dentro de su marco para la gestión de TI.
Download
Report
Transcript dentro de su marco para la gestión de TI.
Charla:
Más Allá del Cumplimiento
Instructor:
Ing. Melvin González Quesada. MBA
Agenda
•
•
•
•
Gobierno de TI: Cumplimiento Regulatorio
Integración de Marcos de Referencia
Beneficios potenciales
Automatización: Demostración de ServiceNow
Cumplimiento Regulatorio
Qué significa esto en la práctica:
•
En el mercado global de hoy en día, con el apoyo del Internet y tecnologías
avanzadas, las empresas necesitan cumplir con un creciente número de
requerimientos legales y de regulación. Debido a escándalos corporativos y
fallas financieras en los últimos años, hay una conciencia mayor por parte de
las juntas directivas sobre el cumplimiento regulatorio y leyes más severas.
•
Los inversionistas necesitan seguridad de que las empresas cumplen con
estos requerimientos regulatorios en conformidad con una buena prácticas
de gobierno corporativo. Adicionalmente ya que TI ha facilitado la
implementación y automatización de procesos entre empresas (socios,
proveedores, clientes) hay una necesidad mayor de considerar en los
contratos cláusulas de privacidad, confidencialidad, propiedad intelectual y
seguridad de la información.
Cumplimiento Regulatorio
Qué significa esto en la práctica:
•
Los directivos necesitan entender que el cumplimiento de estos
requerimientos regulatorios externos deben ser tratados dentro del
planeamiento estratégico en lugar de un gasto obligatorio. Ellos necesitan
establecer políticas y procedimientos para que sean seguidos por el personal
de la empresa, y asegurarse que: los objetivos de la empresa son alcanzados,
el riesgo mitigado y el cumplimiento alcanzado.
•
La alta gerencia debe alcanzar un apropiado balance entre desempeño y
cumplimiento, asegurando que las metas de desempeño no pongan en riesgo
el cumplimiento y en el otro sentido que el apego estricto a cumplimiento no
restrinja de sobremanera la operación del negocio
Cumplimiento Regulatorio
Cumplimiento de Leyes y Regulaciones
sobre TI en Costa Rica
– Norma Técnica para la Gestión y Control de
Tecnologías de Información en las instituciones
públicas ( N-2-2007-CO-DFOE) de la Contraloría
General de la República
– SUGEF 14-09 Para instituciones financieras
supervisadas
Cumplimiento Regulatorio
• Normativa 14-09 de la Superintendencia General de
Entidades Financieras (SUGEF)
– Artículo 1. Objeto
Este reglamento tiene por objeto la definición de los
criterios y metodología para la evaluación y
calificación de la gestión de la tecnología de
información (TI).
– Artículo 6. Marco para la Gestión de TI
La entidad debe diseñar, implementar y mantener un
marco para la gestión de la tecnología de
información.
Cumplimiento Regulatorio
• Normativa 14-09 de la Superintendencia General de
Entidades Financieras (SUGEF)
– Artículo 9. Marco Referencial
La evaluación de la Gestión de TI se basará en el
marco conceptual de la versión 4.0 de Cobit®,
considerando sus cuatro dominios: Planear y
Organizar, Adquirir e Implementar, Entregar y Dar
Soporte, y Monitorear y Evaluar.
Se consideran dentro del alcance los 34 procesos dependiendo de algunas
consideraciones como por ejemplo : La entidad que contrate parte o la totalidad
de sus procesos a proveedores locales o extranjeros de tecnologías de
información deben incluir obligatoriamente el proceso DS2 “Administrar los
servicios de terceros” dentro de su marco para la gestión de TI.
Beneficios de COBIT
• Mejor alineación, con base en su enfoque de
negocios
• Una visión, entendible para la gerencia, de lo que
hace TI
• Propiedad y responsabilidades claras, con base en su
orientación a procesos
• Aceptación general de terceros y reguladores
• Entendimiento compartido entre todos los
participantes, con base en un lenguaje común
• Cumplimiento de los requerimientos COSO para el
ambiente de control de TI
Cumplimiento Regulatorio
Nivel de Madurez Requerido
Procesos COBIT®
PO9 Evaluar y administrar los riesgos de TI
PO10 Administrar proyectos
AI6 Administrar cambios
DS2 Administrar los servicios de terceros
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS11 Administrar los datos
ME2 Monitorear y evaluar el control interno
PO1 Definir un plan estratégico de TI
PO3 Determinar la dirección tecnológica
PO5 Administrar la inversión en TI
AI3 Adquirir y mantener infraestructura tecnológica
AI5 Adquirir recursos de TI
DS3 Administrar el desempeño y la capacidad
DS 9 Administrar la configuración
DS10 Administrar los problemas
DS12 Administrar el ambiente físico
Resto de los procesos que integran el marco para la gestión de TI
Fuente: Reglamento SUGEF 14-09 v6
Primera Auditoría
Externa
Segunda
Auditoría Externa
Auditorías
subsecuentes
Nivel madurez
mínimo
requerido: tres
Nivel madurez
mínimo
requerido: tres
Nivel madurez
mínimo
requerido: tres
Nivel madurez
mínimo
requerido: dos
Nivel madurez
mínimo
requerido: tres
Nivel madurez
mínimo
requerido: tres
Nivel madurez
mínimo
requerido: uno
Nivel madurez
mínimo
requerido: dos
Nivel madurez
mínimo
requerido: tres
Cumplimiento Regulatorio
• Proceso AI6 Administrar los cambios:
– Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formalmente y
controladamente.
– Los cambios (incluyendo procedimientos, procesos,
sistema y parámetros del servicio) se deben registrar,
evaluar y autorizar previo a la implantación y revisar
contra los resultados planeados después de la
implantación.
Cumplimiento Regulatorio
• AI6 Administrar cambios
– AI6.1 Estándares y procedimientos para cambios
• Establecer procedimientos de administración de
cambio formales para manejar de manera estándar
todas las solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones,
procedimientos, procesos, parámetros de sistema y
servicio, y las plataformas fundamentales.
¿Cómo?
Integración de Marcos de Referencia
Integración de Marcos de Referencia
Integración Marcos de Referencia
Fuente: Informe 2012 de Prácticas y Salarios Help Desk Institute
Integración de Marcos de Referencia
ITIL (IT Infrastructure Library)
Es una colección de libros que contienen buenas
prácticas de gestión de TI (Tecnología de
Información)
El objetivo fundamental de ITIL es alinear el
negocio y Tecnologías de la Información,
permitiendo a las organizaciones implementar lo
que es relevante para sus negocios.
Integración de Marcos de Referencia
Fases del Ciclo de Vida de
un Servicio de TI según ITIL
• Estrategia del Servicio
• Diseño del Servicio
• Transición del Servicio
• Operación del Servicio
• Mejora continua del
Servicio
Integración de Marcos de Referencia
Fase Transición del Servicio
•
•
Soporta la migración de los servicios
desde su etapa de Diseño a su etapa de
producción
Asegura el mínimo impacto no deseado al
negocio
Procesos
• Planificación y Soporte de la Transición
• Gestión de Cambios
• Gestión de Configuración y Activos del
Servicio
• Gestión de Entregas y Despliegues
• Validación y pruebas del servicio
• Evaluación
• Gestión del conocimiento
Integración de Marcos de Referencia
Gestión de Cambios
1.
2.
3.
4.
5.
Registro
Evaluar
Autorizar
Planear
Coordinar
Implementación
6. Implementar
7. Revisar
Initiation
Green boxes are executed
by Change’s initiator
Assessment
Routine
Change
Minor
Change
Implement task is
Automatically assigned
to Initiator
Medium
Change
Authorization
by Change’s
Owner
Build, Test and Implement
TASKS are automatically
created and assigned to
Initiator. Initiator can
reassign to somebody else
create new tasks
or complete task.
These tasks must be
completed in order to move
along the change’ stages
Authorization
by Change’s
Owner
Build/Test
Implement task is
Automatically assigned
to Initiator
Ready to
Implement
Medium or
Major
Implement
If change was not successful and
Back Out plan
must be executed or if
Some tasks is yet pending to be complete,
Change Owner might
request additional work to Initiator.
Yes
Implement
Post Implementation
approval by Change’s
Owner
Change Manager’s
Post Implementation Review
Any Task or
Approval
Objetivo de Control AI6
Any task can be closed incomplete or
In case of rejection by any approver
Request for Change will be Closed Incomplete
Emergency
Change
Major
Change
Closed
Complete
Closed
Incomplete
CAB Meeting
Approved by
Change
Manager
Implement
Integración de Marcos de Referencia
Integración de Procesos
de ITIL
Configuration
DS9. Administrar
la Configuración
Management
DS10. Administrar
los problemas
Problem
Management
Change
Management
Integración de Marcos de Referencia
Mapa de Procesos de ITIL
Beneficios de Implementar ITIL
• Alinea los servicios de tecnología con las prioridades del
negocio. Lo que significa que el negocio alcanza más
fácilmente sus metas estratégicas.
• Logra establecer costos de tecnología conocidos y
administrados, lo que le permite al negocio planear
mejor sus finanzas.
• Incrementa la productividad del negocio, la eficiencia y
la efectividad ya que los servicios de tecnología son más
confiables y predecibles.
• Ahorros significativos debido a la reducción del retrabajo
• Una imagen mejorada ante los clientes debido a la alta
calidad de los servicios.
Beneficios de Implementar ITIL
RENTABILIDAD
Las buenas prácticas se basan fuertemente en la
estandarización. Cuando las configuraciones de Hardware y
Software ganan consistencia y los procesos de TI están
documentados y son repetibles, la automatización puede ser
usada para cambiar la economía de la gestión de TI.
La automatización reduce tanto el tiempo de desarrollo como
de mantenimiento. Con menos tiempo dedicado a mantener y
reparar los sistemas se reducen los costos operativos.
Cuando el personal de TI maneja mayores cantidad de trabajo,
o realiza el mismo trabajo con menos personal el costo por
actividad baja considerablemente
Beneficios de Implementar ITIL
CONFIABILIDAD
Cuando se mantienen configuraciones incorrectas o se realizan
actualizaciones sin la planeación adecuada puede resultar en
degradación de servicio y pérdida de tiempo para los clientes,
lo que conlleva una disminución en la reputación, o
directamente en la facturación de la empresa.
En lugar de reaccionar todo el tiempo (apagar incendios) TI
debería enfocarse en definir el proceso más adecuado para
prevenir en el mayor grado posible esos problemas.
Con buenas prácticas establecidas se ha demostrado un
incremento en la cantidad de cambios e instalaciones exitosas.
Beneficios de la Integración de
Marcos de Referencia
Entonces por qué es necesario implementar estos
marcos de referencia:
“ El uso de la tecnología tiene el potencial de
convertirse en el mayor conductor de salud financiera
para las empresas en el siglo 21.
TI ha tomado un papel protagónico en la estrategia de
las empresas, pues provee oportunidades para obtener
ventaja competitiva y ofrecer medios para incrementar
la productividad, y esto será aún más evidente en el
futuro”
Fuente ITGI. Resumen de la Junta sobre Gobierno de TI. USA. 2003
Beneficios de la Integración de
Marcos de Referencia
“Los proveedores de servicios de tecnología
no pueden darse el lujo de enfocarse
únicamente en la tecnología y su organización
interna, ahora deben considerar la calidad de
los servicios que proveen y enfocarse en la
relación con sus clientes”
Jim Alderdice
CIO State of New York
Retos de hoy para implementar estos
marcos de referencia
El crecimiento en el uso de estándares y marcos de
referencias basados en buenas prácticas crean nuevos
retos y demanda por asesoría en implementación, por
ejemplo:
1. Crear conciencia de los objetivos del negocio y los
beneficios para el negocio de estos marcos de
referencia.
2. Soportar la toma de decisiones sobre cuáles prácticas
utilizar e integrar con políticas y procedimientos
internos
3. Personalizar las buenas prácticas para cumplir
requerimientos propios del negocio.
4. Identificar herramientas para administrar y
automatizar estas buenas prácticas.
Herramientas para Gestión de TI
Herramientas para Gestión de TI
Demostración de ServiceNow
• Contacto:
Ing. Melvin González Quesada. MBA. ITIL Expert.
Director de Consultoría
Email: [email protected]
www.consigecr.com