p. 1

sdso 4.1.5.5cso 4.3.5.1ai1 identificar soluciones automatizadas

[close]

p. 2

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa el it governance institute® tm el it governance institute itgi www.itgi.org es una entidad de investigación independiente y sin fines de lucro que proporciona orientación para la comunidad global de negocios relacionada al gobierno de activos de ti el itgi fue establecido por isaca en 1998 para ayudar a los ejecutivos y a profesionales de ti a asegurar que las tecnologías de información entreguen valor y mitiguen sus riesgos a través del alineamiento con los objetivos de la empresa que los recursos de ti se asignen apropiadamente y que se mida el desempeño de ti el itgi que desarrolló cobit® control objectives for information and related technology y val ittm ofrece investigación original y casos de estudio para ayudar a los líderes de las empresas y a sus consejos directivos en el desempeño de sus responsabilidades de gobierno de ti y a los profesionales de ti en la entrega de servicios de valor agregado la oficina gubernamental de comercio la misión de la oficina gubernamental de comercio ogc www.ogc.gov.uk es trabajar con organizaciones del sector público para ayudarlos a lograr eficiencias valor por las inversiones en actividades comerciales y mejorar el éxito de los programas y proyectos la ogc soporta el logro de estos objetivos a través de la concentración de sus esfuerzos en un amplio rango de programas de mejoramiento a través de tres actividades significativas en organizaciones del sector público eficiencia gestión de proyectos y programas y compras la ogc instrumenta este trabajo a través de la tso the stationery office límite de responsabilidad el itgi y la ogc diseñaron y crearon esta publicación titulada alineando cobit® 4.1 itil® v3 y iso/iec 27002 en beneficio de la empresa la obra principalmente como recurso educativo para directores de información la alta dirección y la gerencia de ti el itgi y la ogc declaran que no responde o garantiza que el uso de la obra asegure un resultado exitoso no deberá considerarse que la obra incluye toda la información los procedimientos o las pruebas apropiadas o excluye otra información procedimientos o pruebas que estén razonablemente dirigidas a la obtención de los mismos resultados para determinar la conveniencia de cualquier información procedimiento o prueba específica los directores de información la alta dirección y la gerencia de ti deberán aplicar su propio juicio profesional a las circunstancias de control específicas presentadas por los sistemas o entornos de tecnología de información particulares acuerdo de licencia de uso disclosure © 2008 itgi todos los derechos reservados no está permitido el uso copia reproducción modificación distribución exhibición almacenamiento en un sistema de recuperación de datos o transmisión en cualquier forma o por cualquier medio electrónico mecánico fotocopiado grabación u otro de ninguna parte de la presente publicación sin el previo consentimiento por escrito del itgi se permite la reproducción de determinadas partes de esta publicación sólo para el uso académico interno y no comercial y para acuerdos de asesoría y consultoría debiendo incluir el reconocimiento completo de la fuente del material no se otorga ningún otro derecho ni permiso respecto a este trabajo © crown copyright material 2008 publicada en conjunto con la ogc es reproducida con el permiso del controller de hmso y queen s printer para escocia isaca e itgi son marcas registradas de isaca cobit® es una marca registrada de isaca e itgi itil® es una marca registrada de la ogc en el reino unido y otros países it infrastructure library® es una marca registrada de la ogc en el reino unido y otros países copias de iso/iec 27002:2005 y todos los estándares iso pueden ser adquiridas en el american national standards institute ansi en http webstore.ansi.org teléfono +1.212.642.4980 bsi en el reino unido www.bsi-global.com/shop.html y en iso www.iso.org/iso/store.htm it governance institute 3701 algonquin road suite 1010 rolling meadows il 60008 usa phone +1.847.660.5700 fax +1.847.253.1443 e-mail info@itgi.org web site www.itgi.org oficina gubernamental de comercio rosebery court st andrews business park norwich norfolk nr7 0hs uk phone +44.845.000.4999 fax +44.160.370.4817 e-mail servicedesk@ogc.gsi.gov.uk web site www.ogc.gov.uk the stationery office st crispins duke street norwich nr3 1pd uk phone +44 0 1603.622211 fax +44 0 870.600.5533 e-mail:customer.services@tso.co.uk web site www.itil.co.uk alineando cobit® 4.1 itil® v3 y iso/iec 27002 en beneficio de la empresa impreso en los estados unidos de américa y publicado simultáneamente en las websites de itgi isaca ogc y tso en inglaterra y estados unidos de américa © 2008 it governance institute todos los derechos reservados 2

[close]

p. 3

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa agradecimientos el itgi desea reconocer a el equipo de desarrollo it governance institute gary hardy cgeit it winners south africa jimmy heschl cisa cism cgeit kpmg austria the stationery office jim clinch clinch consulting itil refresh chief editor formerly with ogc uk revisores expertos john w lainhart iv cisa cism cgeit ibm usa lucio molina focazzio cisa colombia robert e stroud ca inc usa sharon taylor aspect group inc canada wim van grembergen ph.d university of antwerp management school and it alignment and governance itag research institute belgium comité administrador de itgi lynn lawton cisa fbcs fca fiia kpmg llp uk presidente internacional george ataya cisa cism cgeit cissp ict control sa belgium vice presidente yonosuke harada cisa cism cais infocom research inc japan vice presidente howard nicholson cisa cgeit city of salisbury australia vice presidente jose angel peña ibarra cgeit consultoría en comunicaciones e info sa cv méxico vice presidente robert e stroud ca inc usa vice presidente kenneth l vander wal cisa cpa ernst young llp retired usa vice presidente frank yam cisa fhkcs fhkiod cia ccp cfe cfsa ffa focus strategic group hong kong vice presidente marios damianides cisa cism ca cpa ernst young llp usa past presidente internacional everett c johnson jr cpa deloitte touche llp jubilado usa past presidente internacional comité de gobierno de ti tony hayes fcpa queensland government australia chair sushil chatterji edutech enterprises singapore kyung-tae hwang cisa dongguk university korea john w lainhart iv cisa cism cgeit ibm business consulting services usa hugh penri-williams cisa cism ccsa cia glaniad 1865 eurl france eddy schuermans cisa pricewaterhousecoopers belgium gustavo adolfo solís montes cisa cism grupo cynthus méxico robert e stroud ca inc usa john thorp cmc i.s.p the thorp network inc canada wim van grembergen ph.d university of antwerp management school and it alignment and governance itag research institute belgium © 2008 it governance institute todos los derechos reservados 3

[close]

p. 4

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa comité de dirección cobit® robert e stroud ca inc usa chair gary s baker ca deloitte touche canada rafael eduardo fabius cisa republica afap sa uruguay erik guldentops cisa cism university of antwerp management school belgium jimmy heschl cism cisa cgeit kpmg austria debbie a lew cisa ernst young llp usa greta volders voquals belgium patrocinadores y afiliados itgi isaca chapters american institute of certified public accountants asis international the center for internet security commonwealth association for corporate governance inc fida inform information security forum information systems security association institut de la gouvernance des systemes d information institute of management accountants inc isaca itgi japan norwich university socitm performance management group solvay business school university of antwerp management school aldion consulting pte ltd analytix holdings pty ltd bwise b.v ca inc consult2comply hewlett-packard ibm itpreneurs nederlands b.v loglogic inc phoenix business and systems process inc project rx inc symantec corp truarx inc wolcott group llc world pass it solutions equipo de traducción y revisión en español francisco neira basso perú rubén uchima senaga perú alfredo carrasco k cisa perú pablo caneo gutiérrez cisa cgeit cobit foundations itil chile juan dávila ramírez cisa cism iso 27001 la perú © 2008 it governance institute todos los derechos reservados 4

[close]

p. 5

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa tabla de contenido 1 resumen ejecutivo 6 2 antecedentes 8 drivers del negocio para el uso de las mejores prácticas de ti 8 desafíos actuales 8 3 ¿por qué la alta dirección necesita conocer las mejores prácticas 9 4 ¿por qué las mejores prácticas son importantes para la empresa 10 las mejores prácticas y los estándares ayudan a posibilitar un gobierno eficaz de las actividades de ti 10 un marco de referencia de gestión de ti para apoyar a la empresa 11 los beneficios para la empresa 12 5 cobit itil e iso/iec 27002 lo que ofrecen y consideran 13 cobit 13 itil 14 iso/iec 27002 17 6 ¿cuál es la mejor forma de implementar cobit itil e iso/iec 27002 19 elaboración 19 priorización 20 planificación 20 evitar obstáculos 21 alinear las mejores prácticas 22 apéndice i mapeo de itil v3 e iso/iec 27002 con los objetivos de control de cobit 4.1 23 apéndice ii mapeo de los objetivos de control de cobit 4.1 con itil v3 60 apéndice iii mapeo de los objetivos de control de cobit 4.1 e itil v3 con iso/iec 27002 90 apéndice iv cobit y productos relacionados 129 © 2008 it governance institute todos los derechos reservados 5

[close]

p. 6

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa 1 resumen ejecutivo cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales en este sentido los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy útil cobit® e iso/iec 27002 para ayudar a definir lo que debería hacerse e itil proporciona el cómo para los aspectos de la gestión de servicios la creciente adopción de mejores prácticas de ti se explica porque la industria de ti requiere mejorar la administración de la calidad y la confiabilidad de ti en los negocios y para responder a un creciente número de requerimientos regulatorios y contractuales sin embargo existe el peligro de que las implementaciones de estas mejores prácticas potencialmente útiles puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas para ser más efectivos las mejores prácticas deberían ser aplicadas en el contexto del negocio enfocándose donde su utilización proporcione el mayor beneficio a la organización la alta dirección los gerentes auditores oficiales de cumplimiento y directores de ti deberían trabajar en armonía para estar seguros que las mejores prácticas conduzcan a servicios de ti económicos y bien controlados las mejores prácticas de ti posibilitan y soportan · · · · una mejor gestión de ti lo que es crítico para el éxito de la estrategia de la empresa un gobierno eficaz de las actividades de ti un marco de referencia eficaz para la gestión de políticas controles internos y prácticas definidas lo que es necesario para que todos sepan lo que hay que hacer muchos otros beneficios incluyendo ganancia de eficiencias menor dependencia de expertos menos errores mejora de la confianza de los socios de negocios y de reguladores este documento aplica en general a todas las mejores prácticas de ti pero se enfoca en tres prácticas y estándares específicos los que están siendo ampliamente adoptados a nivel global y que han sido actualizadas para incorporar las últimas versiones · · · itil v3 publicado por la ogc office of government commerce del gobierno británico para proporcionar un marco de referencia de mejores prácticas para la gestión de servicios de ti cobit ® 4.1 publicado por el itgi y posicionado como un marco de referencia de alto nivel para el control y el gobierno de ti iso/iec 27002:2005 publicado por iso international organization for standardization y por iec international electrotechnical commission derivado de la norma bs 7799 del gobierno británico renombrada iso/iec 17799:2005 para proporcionar un marco de referencia del estándar para gestión de seguridad de información las descripciones de cada práctica pueden ser encontradas en el cuerpo principal de este documento la implementación de las mejores prácticas debería ser consistente con el marco de control y la gestión de riesgos de la empresa apropiada para la empresa e integrada con otras metodologías y prácticas que estén siendo utilizadas los estándares y las mejores prácticas no son una panacea su efectividad depende de cómo se implementan y mantienen estas son mucho más útiles cuando son aplicadas como un bloque de principios y como un punto de partida para adaptar procedimientos específicos para evitar prácticas que nunca se pongan en ejecución shelfware la dirección y el staff deben entender lo que hay que hacer cómo hacerlo y porqué es importante hacerlo la implementación debe ser adaptada a la empresa priorizada y planificada para lograr su uso eficaz este documento describe algunos obstáculos que deberían ser evitados © 2008 it governance institute todos los derechos reservados 6

[close]

p. 7

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa para lograr el alineamiento de las mejores prácticas con los requerimientos del negocio se deberían utilizar procesos formales que soporten el buen gobierno de ti la ogc proporciona guías de gestión a través de sus herramientas successful delivery toolkit www.ogc.gov.uk/sdtoolkit prince2 como marco de referencia de las mejores prácticas para gestión de proyectos managing successful programmes msp y management of risk m_o_r® guidance for practitioners para gestión de riesgos ver www.best managementpractice.com el itgi proporciona it governance implementation guide using cobit and val it 2nd edition cobit puede ser utilizado en los más altos niveles de gobierno de ti proporcionando un marco de referencia global de control basado en el modelo de procesos de ti que el itgi pretende se pueda adaptar a cada empresa también hay una necesidad de procesos detallados y estandarizados para profesionales prácticas específicas y estándares como itil e iso/iec 27002 cubren áreas específicas y pueden ser mapeadas al marco de referencia cobit proporcionando así una jerarquía de materiales de orientación para entender mejor el mapeo entre itil iso/iec 27002 y cobit vea el apéndice i en donde cada uno de los 34 procesos y objetivos de control de cobit han sido mapeados a secciones específicas de itil e iso/iec 27002 el apéndice ii donde un mapeo inverso muestra cómo es que tópicos clave de itil v3 mapean a cobit 4.1 y el apéndice iii donde un mapeo inverso muestra cómo las clasificaciones de iso/iec 27002 mapean a cobit el itgi y la ogc continuarán actualizando sus guías para mejorar el alineamiento de la terminología y el contenido con otros documentos facilitando la integración y reflejando las mejores prácticas más recientes © 2008 it governance institute todos los derechos reservados 7

[close]

p. 8

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa 2 antecedentes este compendio de gestión es el resultado de un estudio conjunto iniciado por la ogc británica y el it governance institute en respuesta a la creciente importancia de las mejores prácticas de la industria de ti así como a la necesidad para los gerentes de ti y de staff de entender mejor el valor de las mejores prácticas de ti y cómo implementarlas su primera publicación data de noviembre de 2005 y fue actualizada en agosto de 2008 para reflejar los cambios en cobit 4.1 e itil v3 el itsmf it service management forum también apoyó en el estudio original la intención de este compendio es explicar el valor de las mejores prácticas de ti a los usuarios de negocios y a la alta dirección y cómo es que su armonización implementación e integración puede ser fácilmente realizada indicadores del negocio para el uso de las mejores prácticas de ti las mejores prácticas de ti son importantes debido a una serie de factores · los directorios y los gerentes demandan mejores retornos de las inversiones en ti por ejemplo ti entrega lo que el negocio necesita para incrementar el valor de los accionistas · preocupación sobre el creciente nivel de gastos de ti · la necesidad de cumplir los requisitos regulatorios para los controles de ti en áreas tales como la privacidad y el reporte financiero sarbanesoxley act y en sectores específicos como el financiero farmacéutico y de salud · la selección de proveedores de servicios y la gestión de servicios de outsourcing y compras · el incremento de complejidad en riesgos relacionados a ti como la seguridad de redes · las iniciativas de gobierno de ti que incluyen la adopción de marcos de referencia y mejores prácticas de control para ayudar a supervisar y mejorar las actividades críticas de ti para incrementar el valor del negocio y reducir sus riesgos · la necesidad de optimizar costos a través de enfoques estandarizados hasta donde sea posible en lugar de enfoques específicamente desarrollados · la creciente madurez y consecuente aceptación de prestigiosos marcos de referencia tales como itil information technology infrastructure library cobit control objectives for information and related technology iso/iec 27002 iso 9002 cmm® capability maturity model prince2 projects in controlled environments msp managing successful programmes m_o_r management of risk guidance for practitioners y pmbok® project management body of knowledge · la necesidad de las organizaciones por evaluar su desempeño respecto de estándares generalmente aceptados y respecto de sus pares benchmarking · declaraciones de analistas que recomiendan la adopción de mejores prácticas por ejemplo los marcos de referencia con herramientas sólidas son esenciales para asegurar que los recursos de ti estén alineados con los objetivos del negocio y que los servicios y la información satisfagan los requisitos de calidad financieros y de seguridad cobit e itil no son mutuamente excluyentes y pueden ser combinados para obtener un poderoso marco de referencia de mejores prácticas control y gobierno en la gestión de servicios de ti las empresas que quieren ubicar sus programas itil en el contexto de un amplio marco de referencia de gobierno y control deberían utilizar cobit 1 desafíos actuales el creciente uso de estándares y mejores prácticas ha generado nuevos desafíos y demandas por guías de implementación · creación de conciencia del propósito del negocio y los beneficios de estas prácticas · ayuda en la toma de decisiones sobre cuáles prácticas utilizar y cómo integrarlas con las políticas y los procedimientos internos · adaptación de estándares y mejores prácticas a los requerimientos específicos de la organización 1 esta nota corresponde a una investigación de gartner que fue emitida en junio de 2002 y aún tiene gran relevancia © 2008 it governance institute todos los derechos reservados 8

[close]

p. 9

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa 3 ¿por qué la alta dirección necesita conocer las mejores prácticas debido a su naturaleza técnica los estándares y las mejores prácticas de ti normalmente son conocidas por los expertos profesionales gerentes y asesores de ti quienes pueden adoptarlos y utilizarlos con la mejor intención sin embargo potencialmente no tienen un enfoque de negocio o no cuentan con la participación y la ayuda del cliente incluso en organizaciones donde se han implementado prácticas como cobit e itil algunos gerentes funcionales entienden poco acerca de su real propósito y no están preparados para influir sobre su utilización para obtener el máximo valor de las mejores prácticas para el negocio se necesita involucrar a los clientes de los servicios de ti dado que el uso eficaz de ti debería ser una experiencia colaborativa entre el cliente y los proveedores del servicio internos y externos donde el cliente fija los requerimientos otros grupos interesados tales como el directorio la alta dirección los auditores y los reguladores también tienen un gran interés ya sea en recibir o proporcionar la seguridad de que las inversiones en ti están debidamente protegidas y entregan valor la figura 1 resume quien tiene interés en la forma en que los estándares y las mejores prácticas de ti pueden ayudar a considerar los aspectos de gestión de ti figura 1 grupos de interés en aspectos de gestión de ti ¿quién tiene interés primario aspectos de alta gestión basados en cobit planificar y organizar ¿ti está alineada con las estrategias del negocio ¿la empresa está logrando el uso óptimo de los recursos internos y externos ¿todo el personal de la empresa entiende los objetivos de ti ¿se ha entendido el impacto de ti en los riesgos de la empresa ¿se ha establecido la responsabilidad de la gestión de los riesgos de ti ¿se han entendido y se están gestionando los riesgos de ti ¿la calidad de los sistemas es apropiada para las necesidades de la empresa adquirir e implementar ¿es probable que los nuevos proyectos entreguen soluciones que satisfagan las necesidades del negocio ¿es probable que los nuevos proyectos se entreguen a tiempo y dentro del presupuesto ¿los nuevos sistemas trabajarán correctamente cuando se implementen ¿los cambios serán realizados sin trastornar la actual operación del negocio entrega y soporte ¿los servicios de ti se entregan en línea con los requerimientos y las prioridades del negocio ¿están optimizados los costos de ti ¿el personal está capacitado para utilizar los sistemas de ti en forma productiva y segura ¿los sistemas de ti tienen adecuada confidencialidad integridad y disponibilidad monitorear y evaluar ¿se puede medir el desempeño de ti y detectar los problemas antes que sea demasiado tarde ¿los controles internos están operando eficazmente ¿la empresa está cumpliendo las disposiciones regulatorias ¿el gobierno de ti es eficaz alta dirección gerencias funcionales gerencia de ti cumplimiento auditoría © 2008 it governance institute todos los derechos reservados 9

[close]

p. 10

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa 4 ¿por qué son importantes las mejores prácticas para la empresa el uso efectivo de ti es crítico para el éxito de la estrategia de la empresa como se ilustra en el siguiente comentario el uso de ti tiene el potencial para ser el mayor impulsor de riqueza económica en el siglo 21 además de que ti ya es crítica para el éxito empresarial proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad e incluso hará aún más en el futuro ti también implica riesgos es evidente que en estos días de negocios globales la caída de los sistemas y las redes puede resultar muy costosa para cualquier empresa en algunas industrias ti es un recurso competitivo necesario para diferenciarse y obtener una ventaja competitiva mientras que en otras no sólo determina la prosperidad sino la supervivencia2 las mejores prácticas y los estándares ayudan a posibilitar un gobierno eficaz de las actividades de ti incrementalmente el uso de estándares y mejores prácticas tales como itil cobit e iso/iec 27002 está siendo conducido por requerimientos de negocio para mejoras de desempeño transparencia y control sobre actividades de ti el gobierno británico reconoció prontamente la importancia de las mejores prácticas de ti y por muchos años las desarrolló para guiar el uso de ti en las dependencias oficiales estas prácticas se han convertido en estándares de facto alrededor del mundo en sectores públicos y privados itil se desarrolló hace más de 15 años para documentar las mejores prácticas para la gestión de servicios de ti a través del aporte de expertos consultores y profesionales de la industria iso/iec 20000 que está alineado con itil reemplazó a bs 15000 en 2005 como un nuevo estándar global en gestión de servicios el marco it security code of practice desarrollado inicialmente con la ayuda de la industria se convirtió en bs 7799 y luego en iso/iec 17799 y ahora en iso/iec 27002 el primer estándar internacional de gestión de seguridad prince y ahora prince2 fue creada por la ccta central computer and telecommunications agency que ahora es la ogc para proporcionar mejores prácticas para gestión de proyectos la última actualización de prince2 data del año 2009 sin embargo los principios y contenidos principales no han variado a inicios de la década de los 90 isaca reconoció que los auditores quienes tenían sus propios checklist para evaluar la efectividad de los controles de ti hablaban en un lenguaje diferente a los profesionales de ti y a la plana gerencial en respuesta a esta brecha en la comunicación se creó cobit como un marco de referencia de control de ti para la gerencia funcional la gerencia de ti y para auditores basado en un grupo genérico de procesos de ti significativo para la gente de ti y con el tiempo para la gerencia las mejores prácticas en cobit representan un enfoque común para un buen control de ti a ser implementado por gerentes funcionales y de ti y a ser evaluadas sobre la misma base por los auditores a lo largo de los años cobit ha sido desarrollado como un estándar abierto3 y es cada vez más utilizado como un modelo de control para implementar y demostrar un gobierno efectivo de ti en 1998 isaca creó una institución afiliada el it governance institute para supervisar el mayor desarrollo de cobit y para mejorar la comunicación de mensajes relacionados con el gobierno de ti a los gerentes de los negocios y particularmente al directorio hoy como cada organización trata de entregar valor a través de ti a la vez que gestiona un complejo rango de riesgos relacionados a ti el uso efectivo de las mejores prácticas puede ayudar a evitar la reinvención de sus propias políticas y procedimientos optimizando el uso de escasos recursos de ti y reduciendo la incidencia de los mayores riesgos de ti tales como 2 3 itgi board briefing on it governance 2nd edition usa 2003 cobit no es un estándar oficial pero es referido así con frecuencia convirtiéndose en el marco de referencia de facto para el control y gobierno de ti © 2008 it governance institute todos los derechos reservados 10

[close]

p. 11

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa · · · · · proyectos fallidos inversiones perdidas brechas de seguridad fallas de los sistemas fallas de proveedores para entender y satisfacer los requerimientos de los clientes la ogc y el itgi están a la vanguardia de la difusión y entrega de material sobre mejores prácticas para hacer frente a estos y otros desafíos actuales un marco de referencia de gestión de ti para apoyar a la empresa las organizaciones que desean implantar las mejores prácticas de ti necesitan un marco de referencia de gestión eficaz que proporcione un enfoque general consistente y que sea probable asegurar resultados exitosos al utilizar ti para apoyar la estrategia de la empresa la ogc publica un portafolio integrado de guías para mejores prácticas gratuito para los usuarios finales que lo usan e implantan este portafolio comprende prince2 gestión de proyectos msp managing successful programmes itil gestión de servicios de ti y m_o_r gestión de riesgos mayores detalles pueden encontrarse en la website de productos ogc www.bestmanagementpractice.com otros tópicos y guías de gestión están disponibles en www.ogc.gov.uk/resource_toolkit.asp las páginas del sd toolkit de la website de ogc el itgi ha publicado las segundas ediciones de it governance implementation guide using cobit and val it una versión de implementación rápida titulada cobit ® quickstart así como cobit ® security baseline for implementing it security que contiene un mapeo a iso/iec 27002 todas estas publicaciones están alineadas con cobit 4.1 el itgi también brinda entrenamiento en la forma de utilización de los materiales cobit ofreciendo una versión en línea para ayudar a los usuarios a adaptar el material cobit para utilizarlos en sus propios ambientes sin embargo los usuarios necesitan más guías sobre la forma de integrar los principales marcos de referencia con otras prácticas y estándares en respuesta a esta necesidad se han realizado investigaciones para el mapeo de cobit con una amplia variedad de otras prácticas en el 2004 el itgi emprendió una iniciativa de armonización como parte de su plan de actualización de materiales cobit cobit está basado en marcos de referencia establecidos tales como cmm de sei software engineering institute iso 9000 itil e iso/iec 27002 sin embargo cobit no incluye tareas y pasos de procesos porque aunque está orientado a procesos de ti es un marco de referencia para gestión y control antes que un marco de referencia para procesos cobit se focaliza en lo que una empresa necesita hacer no cómo lo tiene que hacer y la audiencia objetivo es la alta gerencia los gerentes funcionales los gerentes de ti y los auditores itil está basado en la definición de procesos de mejores prácticas para la gestión y el soporte de servicios de ti antes que en la definición de un marco de control de amplio alcance se focaliza en el método y define un grupo más compacto de procesos existe material adicional en itil v3 que proporciona un contexto estratégico y de negocios para la toma de decisiones de ti y empieza describiendo el mejoramiento continuo del servicio como una actividad integral promoviendo el mantenimiento de la entrega de valor a los clientes debido a su alto nivel a la amplia cobertura y porque está basado en muchas prácticas existentes frecuentemente se refiere a cobit como un `integrador ubicando diferentes prácticas bajo un solo paraguas y tan importante como eso ayudando a enlazar estas varias prácticas de ti con los requerimientos del negocio ahora que estos estándares y mejores prácticas están siendo más utilizados en situaciones reales las experiencias maduran y las organizaciones se mueven desde un caótico enfoque propietario de ti hacia procesos definidos y gestionados © 2008 it governance institute todos los derechos reservados 11

[close]

p. 12

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa dado que el gobierno de ti el concepto y la práctica actual gana impulso y aceptación las mejores prácticas de ti estarán mejor alineadas con los requerimientos de gobierno y del negocio antes que a los requisitos técnicos el gobierno de ti se ocupa de estas principales áreas de actividad de ti de la siguiente manera · el alineamiento estratégico centrado en el alineamiento de ti con el negocio y con soluciones colaborativas · la entrega de valor concentrado en la optimización de costos y en la demostración del valor de ti · la gestión de riesgos considerando el resguardo de los activos de ti incluyendo la inversión en proyectos recuperación de desastres y la continuidad de las operaciones · la gestión de recursos optimizando el conocimiento y la infraestructura de ti · la medición del desempeño el seguimiento de la entrega de proyectos y la supervisión de servicios de ti un aspecto clave de cualquier iniciativa de gobierno de ti es la necesidad de definir los derechos para la decisión y la rendición de cuentas el logro de ambos cometidos en la teoría la organización está claramente definida y la práctica todos saben lo que tienen que hacer y cómo hacerlo requiere una cultura correcta políticas controles internos y prácticas definidas cobit ® 4.0 introdujo actividades clave y tablas raci4 para todos los procesos de ti a fin de ayudar a guiar los roles y responsabilidades para un gobierno de ti efectivo los beneficios para la empresa la adopción eficaz de las mejores prácticas ayudará a obtener valor de las inversiones de ti y los servicios de ti · mejorando la calidad la respuesta y la fiabilidad de las soluciones y los servicios de ti · mejorando la viabilidad previsibilidad y repetitividad de resultados de negocio exitosos · ganando la confianza y el creciente involucramiento de usuarios y patrocinadores del negocio · reduciendo riesgos incidentes y fallas en los proyectos · mejorando la habilidad del negocio para gestionar y supervisar la realización de beneficios de ti la empresa también se beneficia de la mejora de eficiencias y reducción de costos · evitando la reinvención de prácticas probadas · reduciendo la dependencia de expertos · incrementando el potencial del staff menos experto pero correctamente entrenado · superando silos verticales y comportamientos no deseados · incrementando la estandarización que conduzca a la reducción de costos · haciéndolo más fácil para aprovechar la ayuda externa a través del uso de procesos estandarizados en un clima de creciente regulación y preocupación sobre los riesgos relacionados a ti las mejores prácticas ayudarán a minimizar los aspectos de cumplimiento y la preocupación de los auditores · logrando el cumplimiento y la aplicación de controles internos de `práctica normal de negocios · demostrando adherirse a buenas prácticas aceptadas y probadas de la industria · mejorando la confianza y la seguridad de la dirección y los socios · generando respecto de los reguladores y otros supervisores externos adoptar las mejores prácticas también ayuda a fortalecer las relaciones proveedor/cliente resultando en obligaciones contractuales más fáciles de supervisar y reforzar armonizar contratos de outsourcing multi proveedor y mejorar la posición de mercado de aquellos proveedores de servicios que cumplen con estándares globalmente aceptados tales como iso/iec 20000 e iso/iec 27002 las tablas raci identifican quiénes son responsables responsables de dar cuenta consultados e informados en una determinada actividad responsible accountable consulted and informed 4 © 2008 it governance institute todos los derechos reservados 12

[close]

p. 13

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa 5 cobit itil e iso/iec 27002 lo que ofrecen y consideran cobit los ejecutivos necesitan la certeza de que pueden confiar en los sistemas de información y en la información producida por los sistemas y así obtener un retorno positivo de las inversiones en ti cobit permite que los ejecutivos de negocios entiendan mejor cómo dirigir y gestionar el uso de las ti en la empresa y el estándar de mejores prácticas que se espera de los proveedores de ti cobit proporciona las herramientas para dirigir y supervisar todas las actividades relacionadas con las ti cobit es un marco de referencia globalmente aceptado para el gobierno de ti basado en estándares de la industria y las mejores prácticas una vez implementado los ejecutivos pueden asegurarse de que se ajusta de manera eficaz con los objetivos del negocio y dirigir mejor el uso de ti para obtener ventajas comerciales cobit brinda un lenguaje común a los ejecutivos de negocios para comunicar las metas objetivos y resultados a los profesionales de auditoría informática y otras disciplinas cobit brinda las mejores prácticas y herramientas para el monitoreo y la gestión de las actividades de ti el uso de las ti es una inversión importante que debe ser gestionado cobit ayuda a los ejecutivos a comprender y gestionar las inversiones de ti durante su ciclo de vida y proporciona un método para evaluar si los servicios de ti y las nuevas iniciativas satisfacen los requisitos empresariales y sea probable que entreguen los beneficios esperados existe una tremenda diferencia entre las empresas que realizan una buena gestión de ti y las que no lo hacen o no pueden cobit permite el desarrollo de políticas claras y mejores prácticas para la administración de ti el marco ayuda a aumentar el valor obtenido de ti también ayuda a las organizaciones a gestionar los riesgos relacionados con ti y a asegurar el cumplimiento la continuidad seguridad y privacidad debido a que cobit es un conjunto de herramientas y técnicas probadas y aceptadas internacionalmente su implementación es una señal de buena gestión en una organización ayuda a los profesionales de ti y a usuarios de empresas a demostrar su competencia profesional a la alta dirección como ocurre con muchos procesos de negocio genéricos existen estándares y mejores prácticas de la industria de ti que las empresas deberían seguir cuando utilizan las ti cobit se nutre de estas normas y proporciona un marco para implementarlas y gestionarlas una vez que se identifican e implementan los principios clave de cobit para una empresa los ejecutivos ganan confianza en que la utilización de las ti puede ser gestionada de forma eficaz los ejecutivos de las empresas pueden esperar los siguientes resultados de la adopción de cobit · los gerentes y el staff de ti entenderán totalmente como es que el negocio y ti pueden trabajar en forma conjunta para la entrega exitosa de las iniciativas de ti · los costos totales del ciclo de vida de ti serán más transparentes y predecibles · ti ofrecerá información más oportuna y de mayor calidad · ti entregará proyectos de mejor calidad y más exitosos · los requisitos de seguridad y privacidad serán más claros y la implementación será monitoreada con mayor facilidad · los riesgos de ti serán gestionados con mayor eficacia · las auditorías serán más eficientes y exitosas · el cumplimiento de ti con los requisitos regulatorios serán una práctica normal de gestión © 2008 it governance institute todos los derechos reservados 13

[close]

p. 14

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa las versiones 4.x de cobit incluyen lo siguiente · marco de trabajo explica cómo es que cobit organiza la gestión del gobierno de ti los objetivos de control y las mejores prácticas de los procesos y dominios de ti y los relaciona con las necesidades del negocio el marco contiene un conjunto de 34 objetivos de control de alto nivel uno para cada proceso de ti agrupados en cuatro dominios planificar y organizar adquirir e implementar entregar y dar soporte monitorear y evaluar · las descripciones del proceso incluyen cada uno de 34 procesos de it cubriendo las áreas de responsabilidad de la empresa y de ti desde el principio hasta el final · los objetivos de control proveen los objetivos de gestión de las mejores prácticas genéricas para los procesos de ti · las directrices de gestión ofrecen herramientas para ayudar a asignar responsabilidades y medir el desempeño · el modelo de madurez proporciona perfiles de los procesos de ti que describen los posibles estados actuales y futuros las publicaciones adicionales de soporte están disponibles para ayudar en la orientación en la puesta en práctica lograr el aseguramiento y lidiar con aspectos específicos tales como la seguridad val it5 ha sido desarrollado para concentrarse específicamente en la entrega de valor del gobierno de ti para obtener información más completa y actualizada sobre cobit val it y productos relacionados casos de estudio oportunidades de entrenamiento boletines e información adicional específica visite www.itgi.org/cobit y www.itgi.org/valit itil hoy las organizaciones dependen de las ti para satisfacer sus objetivos corporativos y sus necesidades de negocios entregando valor a sus clientes para que esto ocurra de una forma gestionada responsable y repetible la empresa debe asegurar que los servicios recibidos de alta calidad de ti deben · · · · satisfacer las necesidades de la empresa y los requisitos de los usuarios cumplir con la legislación asignarse y entregarse de forma eficaz y eficiente revisarse y mejorarse de forma continua la gestión de servicios de ti se refiere a la planificación aprovisionamiento diseño implementación operación apoyo y mejora de los servicios de ti que sean apropiados a las necesidades del negocio itil proporciona un marco de trabajo de mejores prácticas integral consistente y coherente para la gestión de servicios de ti y los procesos relacionados la promoción de un enfoque de alta calidad para el logro de la eficacia y eficiencia del negocio en la gestión de servicios de ti itil intenta respaldar mas no fijar los procesos de negocio de una organización en este contexto la ogc no aprueba el término cumplimiento con itil el papel del marco de trabajo de itil es describir los enfoques las funciones los roles y procesos en los que las organizaciones pueden basar sus propias prácticas el rol de itil es brindar orientación en el nivel organizacional más bajo que pueda aplicarse debajo de ese nivel para implementar itil en una organización se requieren los conocimientos específicos de sus procesos de negocio para ajustar itil a fin de lograr una eficacia óptima es útil pensar en la estructura de gestión de servicios como una pirámide con el estándar internacional iso/iec 20000:2005 www.iso.org/iso/catalogue_detail?csnumber=41332 en la cima figura 2 se trata de una especificación formal y las organizaciones pueden obtener la acreditación para demostrar el cumplimiento con la norma por debajo de la cima está la capa de mejores prácticas de itil que ayuda a asegurar y demostrar que las disposiciones de la norma se están cumpliendo de manera similar los procesos de itil pueden ser utilizados para lograr y demostrar el cumplimiento con los objetivos de control cobit la función de los apéndices del presente documento es mostrar la relación entre las dos estructuras así que si itil es la capa intermedia la adaptación de itil para satisfacer las necesidades de una organización en particular es el nivel más bajo la base más amplia de la implementación de itil 5 itgi enterprise value governance of it investments the val it framework 2.0 2008 © 2008 it governance institute todos los derechos reservados 14

[close]

p. 15

alineando cobit® 4.1 itil® v3 e iso/iec 27002 en beneficio de la empresa figura 2 pirámide de gestión de servicios de ti en itil v3 el desarrollo más significativo ha sido el paso de un marco de trabajo basado en procesos a una estructura integral que refleje el ciclo de vida de los servicios de ti un ejemplo de uso frecuente es ver las fases operativas de diseño transición y operación como los radios de una rueda con la estrategia en el centro y la mejora continua del servicio alrededor del borde en este nuevo contexto los procesos clave se han actualizado pero más significativo aún itil ahora describe las funciones de gestión las actividades y la estructura organizativa de los servicios de ti además de los aspectos de aprovisionamiento y de estrategia así como la integración con el negocio si bien hay volúmenes complementarios con un público específico en mente la guía principal reside en cinco volúmenes disponibles por separado o como un conjunto los tópicos principales de itil se muestran en la figura 3 los vínculos de referencia son · service strategy ss www.bestmanagementpractice.com/officialbookshop/itservicemanagement itil/itilversion3/servicestrategy · service design sd www.bestmanagementpractice.com/officialbookshop/itservicemanagement itil/itilversion3/servicedesign · service transition st www.bestmanagementpractice.com/officialbookshop/itservice managementitil/itilversion3/servicetransition · service operation so www.bestmanagementpractice.com/officialbookshop/itservice managementitil/itilversion3/serviceoperation · continual service improvement csi www.bestmanagementpractice.com/officialbookshop/it servicemanagementitil/itilversion3/continualserviceimprovement © 2008 it governance institute todos los derechos reservados 15

[close]