Download - Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Transcript
Page 1: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Facilitando el Gobierno Corporativo de TI mediante

soluciones Aranda Software

Alejandro Cañón Consultor de Preventa

Page 2: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Agenda • Contexto: El Gobierno Corporativo de TI • COBIT®: RoadMap hacia el Buen Gobierno de TI • COBIT®: Publicaciones • Principios de COBIT® • Área de Proceso n° 1 (EDM): • Área de Proceso n° 2 (APO): • Área de Proceso n° 3 (BAI): • Área de Proceso n° 4 (DSS): • Área de Proceso n° 5 (MEA): • Relación entre COBIT® y otras metodologías • Resumen: Cómo apoyan las soluciones Aranda en la habilitación de

iniciativas de gobierno corporativo de TI

Page 3: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Contexto: El Gobierno Corporativo de TI

Dentro de las tendencias en la gestión de TI, surgen con fuerza las iniciativas de Gobierno Corporativo dentro de las organizaciones, principalmente debido a requerimientos normativos y de regulación. Cómo abordarlas y no morir en el intento?

Buenas Prácticas

Compliance

El Negocio y las TI

Qué sigue?

Page 4: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

COBIT® 5: RoadMap hacia el buen Gobierno TI Es el marco de referencia aceptado globalmente y definido como un set de herramientas, procesos, metodologías, etc… que aseguran que TI opera eficientemente. COBIT® provee orientaciones para que la administración ejecutiva (Dirección) pueda gobernar las TI dentro de la empresa.

Cumplimiento

Mejora Continua

Procesos

COBIT® busca enfocar el Gobierno y Gestión de TI hacia:

Page 5: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

COBIT® 5: Publicaciones El marco de trabajo para el Gobierno y Gestión de TI COBIT® 5 (Control Objectives for Information and Related Technology) se encuentra publicado en los siguientes documentos.

COBIT® 5: Control Objectives for Information and Related Technology

COBIT® 5:

Marco de Trabajo

Junio 2012

COBIT® 5:

Guías

Catalizadoras

- Procesos

(Junio 2012)

- Información

(En desarrollo)

COBIT® 5:

Guías

Profesionales

- Implementación

(Junio 2012)

- Riesgos, Seguridad TI

- Aseguramiento

(En desarrollo)

COBIT® 5:

Otros Documentos

- Guías

Complementarias

- Traducciones

- Programa de

Evaluación

(Junio 2012)

Page 6: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

COBIT® 5: Principios y Facilitadores COBIT 5 reúne los cinco principios que permiten a la empresa construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores ("Enablers"), que optimizan la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas.

© COBIT 5 Framework, 2012

Page 7: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

COBIT® 5: Gobierno y Gestión COBIT 5 establece una clara diferencia entre Gobierno y Gestión.

© COBIT 5 Framework, 2012

Page 8: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Procesos de Gobierno de TI (EDM) El dominio de procesos de Gobierno de TI – Evaluate, Direct and Monitor (Evaluar, Orientar y Supervisar) de COBIT® asegura que los objetivos corporativos son alcanzados mediante la evaluación de las necesidades de los interesados, la orientación a través de la priorización y toma de decisiones; y la supervisión del progreso, cumplimiento y rendimiento contra lo acordado con la dirección.

EDM01: Asegurar, establecer el Marco de Gobierno

EDM02: Asegurar la entrega de Beneficios

EDM03: Asegurar la Optimización de Riesgos

EDM04: Asegurar la Optimización de los Recursos

EDM05: Asegurar transparencia hacia los Interesados

• Evaluar el sistema de Gobierno de TI • Dirigir el sistema de Gobierno de TI • Monitorear el sistema de Gobierno de TI

• Evaluar la optimización de valor • Dirigir la optimización de valor • Monitorear la optimización de valor

• Evaluar la Gestión de Riesgos • Dirigir la Gestión de Riesgos • Monitorear la Gestión de Riesgos

• Evaluar los requerimientos de reportes hacia los interesados

• Orientar la comunicación y reportes hacia los interesados

• Monitorear la comunicación con los interesados

• Evaluar la Gestión de Recursos • Dirigir la Gestión de Recursos • Monitorear la Gestión de Recursos

Page 9: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Procesos de Gestión de TI (APO) El dominio de procesos de Gestión de TI - Align, Plan and Organize (Alinear, Planear y Organizar) de COBIT® abarca el uso de la información y la tecnología, y cómo pueden ser usados de mejor forma en una organización para ayudar a alcanzar las metas y objetivos de la misma.

APO02: Gestionar la Estrategia

APO03: Gestionar la Arquitectura

APO04: Gestionar la Innovación

APO05: Gestionar la Cartera

APO10: Gestionar Proveedores

APO11: Gestionar Calidad

APO12: Gestionar Riesgos

APO13: Gestionar Seguridad

APO01: Admin. el Marco de Gestión de TI

APO06: Gestionar Presupuesto y Costos

APO07: Gestionar Recursos Humanos

APO08: Gestionar Relaciones

APO09: Gestionar Acuerdos de Servicio

• Definir la Estructura Organizacional • Definir Roles y Responsabilidades • Comunicar la dirección y objetivos

de la administración • Definir la propiedad de los datos y

sistemas • Gestionar la Mejora Continua de los

Procesos • Mantener cumplimiento con

Políticas y Procedimientos

• Entender la dirección corporativa • Evaluar el entorno, capacidades y

rendimiento actual • Definir las capacidades de TI

esperadas • Realizar un Gap Analysis • Definir el Plan Estratégico y Hoja de

Ruta • Comunicar la estrategia y dirección

de TI

• Desarrollar la visión de arquitectura empresarial

• Definir la arquitectura de referencia • Seleccionar oportunidades y

soluciones • Definir la implementación de la

arquitectura • Proveer servicios para la

arquitectura empresarial

• Crear un entorno conducente a la Innovación

• Mantener el entendimiento del ambiente empresarial

• Monitorear y revisar el mercado de la Tecnología

• Evaluar el potencial de ideas y tecnologías emergentes

• Recomendar y monitorear iniciativas de innovación

• Establecer el mix de inversiones a realizar

• Determinar la disponibilidad y fuentes de fondos

• Evaluar y seleccionar programas donde invertir

• Monitorear, optimizar el rendimiento de la inversión

• Mantener la cartera • Gestionar los beneficios

• Gestionar Finanzas y Contabilidad • Priorizar la asignación de recursos • Crear y mantener presupuestos • Modelar y asignar costos • Gestionar los costos

• Mantener el staff adecuado • Identificar personal clave de TI • Mantener las habilidades y

competencias del personal • Evaluar el rendimiento de los

empleados • Planificar y monitorear el uso de los

recursos humanos • Gestionar staff subcontratado

• Entender las expectativas del negocio

• Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio

• Gestionar la relación con el negocio • Coordinar y comunicar • Proveer entrada a la mejora

continua de los servicios TI

• Identificar servicios de TI • Catalogar servicios de TI • Definir y preparar Acuerdos de

Servicio • Monitorear y reportar los Niveles de

Servicio • Revisar los Acuerdos de Servicio y

Contratos

• Identificar y evaluar los proveedores, los contratos y relaciones actuales

• Seleccionar proveedores • Gestionar contratos y relaciones con

proveedores • Gestionar el riesgo de los

proveedores • Monitorear el cumplimiento y

rendimiento de los proveedores

• Establecer un Sistema de Gestión de la Calidad

• Definir y gestionar estándares, prácticas y procedimientos de calidad

• Enfocar la Gestión de Calidad hacia los clientes

• Integrar la Gestión de Calidad en las soluciones de Entrega/Soporte

• Mantener la Mejora Continua

• Obtener información • Analizar los riesgos • Mantener un perfil de Riesgos • Expresar los riesgos • Definir un portfolio de acciones de

Gestión de Riesgos • Responder a los riesgos

• Establecer y mantener un ISMS • Definir y gestionar un plan de

tratamiento de riesgos de Seguridad de Información

• Monitorear y revisar el ISMS

IT Services

Aranda

Service Desk

Reporting Services

Aranda Dashboards

Aranda Query Manager

Page 10: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Procesos de Gestión de TI (BAI) El dominio de procesos de Gestión de TI - Build, Acquire and Implement (Construir, Adquirir e Implementar) de COBIT® cubre la identificación de los requerimientos de TI, la adquisición de la tecnología y su implementación dentro de los procesos de negocio en la organización.

BAI01: Gestionar Programas y Proyectos

BAI02: Gestionar Definición de Requerimientos

BAI03: Gestionar la Ident. Y Constr. de Soluciones

BAI04: Gestionar la Disponibilidad y Capacidad

BAI05: Gestionar la Introducción de Cambios Organiz.

• Mantener una aprox. estándar en la gestión de programas y proyectos

• Gestionar el compromiso de los interesados

• Iniciar proyectos y programas • Planificar proyectos • Monitorear y controlar proyectos • Cerrar proyectos y programas

• Definir y mantener los requerimientos funcionales y técnicos

• Realizar estudios de factibilidad y formular alternativas de solución

• Gestionar el riesgo de los requerimientos • Obtener aprobación de los requerimientos y sus

soluciones.

• Diseño de soluciones (alto nivel/componentes) • Desarrollo de soluciones • Adquisición de componentes de solución • Construcción de soluciones • Aseguramiento de Calidad en soluciones • Pruebas de las soluciones • Mantener las soluciones

• Evaluar la capacidad, rendimiento y disponibilidad actual, crear un Baseline

• Evaluar el impacto en el Negocio • Planificar los servicios nuevos y/o modificados • Monitorear y revisar la disponibilidad y

capacidad • Investigar y conducir issues sobre capacidad,

rendimiento y disponibilidad

• Establecer los deseos de cambio organizacionales

• Formar un equipo de implementación efectivo • Comunicar la visión deseada • Empoderar a los roles, identificar ganancias a

corto plazo (Quick Wins) • Habilitar la operación y el uso • Implementar los cambios organizacionales • Sostener los cambios organizacionales

BAI06: Gestionar Cambios

BAI07: Gestionar Aceptación y Transición Cambios

BAI08: Gestionar el Conocimiento

BAI09: Gestionar los Activos

BAI10: Gestionar la Configuración

• Evaluar, priorizar y autorizar peticiones de cambio

• Gestionar cambios de emergencia • Seguimiento y Reporte de Estado de los

Cambios • Cerrar y documentar los cambios

• Establecer un Plan de Implementación • Planear conversión en procesos, sistemas

y datos • Planear Pruebas de Aceptación • Establecer un Entorno de Pruebas • Promover los cambios a Producción • Realizar Revisión Post-Implementación

• Nutrir y facilitar una cultura de intercambio del conocimiento

• Identificar y clasificar las fuentes de información

• Organizar y contextualizar la información hacia el conocimiento

• Usar y compartir el conocimiento • Evaluar y retirar la información

• Identificar y registrar los activos actuales • Gestionar los activos críticos • Gestionar el ciclo de vida de los activos • Optimizar el costo de los activos • Gestionar licencias

• Establecer y mantener un Modelo de Configuración

• Establecer y mantener un Repositorio y Baseline de Configuración

• Mantener y controlar ítems de configuración

• Producir reportes de estado y configuración

• Verificar y revisar la integridad del Repositorio de Configuración

Device Management

Aranda Asset

Management

Aranda SW

Delivery

Aranda SW

Metrix

Aranda Power

Management

Aranda Patch

Management

IT Services

Aranda

Service Desk

Aranda

Self Service

Aranda

CMDB

Page 11: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Procesos de Gestión de TI (DSS)

DSS01: Gestionar las Operaciones

DSS02: Gestionar las Sol. Serv e Inc.

DSS03: Gestionar los Problemas

DSS04: Gestionar la Continuidad

DSS05: Gestionar los serv. Seguridad

DSS06: Gestionar los Controles en los Procesos de Negocio

El dominio de procesos de Gestión de TI - Deliver, Service and Support (Entregar, Dar Servicio y Soporte) de COBIT® se enfoca en los aspectos de la entrega de TI. Cubre áreas como la ejecución de las aplicaciones dentro de los sistemas TI y sus resultados, así como los procesos de soporte que habilitan para una ejecución efectiva y eficiente de estos sistemas.

• Ejecutar procedimientos operacionales • Gestionar servicios de TI externalizados • Monitorear la infraestructura TI • Gestionar el ambiente de TI • Gestionar las instalaciones de TI

• Definir esquemas de clasificación de Incidentes y Requerimientos

• Registrar, clasificar y priorizar Incidentes y Requerimientos

• Verificar, aprobar y cumplir con los Requerimientos

• Investigar, diagnosticar y asignar Incidentes • Resolver y recuperar a partir de Incidentes • Cerrar Incidentes y Requerimientos • Seguimiento de Estado y Reportes

• Identificar y clasificar Problemas • Investigar y diagnosticar Problemas • Generar Errores Conocidos • Resolver y cerrar Problemas • Realizar Gestión Proactiva de Problemas

• Definir la Política de Continuidad del Negocio, objetivos y Alcance

• Mantener una Estrategia de Continuidad • Desarrollar e Implementar una respuesta de

Continuidad del Negocio • Practicar, probar y revisar el BCP • Mantener y mejorar el BCP • Realizar entrenamientos sobre el BCP • Gestionar los ambientes de respaldo • Realizar revisión post-ejecución BCP

• Proteger contra el Malware • Gestionar la Seguridad de Redes y Conectividad • Gestionar la Seguridad de Punto Final • Gestionar la Identidad de Usuarios y Accesos

Lógicos • Gestionar el Acceso Físico a los activos de TI • Gestionar los Documentos Sensibles y los

dispositivos de Salida de Información • Monitorear la Infraestructura por Eventos

relacionados a Seguridad

• Alinear las actividades de control dentro de los procesos de negocio, con los obj. de la Empresa

• Controlar el procesamiento de la Información • Gestionar Roles, Responsabilidades, Privilegios

de Acceso y Niveles de Autoridad • Gestionar Errores y Excepciones • Asegurar la trazabilidad de la información y sus

responsables • Asegurar activos de información

IT Services

Aranda

Service Desk

Aranda

Self Service

Aranda

Virtual Support

Device Management

Aranda Asset

Management

Aranda

CMDB

Security Management

Aranda 360

Endpoint Security

Page 12: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Procesos de Gestión de TI (MEA) El dominio de procesos de Gestión de TI – Monitor, Evaluate and Assess (Supervisar, evaluar y valorar) de COBIT® cubre la estrategia de la organización en evaluar sus necesidades y si los sistemas/servicios de TI siguen cumpliendo los objetivos para los cuales fueron diseñados y los controles necesarios con respecto a los requerimientos regulatorios.

MEA01: Monitorear, evaluar y valorar el desempeño y cumplimiento

• Establecer una aprox. del monitoreo • Definir objetivos de rendimiento • Recolectar datos • Analizar y reportar rendimiento • Asegurar la implementación de acciones

correctivas

• Identificar los requerimientos externos de cumplimiento

• Optimizar la respuesta a los requerimientos externos

• Confirmar el cumplimiento con los requerimientos externos

• Obtener aseguramiento de los requerimientos externos

• Monitorear los controles internos • Revisar la efectividad de los controles en

los procesos de negocio • Realizar auto-evaluación de los controles • Identificar y reportar deficiencias en los

controles • Planificar iniciativas de aseguramiento • Ejecutar iniciativas de aseguramiento

MEA02: Monitorear, evaluar y valorar el sistema de control interno

MEA03: Monitorear, evaluar y valorar el cumplimiento con req. externos

Reporting Services

Aranda Dashboards

Aranda Query Manager

Page 13: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

COBIT ® y otras Metodologías de Gestión TI Las organizaciones que han adoptado alguna metodología, estándar y/o marco de buenas prácticas de Gestión de TI encontrarán en COBIT una aproximación rápida y simplificada hacia el Gobierno de TI.

© COBIT 5 Framework, 2012

Page 14: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

Automatizar los procesos de ISO/IEC 20000 Los escenarios de las organizaciones en cuanto a las TI son complejos por definición, no solamente en términos de la infraestructura a administrar sino en cuanto a los procesos requeridos. En este contexto, la implementación de procesos manuales no es viable, por lo que se sugiere la adopción de herramientas que automaticen y aseguren el cumplimiento de la ISO/IEC 20000.

Garantizar la integración

de los procesos

Asegurar que los

procesos se ejecuten

Facilitar el cumplimiento con la norma

Ayudar a la reducción de

costos

Acelerar la implantación

de ITIL®

Page 15: Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI mediante soluciones Aranda SOTWARE

¡Muchas gracias por su tiempo!