Upload
aranda-software
View
367
Download
0
Embed Size (px)
DESCRIPTION
Entérese de cómo se refuerzan las directrices de Gobierno Corporativo y Control de TI basadas en las buenas prácticas de COBIT, a través del portafolio de soluciones de Aranda SOFTWARE.
Citation preview
Facilitando el Gobierno Corporativo de TI mediante
soluciones Aranda Software
Alejandro Cañón Consultor de Preventa
Agenda • Contexto: El Gobierno Corporativo de TI • COBIT®: RoadMap hacia el Buen Gobierno de TI • COBIT®: Publicaciones • Principios de COBIT® • Área de Proceso n° 1 (EDM): • Área de Proceso n° 2 (APO): • Área de Proceso n° 3 (BAI): • Área de Proceso n° 4 (DSS): • Área de Proceso n° 5 (MEA): • Relación entre COBIT® y otras metodologías • Resumen: Cómo apoyan las soluciones Aranda en la habilitación de
iniciativas de gobierno corporativo de TI
Contexto: El Gobierno Corporativo de TI
Dentro de las tendencias en la gestión de TI, surgen con fuerza las iniciativas de Gobierno Corporativo dentro de las organizaciones, principalmente debido a requerimientos normativos y de regulación. Cómo abordarlas y no morir en el intento?
Buenas Prácticas
Compliance
El Negocio y las TI
Qué sigue?
COBIT® 5: RoadMap hacia el buen Gobierno TI Es el marco de referencia aceptado globalmente y definido como un set de herramientas, procesos, metodologías, etc… que aseguran que TI opera eficientemente. COBIT® provee orientaciones para que la administración ejecutiva (Dirección) pueda gobernar las TI dentro de la empresa.
Cumplimiento
Mejora Continua
Procesos
COBIT® busca enfocar el Gobierno y Gestión de TI hacia:
COBIT® 5: Publicaciones El marco de trabajo para el Gobierno y Gestión de TI COBIT® 5 (Control Objectives for Information and Related Technology) se encuentra publicado en los siguientes documentos.
COBIT® 5: Control Objectives for Information and Related Technology
COBIT® 5:
Marco de Trabajo
Junio 2012
COBIT® 5:
Guías
Catalizadoras
- Procesos
(Junio 2012)
- Información
(En desarrollo)
COBIT® 5:
Guías
Profesionales
- Implementación
(Junio 2012)
- Riesgos, Seguridad TI
- Aseguramiento
(En desarrollo)
COBIT® 5:
Otros Documentos
- Guías
Complementarias
- Traducciones
- Programa de
Evaluación
(Junio 2012)
COBIT® 5: Principios y Facilitadores COBIT 5 reúne los cinco principios que permiten a la empresa construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores ("Enablers"), que optimizan la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas.
© COBIT 5 Framework, 2012
COBIT® 5: Gobierno y Gestión COBIT 5 establece una clara diferencia entre Gobierno y Gestión.
© COBIT 5 Framework, 2012
Procesos de Gobierno de TI (EDM) El dominio de procesos de Gobierno de TI – Evaluate, Direct and Monitor (Evaluar, Orientar y Supervisar) de COBIT® asegura que los objetivos corporativos son alcanzados mediante la evaluación de las necesidades de los interesados, la orientación a través de la priorización y toma de decisiones; y la supervisión del progreso, cumplimiento y rendimiento contra lo acordado con la dirección.
EDM01: Asegurar, establecer el Marco de Gobierno
EDM02: Asegurar la entrega de Beneficios
EDM03: Asegurar la Optimización de Riesgos
EDM04: Asegurar la Optimización de los Recursos
EDM05: Asegurar transparencia hacia los Interesados
• Evaluar el sistema de Gobierno de TI • Dirigir el sistema de Gobierno de TI • Monitorear el sistema de Gobierno de TI
• Evaluar la optimización de valor • Dirigir la optimización de valor • Monitorear la optimización de valor
• Evaluar la Gestión de Riesgos • Dirigir la Gestión de Riesgos • Monitorear la Gestión de Riesgos
• Evaluar los requerimientos de reportes hacia los interesados
• Orientar la comunicación y reportes hacia los interesados
• Monitorear la comunicación con los interesados
• Evaluar la Gestión de Recursos • Dirigir la Gestión de Recursos • Monitorear la Gestión de Recursos
Procesos de Gestión de TI (APO) El dominio de procesos de Gestión de TI - Align, Plan and Organize (Alinear, Planear y Organizar) de COBIT® abarca el uso de la información y la tecnología, y cómo pueden ser usados de mejor forma en una organización para ayudar a alcanzar las metas y objetivos de la misma.
APO02: Gestionar la Estrategia
APO03: Gestionar la Arquitectura
APO04: Gestionar la Innovación
APO05: Gestionar la Cartera
APO10: Gestionar Proveedores
APO11: Gestionar Calidad
APO12: Gestionar Riesgos
APO13: Gestionar Seguridad
APO01: Admin. el Marco de Gestión de TI
APO06: Gestionar Presupuesto y Costos
APO07: Gestionar Recursos Humanos
APO08: Gestionar Relaciones
APO09: Gestionar Acuerdos de Servicio
• Definir la Estructura Organizacional • Definir Roles y Responsabilidades • Comunicar la dirección y objetivos
de la administración • Definir la propiedad de los datos y
sistemas • Gestionar la Mejora Continua de los
Procesos • Mantener cumplimiento con
Políticas y Procedimientos
• Entender la dirección corporativa • Evaluar el entorno, capacidades y
rendimiento actual • Definir las capacidades de TI
esperadas • Realizar un Gap Analysis • Definir el Plan Estratégico y Hoja de
Ruta • Comunicar la estrategia y dirección
de TI
• Desarrollar la visión de arquitectura empresarial
• Definir la arquitectura de referencia • Seleccionar oportunidades y
soluciones • Definir la implementación de la
arquitectura • Proveer servicios para la
arquitectura empresarial
• Crear un entorno conducente a la Innovación
• Mantener el entendimiento del ambiente empresarial
• Monitorear y revisar el mercado de la Tecnología
• Evaluar el potencial de ideas y tecnologías emergentes
• Recomendar y monitorear iniciativas de innovación
• Establecer el mix de inversiones a realizar
• Determinar la disponibilidad y fuentes de fondos
• Evaluar y seleccionar programas donde invertir
• Monitorear, optimizar el rendimiento de la inversión
• Mantener la cartera • Gestionar los beneficios
• Gestionar Finanzas y Contabilidad • Priorizar la asignación de recursos • Crear y mantener presupuestos • Modelar y asignar costos • Gestionar los costos
• Mantener el staff adecuado • Identificar personal clave de TI • Mantener las habilidades y
competencias del personal • Evaluar el rendimiento de los
empleados • Planificar y monitorear el uso de los
recursos humanos • Gestionar staff subcontratado
• Entender las expectativas del negocio
• Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio
• Gestionar la relación con el negocio • Coordinar y comunicar • Proveer entrada a la mejora
continua de los servicios TI
• Identificar servicios de TI • Catalogar servicios de TI • Definir y preparar Acuerdos de
Servicio • Monitorear y reportar los Niveles de
Servicio • Revisar los Acuerdos de Servicio y
Contratos
• Identificar y evaluar los proveedores, los contratos y relaciones actuales
• Seleccionar proveedores • Gestionar contratos y relaciones con
proveedores • Gestionar el riesgo de los
proveedores • Monitorear el cumplimiento y
rendimiento de los proveedores
• Establecer un Sistema de Gestión de la Calidad
• Definir y gestionar estándares, prácticas y procedimientos de calidad
• Enfocar la Gestión de Calidad hacia los clientes
• Integrar la Gestión de Calidad en las soluciones de Entrega/Soporte
• Mantener la Mejora Continua
• Obtener información • Analizar los riesgos • Mantener un perfil de Riesgos • Expresar los riesgos • Definir un portfolio de acciones de
Gestión de Riesgos • Responder a los riesgos
• Establecer y mantener un ISMS • Definir y gestionar un plan de
tratamiento de riesgos de Seguridad de Información
• Monitorear y revisar el ISMS
IT Services
Aranda
Service Desk
Reporting Services
Aranda Dashboards
Aranda Query Manager
Procesos de Gestión de TI (BAI) El dominio de procesos de Gestión de TI - Build, Acquire and Implement (Construir, Adquirir e Implementar) de COBIT® cubre la identificación de los requerimientos de TI, la adquisición de la tecnología y su implementación dentro de los procesos de negocio en la organización.
BAI01: Gestionar Programas y Proyectos
BAI02: Gestionar Definición de Requerimientos
BAI03: Gestionar la Ident. Y Constr. de Soluciones
BAI04: Gestionar la Disponibilidad y Capacidad
BAI05: Gestionar la Introducción de Cambios Organiz.
• Mantener una aprox. estándar en la gestión de programas y proyectos
• Gestionar el compromiso de los interesados
• Iniciar proyectos y programas • Planificar proyectos • Monitorear y controlar proyectos • Cerrar proyectos y programas
• Definir y mantener los requerimientos funcionales y técnicos
• Realizar estudios de factibilidad y formular alternativas de solución
• Gestionar el riesgo de los requerimientos • Obtener aprobación de los requerimientos y sus
soluciones.
• Diseño de soluciones (alto nivel/componentes) • Desarrollo de soluciones • Adquisición de componentes de solución • Construcción de soluciones • Aseguramiento de Calidad en soluciones • Pruebas de las soluciones • Mantener las soluciones
• Evaluar la capacidad, rendimiento y disponibilidad actual, crear un Baseline
• Evaluar el impacto en el Negocio • Planificar los servicios nuevos y/o modificados • Monitorear y revisar la disponibilidad y
capacidad • Investigar y conducir issues sobre capacidad,
rendimiento y disponibilidad
• Establecer los deseos de cambio organizacionales
• Formar un equipo de implementación efectivo • Comunicar la visión deseada • Empoderar a los roles, identificar ganancias a
corto plazo (Quick Wins) • Habilitar la operación y el uso • Implementar los cambios organizacionales • Sostener los cambios organizacionales
BAI06: Gestionar Cambios
BAI07: Gestionar Aceptación y Transición Cambios
BAI08: Gestionar el Conocimiento
BAI09: Gestionar los Activos
BAI10: Gestionar la Configuración
• Evaluar, priorizar y autorizar peticiones de cambio
• Gestionar cambios de emergencia • Seguimiento y Reporte de Estado de los
Cambios • Cerrar y documentar los cambios
• Establecer un Plan de Implementación • Planear conversión en procesos, sistemas
y datos • Planear Pruebas de Aceptación • Establecer un Entorno de Pruebas • Promover los cambios a Producción • Realizar Revisión Post-Implementación
• Nutrir y facilitar una cultura de intercambio del conocimiento
• Identificar y clasificar las fuentes de información
• Organizar y contextualizar la información hacia el conocimiento
• Usar y compartir el conocimiento • Evaluar y retirar la información
• Identificar y registrar los activos actuales • Gestionar los activos críticos • Gestionar el ciclo de vida de los activos • Optimizar el costo de los activos • Gestionar licencias
• Establecer y mantener un Modelo de Configuración
• Establecer y mantener un Repositorio y Baseline de Configuración
• Mantener y controlar ítems de configuración
• Producir reportes de estado y configuración
• Verificar y revisar la integridad del Repositorio de Configuración
Device Management
Aranda Asset
Management
Aranda SW
Delivery
Aranda SW
Metrix
Aranda Power
Management
Aranda Patch
Management
IT Services
Aranda
Service Desk
Aranda
Self Service
Aranda
CMDB
Procesos de Gestión de TI (DSS)
DSS01: Gestionar las Operaciones
DSS02: Gestionar las Sol. Serv e Inc.
DSS03: Gestionar los Problemas
DSS04: Gestionar la Continuidad
DSS05: Gestionar los serv. Seguridad
DSS06: Gestionar los Controles en los Procesos de Negocio
El dominio de procesos de Gestión de TI - Deliver, Service and Support (Entregar, Dar Servicio y Soporte) de COBIT® se enfoca en los aspectos de la entrega de TI. Cubre áreas como la ejecución de las aplicaciones dentro de los sistemas TI y sus resultados, así como los procesos de soporte que habilitan para una ejecución efectiva y eficiente de estos sistemas.
• Ejecutar procedimientos operacionales • Gestionar servicios de TI externalizados • Monitorear la infraestructura TI • Gestionar el ambiente de TI • Gestionar las instalaciones de TI
• Definir esquemas de clasificación de Incidentes y Requerimientos
• Registrar, clasificar y priorizar Incidentes y Requerimientos
• Verificar, aprobar y cumplir con los Requerimientos
• Investigar, diagnosticar y asignar Incidentes • Resolver y recuperar a partir de Incidentes • Cerrar Incidentes y Requerimientos • Seguimiento de Estado y Reportes
• Identificar y clasificar Problemas • Investigar y diagnosticar Problemas • Generar Errores Conocidos • Resolver y cerrar Problemas • Realizar Gestión Proactiva de Problemas
• Definir la Política de Continuidad del Negocio, objetivos y Alcance
• Mantener una Estrategia de Continuidad • Desarrollar e Implementar una respuesta de
Continuidad del Negocio • Practicar, probar y revisar el BCP • Mantener y mejorar el BCP • Realizar entrenamientos sobre el BCP • Gestionar los ambientes de respaldo • Realizar revisión post-ejecución BCP
• Proteger contra el Malware • Gestionar la Seguridad de Redes y Conectividad • Gestionar la Seguridad de Punto Final • Gestionar la Identidad de Usuarios y Accesos
Lógicos • Gestionar el Acceso Físico a los activos de TI • Gestionar los Documentos Sensibles y los
dispositivos de Salida de Información • Monitorear la Infraestructura por Eventos
relacionados a Seguridad
• Alinear las actividades de control dentro de los procesos de negocio, con los obj. de la Empresa
• Controlar el procesamiento de la Información • Gestionar Roles, Responsabilidades, Privilegios
de Acceso y Niveles de Autoridad • Gestionar Errores y Excepciones • Asegurar la trazabilidad de la información y sus
responsables • Asegurar activos de información
IT Services
Aranda
Service Desk
Aranda
Self Service
Aranda
Virtual Support
Device Management
Aranda Asset
Management
Aranda
CMDB
Security Management
Aranda 360
Endpoint Security
Procesos de Gestión de TI (MEA) El dominio de procesos de Gestión de TI – Monitor, Evaluate and Assess (Supervisar, evaluar y valorar) de COBIT® cubre la estrategia de la organización en evaluar sus necesidades y si los sistemas/servicios de TI siguen cumpliendo los objetivos para los cuales fueron diseñados y los controles necesarios con respecto a los requerimientos regulatorios.
MEA01: Monitorear, evaluar y valorar el desempeño y cumplimiento
• Establecer una aprox. del monitoreo • Definir objetivos de rendimiento • Recolectar datos • Analizar y reportar rendimiento • Asegurar la implementación de acciones
correctivas
• Identificar los requerimientos externos de cumplimiento
• Optimizar la respuesta a los requerimientos externos
• Confirmar el cumplimiento con los requerimientos externos
• Obtener aseguramiento de los requerimientos externos
• Monitorear los controles internos • Revisar la efectividad de los controles en
los procesos de negocio • Realizar auto-evaluación de los controles • Identificar y reportar deficiencias en los
controles • Planificar iniciativas de aseguramiento • Ejecutar iniciativas de aseguramiento
MEA02: Monitorear, evaluar y valorar el sistema de control interno
MEA03: Monitorear, evaluar y valorar el cumplimiento con req. externos
Reporting Services
Aranda Dashboards
Aranda Query Manager
COBIT ® y otras Metodologías de Gestión TI Las organizaciones que han adoptado alguna metodología, estándar y/o marco de buenas prácticas de Gestión de TI encontrarán en COBIT una aproximación rápida y simplificada hacia el Gobierno de TI.
© COBIT 5 Framework, 2012
Automatizar los procesos de ISO/IEC 20000 Los escenarios de las organizaciones en cuanto a las TI son complejos por definición, no solamente en términos de la infraestructura a administrar sino en cuanto a los procesos requeridos. En este contexto, la implementación de procesos manuales no es viable, por lo que se sugiere la adopción de herramientas que automaticen y aseguren el cumplimiento de la ISO/IEC 20000.
Garantizar la integración
de los procesos
Asegurar que los
procesos se ejecuten
Facilitar el cumplimiento con la norma
Ayudar a la reducción de
costos
Acelerar la implantación
de ITIL®
¡Muchas gracias por su tiempo!