8/17/2019 P Organizacion y Procesos de TI_2013
1/72
Sistemas de Información para la Gestión
UNIDAD 5_Tema 1:
Procesos de TI
U.N.Sa. – Facultad de Cs.Económicas – SIG 2013
8/17/2019 P Organizacion y Procesos de TI_2013
2/72
UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN
1. Procesos de TI: Planeamiento y Organización. Adquisición eImplementación. Entrega y Soporte. Monitoreo y evaluación.
2. Organización de TI. Funciones. Segregación de tareas.
3. Entrega y Soporte : Servicios, niveles y asignación decostos4. Desempeño de TI. Métricas. Aspectos regulatorios.
Monitoreo y seguimiento5. Construcción y administración de sistemas. Desarrollo
de sistemas y cambio organizacional.
8/17/2019 P Organizacion y Procesos de TI_2013
3/72
Gobernabilidad de TI
COBITControl OBjectives for Information and related Technology
ser orientado a negocios,
el marco de trabajo COBITse creó con las característicasprincipales de
orientado a procesos,
basado en controles e
impulsado por mediciones.
8/17/2019 P Organizacion y Procesos de TI_2013
4/72
Gobernabilidad de TI
El marco de trabajo COBIT se basa en el siguiente principio (Figura 5): Para proporcionar la información que la empresa requierepara lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto
estructurado de procesos que provean los servicios que entregan la información empresarial requerida. El marco de trabajo COBITofrece herramientas para garantizar la alineación con los requerimientos del negocio.
8/17/2019 P Organizacion y Procesos de TI_2013
5/72
Metas de TI
Gobernabilidad de TI
La Figura 6 ilustra como la estrategia de la empresa se debe traducir por parte del negocio en objetivos relacionados con
iniciativas habilitadas por TI (Las metas de negocio para TI). Estos objetivos a su vez, deben conducir a una clara definición delos propios objetivos de TI (las metas de TI), y luego éstas a su vez definir los recursos y capacidades de TI (la arquitecturaempresarial para TI) requeridos para ejecutar, de forma exitosa la parte que le corresponde a TI de la estrategia empresarial
8/17/2019 P Organizacion y Procesos de TI_2013
6/72
Procesos de TI
Gobernabilidad de TI
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente seordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como semuestra en la Figura 8, se llaman:• Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
• Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.• Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.• Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.
8/17/2019 P Organizacion y Procesos de TI_2013
7/72
Controles de TI
Gobernabilidad de TI
TI es responsable de: – Automatizar e implementar los requisitos de las funciones de negocio y de control – Establecer controles para mantener la integridad de controles de aplicación.Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controlesde aplicación; la responsabilidad de definir y el uso operativo es de la empresa.
8/17/2019 P Organizacion y Procesos de TI_2013
8/72
Mediciones de TI
Gobernabilidad de TI
El tema de procesos de TI es esencialmente complejo y subjetivo, por lo tanto, es más fácil abordarlo por medio de evaluaciones fácilesque aumenten la conciencia, que logren un consenso amplio y que motiven la mejora. Estas evaluaciones se pueden realizar ya seacontra las descripciones del modelo de madurez como un todo o con mayor rigor, en cada una de las afirmaciones individuales de lasdescripciones. De cualquier manera, se requiere experiencia en el proceso de la empresa que se está revisando.
8/17/2019 P Organizacion y Procesos de TI_2013
9/72
Gobernabilidad de TI
Orientado a procesosDentro del marco de COBIT, estos dominios, como se muestra en la Figura 8, se llaman:
• Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
• Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.
• Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.
• Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.
8/17/2019 P Organizacion y Procesos de TI_2013
10/72
REGLA DE ORO DE COBIT
Para proveer la información que requiere la organización para lograr susobjetivos, los recursos de TI deben ser administrados por un conjunto de
procesos, agrupados de forma adecuada y ejecutados acorde a prácticasnormalmente aceptadas.
CINCO MANERAS DE USAR COBIT
* Como una herramienta de comunicación* Como una herramienta organizacional* Como una herramienta para lograr consenso* Como una herramienta para definir alcance* Como una herramienta de autoevaluación en TI
8/17/2019 P Organizacion y Procesos de TI_2013
11/72
COBIT ES UNA HERRAMIENTA QUE PROPORCIONA
• Modelos de Madurez del control sobre los procesos de TI, de modo que la dirección
pueda esquematizar dónde se encuentra la organización actualmente, cómo estáposicionada con respecto al mejor de su clase en su rubro de actividad y encomparación con las normas internacionales, y adónde quiere llegar;
,
implementación orientadas a la dirección para lograr el control sobre y dentro de susprocesos de TI,
• Indicadores Clave de Metas, que definen las medidas que permiten saber a ladirección –después de un hecho determinado—si un proceso de TI logró sus
requerimientos de negocios, e
• Indicadores Clave del Desempeño, que definen las medidas para saber cómo se estádesempeñando el proceso de TI en el logro de la meta que debe alcanzarse.
8/17/2019 P Organizacion y Procesos de TI_2013
12/72
PROCESOS Y OBJETIVOS DE CONTROL
Planeary Organizar
Adquirir e
Entregar ydar Soporte
Monitorear yEvaluar
8/17/2019 P Organizacion y Procesos de TI_2013
13/72
Organización y Procesos de Tecnologías de Información
•• Planificación y Organización.Planificación y Organización.• Adquisición e implementación.
• r y r .• Monitoreo.
8/17/2019 P Organizacion y Procesos de TI_2013
14/72
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de laInformación
PO6 Comunicar las Aspiraciones yla Dirección de la Gerencia
PO7 Administrar Recursos
PROCESOS Y OBJETIVOS DE CONTROL
Planeary Organizar
PO3 Determinar la DirecciónTecnológica
PO4 Definir los Procesos,Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
Humanos de TIPO8 Administrar la Calidad
PO9 Evaluar y Administrar losRiesgos de TI
PO10 Administrar Proyectos
8/17/2019 P Organizacion y Procesos de TI_2013
15/72
Planificar y Organizar
P01 Definir un Plan Estratégico de TI.
La planeación estratégica de TI es necesaria para gestionar y dirigir todoslos recursos de TI en línea con la estrategia y prioridades del negocio
PROCESOS Y OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TIPO1.2 Alineación de TI con el NegocioPO1.3 Evaluación del Desempeño y la Capacidad Actual
PO1.4 Plan Estratégico de TIPO1.5 Planes Tácticos de TIPO1.6 Administración del Portafolio de TI
8/17/2019 P Organizacion y Procesos de TI_2013
16/72
P02. Definir la Arquitectura de la Información
La función de sistemas de información debe crear y actualizar de formaregular un modelo de información del negocio y definir los sistemasapropiados para optimizar el uso de esta información
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO2.1 Modelo de Arquitectura de InformaciónEmpresarial
PO2.2 Diccionario de Datos Empresarial y Reglasde Sintaxis de DatosPO2.3 Esquema de Clasificación de DatosPO2.4 Administración de la Integridad
8/17/2019 P Organizacion y Procesos de TI_2013
17/72
P03. Determinar la Dirección Tecnológica.
La función de servicios de información debe determinar la direccióntecnológica para dar soporte al negocio. Esto requiere de la creación de unplan de infraestructura tecnológica y de un comité de arquitectura que
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
es a ezca y a m n s re expec a vas rea s as y c aras e o que a ecno og apuede ofrecer en términos de productos, Servicios y mecanismos deaplicación.
OBJETIVOS DE CONTROLPO3.1 Planeación de la Dirección Tecnológica
PO3.2 Plan de Infraestructura TecnológicaPO3.3 Monitoreo de Tendencias y Regulaciones futurasPO3.4 Estándares TecnológicosPO3.5 Consejo de Arquitectura de TI
8/17/2019 P Organizacion y Procesos de TI_2013
18/72
P04. Definir los Procesos, Organización y Relaciones de TI
Una organización de TI se debe definir tomando en cuenta losrequerimientos de personal, funciones, rendición de cuentas, autoridad,roles, responsabilidades y supervisión
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO4.1 Marco de Trabajo de Procesos de TIPO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TIPO4.4 Ubicación Organizacional de la Función de TIPO4.5 Estructura OrganizacionalPO4.6 Establecimiento de Roles y Responsabilidades
8/17/2019 P Organizacion y Procesos de TI_2013
19/72
PO4.7 Responsabilidad de Aseguramiento de la Calidad de TIPO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el CumplimientoPO4.9 Propiedad de Datos y Sistemas
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
.
PO4.11 Segregación de Funciones.PO4.12 Personal de TIPO4.13 Personal Clave de TIPO4.14 Políticas y Procedimientos para Personal Contratado
PO4.15 Relaciones
8/17/2019 P Organizacion y Procesos de TI_2013
20/72
P05 Administrar la Inversión de TI.
Establecer y mantener un marco de trabajo para administrar los programasde inversión en TI que abarquen los costos, beneficios, prioridades dentrodel presupuesto, un proceso presupuestal formal y administrar contra eseresu uesto.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
PO5.1 Marco de trabajo para la adminsitración Financiera.
PO5.2 Prioridades dentro del Presupuesto de TI.PO5.3 Proceso Presupuestal.PO5.4 Administración de costos de TI.PO5.5 Administración de beneicios.
8/17/2019 P Organizacion y Procesos de TI_2013
21/72
P06. Comunicar las Aspiraciones y la Dirección de la Gerencia
La dirección debe elaborar un marco de trabajo de contro empresarialpara TI y definir y comunicar las políticas.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
PO6.1 Ambiente de Políticas y de ControlPO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
PO6.3 Administración de Políticas para TIPO6.4 Implantación de Políticas de TIPO6.5 Comunicación de los Objetivos y la Dirección de TI
8/17/2019 P Organizacion y Procesos de TI_2013
22/72
P07. Administrar los Recursos Humanos de TI.
Adquirir, mantener y motivar uan fuerza de trabajo para la creación yentrega de Servicios de TI para el negocio.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO7.1 Reclutamiento y Retención delPersonalPO7.2 Competencias del PresonalPO7.3 Asignación de RolesPO7.4 Entrenamiento del Personal de TIPO7.5 Dependencia Sobre los Individuos
PO7.6 Procedimientos deInvestigación del PersonalPO7.7 Evaluación del Desempeñodel EmpleadoPO7.8 Cambios y Terminación deTrabajo
8/17/2019 P Organizacion y Procesos de TI_2013
23/72
P08. Administrar la Calidad.
Se debe elaborar y mantener un sistema de administración de la calidad, elcual incluya procesos y estándares probados de desarrollo y adquisición.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO8.1 Sistema de Administración de CalidadPO8.2 Estándares y Prácticas de Calidad
PO8.3 Estándares de Desarrollo y de AdquisiciónPO8.4 Enfoque en el Cliente de TIPO8.5 Mejora ContinuaPO8.6 Medición, Monitoreo y Revisión de la Calidad
8/17/2019 P Organizacion y Procesos de TI_2013
24/72
P09. Evaluar y Administrar los Riesgos de TI
Crear y dar mantenimiento a un marco de trabajo de adminsitración deriesgos.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO9.1 Marco de Trabajo de Administración de RiesgosPO9.2 Establecimiento del Contexto del RiesgoPO9.3 Identificación de Eventos
PO9.4 Evaluación de Riesgos de TIPO9.5 Respuesta a los RiesgosPO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
8/17/2019 P Organizacion y Procesos de TI_2013
25/72
P10. Administrar Proyectos.
Establecer un marco de trabajo de adminsitración de programas yproyectos para la administración de todos los proyectos de TI establecidos.
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLPO10.1 Marco de Trabajo para la Administración de ProgramasPO10.2 Marco de Trabajo para la Administración de ProyectosPO10.3 Enfoque de Administración de Proyectos
PO10.4 Compromiso de los InteresadosPO10.5 Declaración de Alcance del Proyecto
8/17/2019 P Organizacion y Procesos de TI_2013
26/72
PO10.6 Inicio de las Fases del ProyectoPO10.7 Plan Integrado del ProyectoPO10.8 Recursos del Proyecto
Planificar y Organizar
PROCESOS Y OBJETIVOS DE CONTROL
PO10.10 Plan de Calidad del ProyectoPO10.11 Control de Cambios del ProyectoPO10.12 Planeación del Proyecto y Métodos de AseguramientoPO10.13 Medición del Desempeño, Reporte y Mononitoreo del Proyecto
PO10.14 Cierre del Proyecto
8/17/2019 P Organizacion y Procesos de TI_2013
27/72
Organización y Procesos de Tecnologías de Información
•• Planificación y Organización.• Adquisición e implementación. Adquisición e implementación.
• r y r .• Monitoreo.
8/17/2019 P Organizacion y Procesos de TI_2013
28/72
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantentener software aplicativo
PROCESOS Y OBJETIVOS DE CONTROL
Adquirir eImplementar
AI4 Facilitar la Operación y el Uso
AI5 Adquirir Recursos de TI
AI6 Administrar los cambios
AI7 Instalar y acreditar soluciones y cambios
8/17/2019 P Organizacion y Procesos de TI_2013
29/72
AI1 Identificar soluciones automatizadas
La necesidad de una nueva apliación o función requiere de analisis ante de lacompra o desarrollo para garantizar que los requisitos de negocio se satisfacencon un enfoque efectivo y eficiente.
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y Funcionalesdel Negocio.
AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
8/17/2019 P Organizacion y Procesos de TI_2013
30/72
AI2 Adquirir y Mantener Software Aplicativo
Las aplicaciones deben estar disponibles de acuerdo con los requerimientosdel negocio.
AI2.6 Actualizaciones Importantes
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidaddel Software
AI2.9 Administración de losRequerimientos de Aplicaciones AI2.10 Mantenimiento de Software Aplicativo
AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las Aplicaciones
AI2.4 Seguridad y Disponibilidad de las Aplicaciones AI2.5 Configuración e Implantación deSoftware Aplicativo adquirido
8/17/2019 P Organizacion y Procesos de TI_2013
31/72
AI3 Adquirir y Mantener Infraestructura Tecnológica
Las organizaciones deben contar con procesos para adquirir, implemetar yactualizar la infraestructura tecnológica de acuerdo con las estrategiasTecnológicas convenidas.
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL AI3.1 Plan de Adquisición de Infraestructura Tecnológica AI3.2 Protección y Disponibilidad del Recurso de Infraestructura
AI3.3 Mantenimiento de la Infraestructura AI3.4 Ambiente de Prueba de Factibilidad
8/17/2019 P Organizacion y Procesos de TI_2013
32/72
AI4 Facilitar la Operación y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible. Esteproceso requiere la generación de documentación y manuales parausuarios y para TI, y proporciona entrenamiento para garantizar el uso y la
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
operac n correc os e as ap cac ones y a n raes ruc ura.
OBJETIVOS DE CONTROL
AI4.1 Plan para Soluciones de Operación
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte
8/17/2019 P Organizacion y Procesos de TI_2013
33/72
AI5 Adquirir Recursos de TI
Se deben suministrar recursos TI, incluyendo personas, hardware,software y servicios. Esto requiere de la ejecución de los procedimientosde adquisición, la selección de proveedores, el ajuste de arreglos
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
con rac ua es y a a qu s c n en s .
OBJETIVOS DE CONTROL
AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveeedores AI5.4 Adquisición de recursos de TI
8/17/2019 P Organizacion y Procesos de TI_2013
34/72
AI6 Administrar Cambios
Todos los cambios, incluyendo el mantenimiento de emergencia yparches, relacionados con la infraestructura y las aplicaciones dentro delambiente de producción, deben administrarse formalmente y
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
con ro a amen e.
OBJETIVOS DE CONTROL
AI6.1 Estándares y Procedimientos para cambios. AI6.2 Evaluación de Impacto, Priorización y Autorización. AI6.3 Cambios de emergencia. AI6.4 Seguimiento y reporte del status del cambio. AI6.5 Cierre y Documentación del cambio.
8/17/2019 P Organizacion y Procesos de TI_2013
35/72
AI7 Instalar y Acreditar Soluciones de Cambio
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollose completa. Esto requiere pruebas adecuadas en un ambiente dedicadocon datos de prueba relevantes, definir la transición e instrucciones demi ración lanear la liberación la transición en sí al ambiente de
Adquirir e Implementar
PROCESOS Y OBJETIVOS DE CONTROL
producción, y revisar la post-implantación.OBJETIVOS DE CONTROL
AI7.1 Entrenamiento AI7.2 Plan de prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos
AI7.6 Pruebas de cambio. AI7.7 Prueba de aceptación final AI7.8 Pormoción a producción AI7.9 Revisión Posterior a laimplementación.
8/17/2019 P Organizacion y Procesos de TI_2013
36/72
Organización y Procesos de Tecnologías de Información
•• Planificación y Organización.• Adquisición e implementación.
• . .• Monitoreo.
8/17/2019 P Organizacion y Procesos de TI_2013
37/72
DS1 Definir y administrar los niveles deservicioDS2 Administrar los servicios de terceros
PROCESOS Y OBJETIVOS DE CONTROL
Entrega ySoporte
capacidadDS4 Garantizar la continuidad delservicioDS5 Garantizar la seguridad de lossistemasDS6 Identificar y asignar costosDS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio ylos incidentesDS9 Administrar la configuraciónDS10 Administrar los problemas
DS11 Administrar los datosDS12 Administrar el ambiente físicoDS13 Administrar las operaciones
8/17/2019 P Organizacion y Procesos de TI_2013
38/72
Entrega y soporte
DS1 Definir y Administrar los Niveles de Servicio
Contar con una definición documentada y un acuerdo de servicios de TI y deniveles de servicio, hace posible una comunicación efectiva entre la gerenciade TI y los clientes de negocio respecto de los servicios requeridos.
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROLDS1.1 Marco de trabajo de la Administración de los niveles de servicio.DS1.2 Definición de servicios
DS1.3 Acuerdos de niveles de serviciosDS1.4 Acuerdos de niveles de operación.DS1.5 Monitoreo y cumplimiento de niveles de servicio.DS1.6 Revisión de los acuerdos de Niveles de servicio y de los contratos.
8/17/2019 P Organizacion y Procesos de TI_2013
39/72
DS2 Administrar los Servicios de Terceros
La necesidad de asegurar que los servicios provistos por terceros cumplancon los requermientos de negocio, requiere de un proceso efectivo deadministración de terceros.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS2.1 Identificación de Todas las Relaciones con ProveedoresDS2.2 Gestión de Relaciones con Proveedores
DS2.3 Administración de Riesgos del ProveedorDS2.4 Monitoreo del Desempeño del Proveedor
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
40/72
DS3 Administrar el Desempeño y la Capacidad
La necesidad de administrar el desempeño de la capacidad de los recursosde TI requiere de un proceso para revisar periódicamente el desempeñoactual y la capacidad de los recursos de TI.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS3.1 Planeación del Desempeño y la CapacidadDS3.2 Capacidad y Desempeño Actual
DS3.3 Capacidad y Desempeño FuturosDS3.4 Disponibilidad de Recursos de TIDS3.5 Monitoreo y Reporte
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
41/72
DS4 Garantizar la Continuidad del Servicio
La necesidad de brindar continuidad en los servicios de TI requiere desarrollar,mantenery probar planes de continuidad de TI, almacenar respaldos fuera delas instalaciones y entrenar de forma periódica sobre los planes de
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
continuidad.
OBJETIVOS DE CONTROL
DS4.1 Marco de Trabajo de Continuidad de TI
DS4.2 Planes de Continuidad de TIDS4.3 Recursos Críticos de TIDS4.4 Mantenimiento del Plan de Continuidad de TIDS4.5 Pruebas del Plan de Continuidad de TI
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
42/72
DS4.6 Entrenamiento del Plan de Continuidad de TI
DS4.7 Distribución del Plan de Continuidad de TIDS4.8 Recuperación y Reanudación de los Servicios de TIDS4.9 Almacenamiento de Respaldos Fuera de las InstalacionesDS4.10 Revisión Post Reanudación
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
43/72
DS5 Garantizar la Seguridad de los Sistemas
La necesidad de manener la integridad de la informacióny de proteger losactivos de TI, requiere de un proceso de administración de seguridad. Esteproceso incluye el establecimiento y mantenimiento de roles y
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
responsabilidades de seguridad, políticas estándares y procedimientos deTI.
OBJETIVOS DE CONTROL
DS5.1 Administración de la Seguridad de TIDS5.2 Plan de Seguridad de TIDS5.3 Administración de Identidad
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
44/72
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la SeguridadDS5.6 Definición de Incidente de SeguridadDS5.7 Protección de la Tecnología de SeguridadDS5.8 Administración de Llaves Criptográficas
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
DS5.8 Administración de Llaves CriptográficasDS5.10 Seguridad de la RedDS5.11 Intercambio de Datos Sensitivos
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
45/72
DS6 Identificar y Asignar Costos
La necesidad de un sistema justo y equitativo para asignar costos de TI alnegocio, requiere de una medición precisa y un acuerdo con los usuariosdel negocio sobre una asignación justa.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS6.1 Definición de ServiciosDS6.2 Contabilización de TIDS6.3 Modelación de Costos y CargosDS6.4 Mantenimiento del Modelo de Costos
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
46/72
DS7 Educar y Entrenar a los Usuarios
Para una educación efectiva de todos los usuarios de sistemas de TI,incluyendo aquiellos dentro de TI, se requiere identificar las necesidades deentrenamiento de cada grupo de usuarios.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS7.1 Identificación de Necesidades de Entrenamiento y Educación
DS7.2 Impartición de Entrenamiento y EducaciónDS7.3 Evaluación del Entrenamiento Recibido
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
47/72
DS8 Administrar la Mesa de Servicio y los incidentes.
Responder de manera oportuna y efectiva a la consultas y probelmas delos usuarios de TI requiere de una mesa de servicios bien diseñada y bienejecutada, y de un proceso de administraición de incidentes.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS8.1 Mesa de ServiciosDS8.2 Registro de Consutas de ClientesDS8.3 Escalamiento de IncidentesDS8.4 Cierre de IncidentesDS8.5 Análisis de Tendencias
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
48/72
DS9 Administrar la Configuración
Garantizar la integridad de las configuraciones de hardware y softwarerequiere establecer un repositorio de configuraciones completo y preciso.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS9.1 Repositorio y Línea Base de ConfiguraciónDS9.2 Identificación y Mantenimiento de Elementos de ConfiguraciónDS9.3 Revisión de Integridad de la Configuración
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
49/72
DS10 Administración de Problemas
Una efectiva administración de problemas requiere la identificación yclasificación de problemas, el análisis de las causas desde su raíz y laresolución de problemas.
Entrega y soporte
PROCESOS Y OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
DS10.1 Identificación y Clasificación de Problemas
DS10.2 Rastreo y Resolución de ProblemasDS10.3 Cierre de ProblemasDS10.4 Integración de las Administraciones de Cambios, Configuración y Problema
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
50/72
DS11 Administración de Datos
Una efectiva administración de datos requiere la identificación derequierimientos de datos. El proceso de adminsitración de infoación tambiénincluye el establecimiento de procedimientos efectivos para administrar lalibrería de medios el res aldo la recu eración de datos la eliminación
Entrega y soporte
apropiada de medios.
OBJETIVOS DE CONTROL
DS11.1 Requerimientos del Negocio para Administración de DatosDS11.2 Acuerdos de Almacenamiento y Conservación
DS11.3 Sistema de Administración de Librerías de MediosDS11.4 EliminaciónDS11.5 Respaldo y RestauraciónDS11.6 Requerimientos de Seguridad para la Administración de Datos
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
51/72
DS12 Administración del Ambiente físico
La protección del equipo de cómputo y del personal requiere deinstalaciones bien diseñadas y bien administradas.
Entrega y soporte
OBJETIVOS DE CONTROL
DS12.1 Selección y Diseño del Centro de DatosDS12.2 Medidas de Seguridad Física
DS12.3 Acceso FísicoDS12.4 Protección Contra Factores AmbientalesDS12.5 Administración de Instalaciones Físicas
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
52/72
DS13 Administración de Operaciones
Un procesamiento de información completo y apropiado requiere de unaefectiva admisnitración del procesamiento de datos y del mantemiento delhardware.
Entrega y soporte
OBJETIVOS DE CONTROL
DS13.1 Procedimientos e Instrucciones de OperaciónDS13.2 Programación de Tareas
DS13.3 Monitoreo de la Infraestructura de TIDS13.4 Documentos Sensitivos y Dispositivos de SalidaDS13.5 Mantenimiento Preventivo del Hardware
8/17/2019 P Organizacion y Procesos de TI_2013
53/72
Organización y Procesos de Tecnologías de Información
•• Planificación y Organización.• Adquisición e implementación.
• r y r .
• Monitoreo.Monitoreo.
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
54/72
ME1 Monitorear y Evaluar el Desempeño de TIME2 Monitorear y Evaluar el Control Interno
Monitorear yEvaluar
aran zar e ump m en o egu a or o
ME4 Proporcionar Gobierno de TI
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
55/72
ME1 Monitorear y Evaluar el Desempeño de TI
Una efectiva adminsitración del desempeño de TI requiere un proceso demenitoreo. El proceso incluye la definición de indicadores de desempeño
Monitorear y Evaluar
,
medidas expeditas cuando existan desviaciones.OBJETIVOS DE CONTROL
ME1.1 Enfoque del Monitoreo
ME1.2 Definición y Recolección deDatos de MonitoreoME1.3 Método de MonitoreoME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo y a
EjecutivosME1.6 Acciones Correctivas
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
56/72
ME2 Monitorear y Evaluar el Control Interno
Establecer un programa de Control Interno efectivo requiere de un procesobien definido de monitoreo.
Monitorear y Evaluar
ME2.1 Monitorización del Marco de Trabajo de Control InternoME2.2 Revisiones de AuditoríaME2.3 Excepciones de Control
ME2.4 Control de Auto EvaluaciónME2.5 Aseguramiento del Control InternoME2.6 Control Interno para TercerosME2.7 Acciones Correctivas
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
57/72
ME3 Garantizar el Cumplimiento con Requerimientos externos
Una supervisión efectiva del cumplimiento regulatorio requiere elestablecimiento de un proceso independiente de revisión para garantizar elcumplimiento de las leyes y regulaciones.
Monitorear y Evaluar
OBJETIVOS DE CONTROL
ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones yCumplimientos Contractuales
ME3.2 Optimizar la Respuesta a Requerimientos ExternosME3.3 Evaluación del Cumplimiento con Requerimientos ExternosME3.4 Aseguramiento Positivo del CumplimientoME3.5 Reportes Integrados
PROCESOS Y OBJETIVOS DE CONTROL
8/17/2019 P Organizacion y Procesos de TI_2013
58/72
ME4 Proporcionar Gobierno de TI
El establecimiento de un marco de trabajo de gobierno efectivo incluye ladefinición de estructuras, procesos, liderazgo, roles y responsabilidadesorganizacionales para garantizar así que las inversiones empresariales en TI
Monitorear y Evaluar
.
OBJETIVOS DE CONTROL
ME4.1 Establecimiento de un Marco de
Gobierno de TIME4.2 Alineamiento EstratégicoME4.3 Entrega de ValorME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del DesempeñoME4.7 AseguramientoIndependiente
Organización y Procesos de Tecnologías de InformaciónResumen
8/17/2019 P Organizacion y Procesos de TI_2013
59/72
Resumen
Organización y Procesos de Tecnologías de InformaciónResumen
8/17/2019 P Organizacion y Procesos de TI_2013
60/72
Resumen
Organización y Procesos de Tecnologías de InformaciónResumen
8/17/2019 P Organizacion y Procesos de TI_2013
61/72
Resumen
Organización y Procesos de Tecnologías de InformaciónResumen
8/17/2019 P Organizacion y Procesos de TI_2013
62/72
Resumen
Consultas
8/17/2019 P Organizacion y Procesos de TI_2013
63/72
Consultas
8/17/2019 P Organizacion y Procesos de TI_2013
64/72
La reproducción de partes de COBIT en estapresentación es exclusivamente de uso
académico y dentro de la licencia de uso acá
referenciada
8/17/2019 P Organizacion y Procesos de TI_2013
65/72
ANEXO
GUIA USO DOCUMENTO COBIT
MARCO DE TRABAJO COMPLETO DE COBIT
8/17/2019 P Organizacion y Procesos de TI_2013
66/72
COBIT integra en su metodología
8/17/2019 P Organizacion y Procesos de TI_2013
67/72
Criterios de laInformación
Areas de Enfoque
Dominios de TI
GOBIERNODE TI
Recursos de TI
COMO NAVEGAR EN EL MARCO DE TRABAJO COBIT (1/5)
8/17/2019 P Organizacion y Procesos de TI_2013
68/72
1) Para cada uno de los procesos TI de COBIT, se proporciona en primer lugar un objetivo
de control de alto nivel, junto con las metas y métricas clave en forma de cascada
GOBIERNODE TI
COMO NAVEGAR EN EL MARCO DE TRABAJO COBIT (2/5)2) Se presentan en forma descriptiva los Objetivos de Control cada proceso
8/17/2019 P Organizacion y Procesos de TI_2013
69/72
2) Se presentan en forma descriptiva los Objetivos de Control cada proceso
P01 Definir un Plan Estratégico de TI ( PROCESO)
PO1.1 Administración del Valor de TI ( OBJETIVO DE CONTROL)Trabajar con el negocio para garantizar que el portafolio de inversiones de TI de la empresa contenga programas con casosde negocio sólidos. Reconocer que existen inversiones obligatorias, de sustento y discrecionales que difieren en complejidad ygrado de libertad en cuanto a la asignación de fondos. Los procesos de TI deben proporcionar una entrega efectiva y
eficiente de los componentes TI de los programas y advertencias oportunas sobre las desviaciones del plan, incluyendo costo,cronograma o funcionalidad, que pudieran impactar los resultados esperados de los programas. Los servicios de TI se debenejecutar contra acuerdos de niveles de servicios equitativos y exigibles. La rendición de cuentas del logro de los beneficios ydel control de los costos es claramente asignada y monitoreada.
PO1.2 A neac n e TI con e Negoc o OBJETIVO DE CONTROLEducar a los ejecutivos sobre las capacidades tecnológicas actuales y sobre el rumbo futuro . . .
3) Se indican Entradas y Salidas para cada proceso en forma de tabla
COMO NAVEGAR EN EL MARCO DE TRABAJO COBIT (3/5)
8/17/2019 P Organizacion y Procesos de TI_2013
70/72
4) Se presenta una Matriz RACI para cada proceso
CEO: Director General / CFO: Director Financiero / CIO: Director de TI / PMO: Administrador de Proyecto
COMO NAVEGAR EN EL MARCO DE TRABAJO COBIT (4/5)5) Se presentan las Metas y Métricas del Proceso
8/17/2019 P Organizacion y Procesos de TI_2013
71/72
COMO NAVEGAR EN EL MARCO DE TRABAJO COBIT (5/5)
8/17/2019 P Organizacion y Procesos de TI_2013
72/72
6) Se presenta una Modelo de Madurez para cada proceso
Nivel Proceso Reconocimiento Practicas Herramientas Adecuación Experiencia
0No existe: No hay proceso reconocible, lainstitución ni siquiera reconoce la cuestión
No
1
Inicial: reconoce el problema, hay enfoques adhoc para el caso por caso, no hay enfoque
global coordinado, plantel desorganizado
Si Ad-hoc
2
Repetible: Los procesos similares se llevan enforma similar por diferentes personas con lamisma tarea. No hay comunicación oentrenamiento formal, las responsabilidadesuedan a car o de cada individuo. Se de ende
Conciente Similares, procesosintuitivos
Aparecen comunes Monitoreoinconsistente encuestiones aisladas
del grado de conocimiento de cada individuo
3
Definible: Los procesos están documentados ycomunicados mediante entrenamiento. Sinembargo queda a cargo de cada individuo elseguir los procesos. Los procedimientos noson sofisticados pero las practicas estánformalizadas
Comprendenecesidad de actuar
Definidas,estandarizadas ,documentadas y secomparten
Estandarizadas,practicas comunesson usadas ycontroladas
Análisis de causasintuitivo.
Especialistasinvolucrados en losprocesos
4
Administrado: Se puede medir y monitorear elcumplimiento de los procesos y se tomanacciones cuando hay desviaciones. Los
procesos están bajo constante mejora. Se usanherramientas automatizadas en formafragmentaria
Comprenderequerimientos
Se asignanresponsabilidades ,los procesos se
completan
Se usan técnicas demedición.Uso táctico y
limitado de latecnología
Tablero de mandoen algunas áreas, Análisis de causas
estandarizado.
Expertos internosen todas las áreas
5
Optimizado: Los procesos están en el nivel demejor práctica. Se usa la tecnología paraautomatizar el flujo d trabajo, se tieneherramientas para mejorar la calidad y laeficiencia, la organización se adapta
rápidamente
Comprensión a largoplazo
Mejores practicas Técnicas sofisticas,uso extensivo de latecnología
Tablero de mandoglobal, se actúasobre excepcionesse aplica siempreanálisis de causas
Lideres externospara la guía
Top Related