Académique Documents
Professionnel Documents
Culture Documents
Retos de TI
Seguridad Management Auditora Visin Control Agilidad Disponibilidad Continuidad Comunicaciones Cloud Inversin Reduccin de Costos
CUMPLIMIENTO
CGR ESTRUCTURA
ESTADO
Dos aos para cumplir a partir de la fecha de publicacin: englobar el marco de la institucin en el cumplimiento de lo dictado por CGR Las Auditoras por parte de la CGR estn en proceso Se realizan Auditoras de cumplimiento: verificar que la normativa legal est siendo cumplida y sustantivas: para casos especficos sobre eventos sucedidos Los Jerarcas de las instituciones son los responsable del cumplimiento de la norma
SUGEF 14-09
Artculo 1. Objeto Este reglamento tiene por objeto la definicin de los criterios y metodologa para la evaluacin y calificacin de la gestin de la tecnologa de informacin (TI). Artculo 2. Alcance [3] Las disposiciones establecidas en este reglamento son aplicables a las entidades supervisadas por la Superintendencia General de Entidades Financieras (en adelante la SUGEF). Artculo 6. Marco . La entidad que contrate parte o la totalidad de sus procesos a proveedores locales o extranjeros de tecnologas de informacin deben incluir obligatoriamente el proceso DS2 Administrar los servicios de terceros dentro de su marco para la gestin de TI. En el anexo 1 se muestra la categorizacin de los 34 procesos que integran la versin de Cobit y su clasificacin para efectos de este artculo.
SUGEF 14-09
Artculo 10. Perfil Tecnolgico La entidad debe completar el formulario de perfil tecnolgico y remitirlo a la SUGEF en la forma y medio que le sea requerido por sta, en los primeros diez das hbiles del mes de junio de cada ao. El incumplimiento de la remisin del perfil tecnolgico, dentro del plazo establecido, ser considerado como una negativa a proporcionar informacin a la Superintendencia, y ser sancionado segn el artculo 155 inciso a) aparte iii), de la ley Orgnica del Banco Central de Costa Rica . Artculo 11 Revisin externa independiente La entidad deber someterse a una auditora externa de los procesos que integran el marco para la gestin de TI por parte de un auditor, cuando menos cada dos aos. La SUGEF comunicar a la entidad la fecha de remisin de los productos de la auditora con una anticipacin de por lo menos 9 meses.
ESTADO
Seis meses despus de la notificacin por parte de SUGEF a la institucin financiera, inicia la primera auditora, sobre el estado de madurez de los primeros 17 procesos La segunda auditora, est en proceso, se realiza para verificar que al menos los primeros 17 procesos tienen un ao de estar vigentes (en ejecucin) 1 ao corriendo el proceso Cada 2 aos, SUGEF, puede evaluar que los procesos cuentan con, al menos, 1 ao en ejecucin SUGEF debe enviar a cada institucin auditada la nota y las sugerencias de mejora
CobIT v4
CobIT 4.1: (Control OBjectives for Information and related Technology) es el marco aceptado internacionalmente como una buena prctica para el control de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez. Planeacin y Organizacin (PO) Adquisicin e Implementacin (AI) Entrega y Soporte (DS) Monitoreo y Evaluacin (ME)
CobIT
PO
AI
DS
ME
ITIL v3
ITIL v3: (Infrastructure Technology Information Library)
Es un conjunto de libros (42) que describen los procesos necesarios para administrar la infraestructura de TI en forma eficiente y efectiva, garantizando los servicios que requieren las organizaciones y que TI debe proveer.
Los temas principales son basados en el ciclo de vida del servicio:
1. 2. 3. 4. 5. Estrategia del Servicio Diseo del Servicio Transicin del Servicio Operacin del Servicio Mejora Continua del Servicio
OTROS
ISO 20000: Basada en BS15000 e ITIL, su objetivo es alinear los servicios de TI con las necesidades del negocio. Define 217 requerimientos para la entrega de los servicios de TI
El marco de procesos diseado se organiza con base en los siguientes bloques: Grupo de procesos de Provisin del Servicio. Grupo de procesos de Control. Grupo de procesos de Entrega. Grupo de procesos de Resolucin. Grupo de procesos de Relaciones.
OTROS
ISO 27000: mejores prcticas en Seguridad.
Especificaciones que lo conforman: ISO/IEC 27001: certificacin que obtienen las organizaciones ISO/IEC 27002: Information technology - Security techniques - Code of practice for information security management. Basado en la BS 7799 Parte 1 y la norma ISO/IEC 17799. Es el cdigo de buenas prcticas para la gestin de seguridad de la informacin.
OTROS
CMMI: Capacity Maturity Model Integration. Modelo
para la mejora y evaluacin de procesos para el desarrollo, mantenimiento y operacin de sistemas de software, formado por 4 reas: CMMI Foundations CMMI for Acquisitions CMMI for Development CMMI for Services.
Val IT: marco muy cercano a CobIT, su objetivo es mejroar las inversiones de TI. Compuesto por 3 modelos y 40 prcticas: Gobierno del valor Gestin de cartera
ARQUITECTURAS
Zachmann: es un marco con una estructura sencilla y lgica para
clasificar y organizar la informacin descriptiva de la empresa
ARQUITECTURAS
IPD: Infrastructure Planning and Design, provee la infraestructura y mejores prcticas para la implementacin, administracin, soporte y mantenimiento de productos y soluciones Microsoft. Basado en WSSRA (Windows Server System Reference Architecture)
Los Pilares
ADOPCIN
USO
IMPORTANCIA TI
IMPORTANCIA TI
ALINEAMIENTO NEGOCIO/TI
SUGERENCIAS
Estudiar, analizar y comprender las Normas Crear el SWAT Team que estar atendiendo el requerimiento (roles y responsabilidades) Priorizar las acciones/actividades a realizar para responder a las Normas Utilizar como insumo en el proceso la situacin actual de TI de la organizacin Realizar un Gap Analysis e identificar las mejoras Lo que no puedo medir no lo puedo administrar Dos aos para cumplir englobar el marco de la institucin en el cumplimiento de lo dictado por CGR Auditora en proceso
SUGERENCIAS
Preguntas