1

IT Governance

Bibliografía:

Harris, M. - Herron, D. - Iwanicki, S. - The Business Value of IT - CRC Press – 2008.

Documento Cobit 4.1

2

COBIT

• Control OBjectives for Information and related Technology

• Mission: “to research, develop, publicize and promote an authoritative, up-to-date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors.”

• Cobit es un marco de referencia y un juego de herramientas que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados.

• Cobit permite el desarrollo de políticas claras y de buenas prácticas para control de TI en de las organizaciones. Además siempre se actualiza y armoniza con otros estándares.

3

COBIT – Principios básicos

4

COBIT - Definición Objetivos y Arquitectura para IT

5

COBIT - Organización

• 34 high level processes

• 210 control objectives

• 4 domains: – Planning and Organization (PO)– Acquisition and Implementation (AI)– Delivery and Support (DS)– Monitoring and Evaluation (ME).

6

COBIT – Dominios interrelacionados

7

COBIT - PO

• PO1 -Define a Strategic IT Plan and direction

• PO2 -Define the Information Architecture

• PO3 -Determine Technological Direction

• PO4 -Define the IT Processes, Organization and Relationships

• PO5 -Manage the IT Investment

• PO6 -Communicate Management Aims and Direction

• PO7 -Manage IT Human Resources

• PO8 -Manage Quality

• PO9 -Assess and Manage IT Risks

• PO10 -Manage Projects

8

COBIT - AI

• AI1 -Identify Automated Solutions

• AI2 -Acquire and Maintain Application Software

• AI3 -Acquire and Maintain Technology Infrastructure

• AI4 -Enable Operation and Use

• AI5 -Procure IT Resources

• AI6 -Manage Changes

• AI7 -Install and Accredit Solutions and Changes

9

COBIT - DS

• DS1 -Define and Manage Service Levels

• DS2 -Manage Third-party Services

• DS3 -Manage Performance and Capacity

• DS4 -Ensure Continuous Service

• DS5 -Ensure Systems Security

• DS6 -Identify and Allocate Costs

• DS7 -Educate and Train Users

• DS8 -Manage Service Desk and Incidents

• DS9 -Manage the Configuration

• Ds10 -Manage Problems

• DS11-Manage Data

• DS12-Manage the physical enviroment

• DS13 -Manage Operations

10

COBIT - ME

• ME1 -Monitor and Evaluate IT Processes

• ME2 -Monitor and Evaluate Internal Control

• ME3 -Ensure Regulatory Compliance

• ME4 -Provide IT Governance

11

COBIT

• Ejemplo con documento

12

COBIT - Beneficios

Algunos beneficios de implementar COBIT en organizaciones:

• Mejor alineación entre TI y el negocio

• Visión entendible de lo que hace TI

• Propiedad y responsabilidades claras

• Aceptación general de terceros y reguladores

• Entendimiento compartido entre todos los interesados

13

ITIL - Information Technology Infraestructure Library

• Biblioteca de Infraestructura de IT

• Conjunto de buenas prácticas.

• Proponen una forma de resolver las necesidades del negocio, administrar activos tecnológicos, manejar los cambios y la seguridad.

• Es un conjunto de libros que describen cómo los procesos, pueden ser optimizados, y cómo la coordinación entre ellos puede ser mejorada.

14

ITIL

• Soporte del Servicio– Todos los aspectos que garanticen continuidad, disponibilidad y

calidad del servicio prestado al usuario.

– Procesos:1. Función Service desk.

2. Gestión de Incidentes.

3. Gestión de Problemas.

4. Gestión de Cambios.

5. Gestión de Configuraciones.

6. Gestión de Entregas.

15

ITIL – Función Service Desk

• Representa al proveedor del servicio IT ante el Cliente o el Usuario

• Opera sobre el principio de que la satisfacción y la percepción del Cliente son críticas.

• Debe conjugar personas, procesos y tecnología.

16

ITIL – Gestión de Incidentes

• Incidente: “Cualquier suceso que no forme parte del funcionamiento estándar de un servicio y que cause, una interrupción o una reducción de la calidad de este servicio”.

• Componentes: – Detección y registro del Incidente – Clasificación y soporte inicial– Investigación y diagnóstico– Resolución y restauración– Cierre del Incidente– Titularidad, monitorización, seguimiento y comunicación del

incidente.

17

ITIL – Gestión de Incidentes

• Objetivo: Restaurar el funcionamiento normal del servicio tan rápido como sea posible y minimizar el impacto negativo sobre el negocio, garantizando, de este modo, que se mantiene el más alto nivel de calidad y disponibilidad del servicio.

• El “funcionamiento normal del servicio” se define aquí como funcionamiento del servicio dentro de los límites del Acuerdo de Nivel de Servicio (SLA).

18

ITIL – Gestión de Problemas

• Un “Problema” es la causa desconocida que subyace a uno o más Incidentes, y un “error conocido” es un Problema que ha sido diagnosticado con éxito y para el cual se ha identificado una “solución temporal”

• Objetivo: Minimizar el impacto negativo que tienen sobre el negocio los Incidentes y Problemas causados por errores en la infraestructura IT, y prevenir la recurrencia de Incidentes relacionados con esos errores.

19

ITIL – Gestión de Problemas

• El proceso de Gestión de Problemas trata de 2 aspectos:

– Reactivo: solucionar Problemas como respuesta a uno o más Incidentes.

– Proactivo: identificar y solucionar Problemas y errores conocidos antes de que ocurran los Incidentes.

20

ITIL – Gestión de Cambios

• Los cambios surgen en general como resultado de problemas, pero muchos cambios pueden ser resultado de buscar ventajas de manera proactiva, como reducir costos o mejorar los servicios.

• Objetivo: El objetivo del proceso de Gestión de Cambios es minimizar el impacto sobre la calidad del servicio producidos por los incidentes derivados de los cambios y, por consiguiente, mejorar el funcionamiento diario de la organización.

21

ITIL – Gestión de Cambios

• La Gestión de Cambios es responsable de gestionar los procesos de Cambio que impliquen:

– Hardware

– Software y equipos de comunicaciones

– Sistemas de software

– Aplicaciones software en producción

– Documentación y procedimientos asociados con la ejecución, soporte y mantenimiento de los sistemas en producción.

22

ITIL – Gestión de Configuraciones

• Los negocios necesitan que los servicios IT suministrados sean de calidad y económicos.

• La Gestión de Configuraciones ofrece un modelo lógico de la Infraestructura o del servicio mediante la identificación, control, mantenimiento y verificación de las versiones de los Elementos de Configuración (CIs) existentes.

23

ITIL – Gestión de Configuraciones

• Actividades básicas:– Planificación: planificación y definición de los propósitos,

ámbito, objetivos, políticas y procedimientos de la Gestión de Configuraciones.

– Identificación: identificación de las estructuras de configuración de todos los elementos de configuración (CIs) de la infraestructura IT, incluyendo titular, relaciones y documentación de la configuración.

24

ITIL – Gestión de Configuraciones

• Actividades básicas:– Control: asegurarse de que sólo se aceptan y registran los CIs

autorizados e identificables. Garantizar que no se añade, modifica, cambia o elimina ningún CI sin la documentación de control apropiada.

– Informe de estado: informar todos los datos actuales e históricos relacionados con cada CI.

– Verificación y auditoria: realizar revisiones e inspecciones para verificar la existencia física de los CIs y comprobar que estén registrados correctamente en el sistema de Gestión de Config.

25

ITIL – Gestión de Entregas

• En un entorno distribuido pueden estar implicados en la Entrega de software y hardware, muchos proveedores y suministradores de servicios.

• La Gestión de la Entrega debe asegurarse de que se analizan globalmente todos los aspectos, tanto técnicos como no técnicos, que afecten a una Entrega.

• Objetivos:– Planificar y supervisar el paso a producción con éxito del SW

y HW relacionado– Diseñar e implementar procedimientos eficientes para la

distribución e instalación de los Cambios en los sistemas IT

26

ITIL – Gestión de Entregas

• Objetivos: (cont)– Asegurarse de que los cambios en el software y el hardware se registran,

son seguros y que sólo se instalan versiones correctas, autorizadas y probadas

– Comunicarse con el Cliente y gestionar sus expectativas

– Asegurarse de que las copias originales de todo el software están seguras en la Biblioteca de Software Definitivo (DSL) y de que se actualice la Base de Datos de la Gestión de Configuraciones (CMDB)

– Asegurarse de que todo el hardware puesto en producción o modificado, es seguro y puede ser seguido, utilizando los servicios de Gestión de la Configuración.