information• COBIT 4.1 ( Control Objectives for Informationand related Technology )

– www.isaca.org/cobit/

• ISO 38500:2008 (Corporate governance ofinformation technology )

– www.iso.org/iso/catalogue_detail?csnumber=51639

Estándares Internacionales

– Gestión de Proyectos• PRINCE 2 (Projects in Controlled

Environments)– www.prince2.com– www.prince2.com

• PMBok ( Project Management Body ofKnowledge)

– www.pmi.org

Estándares Internacionales– Modelo de Madurez

• CMMI (Capability Maturity Model Integration)– www.sei.cmu.edu/cmmi/

• CMMI-DEV 1.2, para desarrollo– http://www.sei.cmu.edu/publications/documents/06.re

ports/06tr008.html

• CMMI-ACQ 1.2, para adquisición– http://www.sei.cmu.edu/publications/documents/07.re

ports/07tr017.html

• CMMI-SVC, para servicios– https://bscw.sei.cmu.edu/pub/bscw.cgi/d537712/CM

MI-SVC%20baseline%20for%20review%20v0.5c.doc

Estándares Internacionales– Servicio

• ITIL 3 (Information Technology InfrastructureLibrary)

– www.itil-officialsite.com

• eTOM 7.0(Enhanced Telecom Operations Map)• eTOM 7.0(Enhanced Telecom Operations Map)– M.3050 – ITU (International Telecommunication

Union)

– http://www.itu.int/rec/T-REC-M.3050/en

Estándares Internacionales– Seguridad

• ISO 27001: Information technology - Securitytechniques - Information security managementsystems – Requirements

• ISO 27002: Information technology - Security• ISO 27002: Information technology - Securitytechniques - Code of practice for informationsecurity management

• ISO 27006: Information technology - Securitytechniques - Requirements for bodies providingaudit and certification of information securitymanagement systems

Estándares Internacionales– Gestión del Riesgo

• M_o_R: Management of Risk– http://www.apmgroup.co.uk/M_o_R/MoR_Home.asp

– Buenas prácticas en Desarrollo de software• SWEBok (Software Engineering Body of

Knowledge)– www.swebok.org

Estándares Internacionales asociados a gobernabilidad de TI

ITIL / ISO 20000

CMMI-DEV

PMBOK –PRINCE

2

Entrega del servicio

Entrega de la solución

Gestión de Proyectos

COBITCMMI-ACQ

CMMI-SVCeTOM

ISO 17799 -27001

2

Entrega del servicioEntrega del servicio

Entrega de la solución

Entrega de la solución

Seguridad de la Información

3. Administración de Servicios de la Tecnología de la

InformaciónInformación(ISO 20000)

Administración de servicios

Qué es un servicio?

Un servicio significa entregar valor a losclientes facilitando los resultados que losclientes quieren alcanzar sin tener la propiedadde los costos y de los riesgos específicos.

Administración de servicios

¿Qué es administración/gestión del servicio?

Es un conjunto de capacidadesEs un conjunto de capacidadesorganizacionales para proveer valor alos clientes en la forma de servicios.

Administración de servicios

Entradas• Recursos Administración del

Salidas• Servicios que proveen • Recursos

• Capacidades del proveedor de servicios

Administración del Servicio

• Servicios que proveen valor al cliente

ISO 20000 y Administración del Servicio

“Línea de base acerca de cómo laorganización interna de TI puedeorganización interna de TI puededemostrar al negocio que susprocesos de servicio representan lasmejores prácticas y se estándesempeñando adecuadamente”

ISO 20000 y Administración del Servicio

La ISO 20000 es una de las últimas Normaspublicadas por la ISO (International Organizationfor Standarization) y que promueve la adopciónfor Standarization) y que promueve la adopciónde un Modelo de Procesos integrados destinadoa mejorar la eficacia en la prestación de losservicios tecnológicos y establece lasdirectrices para una Gestión de Servicios de ITde calidad.

RELACIÓN ENTRE ISO 20000 E ITIL

ISO 20000 ITIL

Ha sido alineado al marco de trabajo deITIL® definido en los libros

Cubre de manera explícita todos losprocesos de ITIL® definidos en los

ITIL® es un grupo de mejores prácticas,las cuales consisten en un grupo formalde especificaciones que unaorganización debe satisfacer para queprocesos de ITIL® definidos en los

libros, pero también cubre procesos quese incluyen parcialmente en laspublicaciones de ITIL®.

organización debe satisfacer para quepueda entregar servicio de alta calidad.

Certifica Empresas Certifica Personas

En general, puede asegurarse que ISO/IEC 20000 e ITIL® son complementarios.De hecho, las organizaciones que los administran trabajan de manera conjunta a finde asegurar la consistencia y armonía entre ellos.

ISO 20000 VS ITIL

Todas las organizaciones deberíantener presente que uno de los objetivosfundamentales del Modelo ITIL y porfundamentales del Modelo ITIL y portanto, de ISO 20000 es validar lamejora continua de la calidad de lagestión de los servicios.

Certificación

La certificación puede convertirse enun requisito imprescindible para poderhacer negocios con organizacioneshacer negocios con organizacionestales como entidades gubernamentaleso empresas que subcontratan serviciostecnológicos

EL PROCESO DE CERTIFICACIÓN

PREPARACIÓN INVESTIGACIÓNPREPARACIÓN

PREVIAAUDITORÍA

POSTAUDITORÍA

Revisión de la documentaciónSimulación de la auditoría

Elaborar documentosImplementarlosObtener RegistrosEvaluaciones internas

Seleccionar el evaluadorConfirmar AlcancePedir certificaciónPreparar la Organización

Simulación de la auditoríaCorreccionesOrganizar Auditoría

Acordar fecha, ubicaciones, etc.Reunión inicialRevisión de la documentaciónEvaluación detallada de procesosReunión de conclusiones

Seguimiento de resultadosObtener certificadoEvaluaciones internasMantenimiento anual