Apoyo de la Tecnologa en el Cumplimiento de Normas

Ing. Victor Cerdas, vcerdas@cgccr.com Gerente Comercial Consulting Group CA

Retos de TI
Seguridad Management Auditora Visin Control Agilidad Disponibilidad Continuidad Comunicaciones Cloud Inversin Reduccin de Costos

CUMPLIMIENTO

Normas Tcnicas para la Gestin y el Control de las Tecnologas de Informacin (N-2-2007-CO-DFOE)

Artculo 1Aprobar el documento denominado Normas tcnicas para la gestin y el control de las tecnologas de informacin, normativa que establece los criterios bsicos de control que deben observarse en la gestin de esas tecnologas y que tiene como propsito coadyuvar en su gestin, en virtud de que dichas tecnologas se han convertido en un instrumento esencial en la prestacin de los servicios pblicos, representando inversiones importantes en el presupuesto del Estado. .. Artculo 3. son de acatamiento obligatorio para la Contralora General de la Repblica y las instituciones y rganos sujetos a su fiscalizacin, que prevalecern sobre cualquier disposicin en contrario que emita la Administracin. Artculo 6 Informar que la Administracin contar con dos aos a partir de su entrada en vigencia para cumplir con lo regulado en esta normativa . d. Dicha planificacin deber considerar las actividades por realizar, los plazos establecidos para cada una, los respectivos responsables, los costos estimados, as como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos tcnicos) y quedar debdamente documentada.

CGR ESTRUCTURA

ESTADO
Dos aos para cumplir a partir de la fecha de publicacin: englobar el marco de la institucin en el cumplimiento de lo dictado por CGR Las Auditoras por parte de la CGR estn en proceso Se realizan Auditoras de cumplimiento: verificar que la normativa legal est siendo cumplida y sustantivas: para casos especficos sobre eventos sucedidos Los Jerarcas de las instituciones son los responsable del cumplimiento de la norma

SUGEF 14-09
Artculo 1. Objeto Este reglamento tiene por objeto la definicin de los criterios y metodologa para la evaluacin y calificacin de la gestin de la tecnologa de informacin (TI). Artculo 2. Alcance [3] Las disposiciones establecidas en este reglamento son aplicables a las entidades supervisadas por la Superintendencia General de Entidades Financieras (en adelante la SUGEF). Artculo 6. Marco . La entidad que contrate parte o la totalidad de sus procesos a proveedores locales o extranjeros de tecnologas de informacin deben incluir obligatoriamente el proceso DS2 Administrar los servicios de terceros dentro de su marco para la gestin de TI. En el anexo 1 se muestra la categorizacin de los 34 procesos que integran la versin de Cobit y su clasificacin para efectos de este artculo.

SUGEF 14-09
Artculo 10. Perfil Tecnolgico La entidad debe completar el formulario de perfil tecnolgico y remitirlo a la SUGEF en la forma y medio que le sea requerido por sta, en los primeros diez das hbiles del mes de junio de cada ao. El incumplimiento de la remisin del perfil tecnolgico, dentro del plazo establecido, ser considerado como una negativa a proporcionar informacin a la Superintendencia, y ser sancionado segn el artculo 155 inciso a) aparte iii), de la ley Orgnica del Banco Central de Costa Rica . Artculo 11 Revisin externa independiente La entidad deber someterse a una auditora externa de los procesos que integran el marco para la gestin de TI por parte de un auditor, cuando menos cada dos aos. La SUGEF comunicar a la entidad la fecha de remisin de los productos de la auditora con una anticipacin de por lo menos 9 meses.

ESTADO
Seis meses despus de la notificacin por parte de SUGEF a la institucin financiera, inicia la primera auditora, sobre el estado de madurez de los primeros 17 procesos La segunda auditora, est en proceso, se realiza para verificar que al menos los primeros 17 procesos tienen un ao de estar vigentes (en ejecucin) 1 ao corriendo el proceso Cada 2 aos, SUGEF, puede evaluar que los procesos cuentan con, al menos, 1 ao en ejecucin SUGEF debe enviar a cada institucin auditada la nota y las sugerencias de mejora

CobIT v4
CobIT 4.1: (Control OBjectives for Information and related Technology) es el marco aceptado internacionalmente como una buena prctica para el control de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez. Planeacin y Organizacin (PO) Adquisicin e Implementacin (AI) Entrega y Soporte (DS) Monitoreo y Evaluacin (ME)

CobIT

MATRIZ DE CALIFICACION - SUGEF

Dominio Procesos COBIT 4.0 PO1 Definir un plan estratgico de TI PO3 Determinar la direccin tecnolgica PO5 Administrar la inversin en TI PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos AI3 Adquirir y mantener infraestructura tecnolgica AI5 Adquirir recursos de TI AI6 Administrar cambios DS2 Administrar los servicios de terceros * DS3 Administrar el desempeo y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS9 Administrar la configuracin DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico ME2 Monitorear y evaluar el control interno

PO

AI

DS

ME

ITIL v3
ITIL v3: (Infrastructure Technology Information Library)

Es un conjunto de libros (42) que describen los procesos necesarios para administrar la infraestructura de TI en forma eficiente y efectiva, garantizando los servicios que requieren las organizaciones y que TI debe proveer.
Los temas principales son basados en el ciclo de vida del servicio:
1. 2. 3. 4. 5. Estrategia del Servicio Diseo del Servicio Transicin del Servicio Operacin del Servicio Mejora Continua del Servicio

OTROS
ISO 20000: Basada en BS15000 e ITIL, su objetivo es alinear los servicios de TI con las necesidades del negocio. Define 217 requerimientos para la entrega de los servicios de TI

El marco de procesos diseado se organiza con base en los siguientes bloques: Grupo de procesos de Provisin del Servicio. Grupo de procesos de Control. Grupo de procesos de Entrega. Grupo de procesos de Resolucin. Grupo de procesos de Relaciones.

OTROS
ISO 27000: mejores prcticas en Seguridad.

Especificaciones que lo conforman: ISO/IEC 27001: certificacin que obtienen las organizaciones ISO/IEC 27002: Information technology - Security techniques - Code of practice for information security management. Basado en la BS 7799 Parte 1 y la norma ISO/IEC 17799. Es el cdigo de buenas prcticas para la gestin de seguridad de la informacin.

OTROS
CMMI: Capacity Maturity Model Integration. Modelo

para la mejora y evaluacin de procesos para el desarrollo, mantenimiento y operacin de sistemas de software, formado por 4 reas: CMMI Foundations CMMI for Acquisitions CMMI for Development CMMI for Services.
Val IT: marco muy cercano a CobIT, su objetivo es mejroar las inversiones de TI. Compuesto por 3 modelos y 40 prcticas: Gobierno del valor Gestin de cartera

ARQUITECTURAS
Zachmann: es un marco con una estructura sencilla y lgica para
clasificar y organizar la informacin descriptiva de la empresa

TOGAF: busca representar, y describir a la organizacin, con el claro

objetivo, de que todos los componentes de una organizacin trabajen en funcin de alinear sus propios objetivos, con los objetivos estratgicos de la organizacin. Compuesto por 7 etapas y 4 vistas arquitectnicas

Federal Enterprise Architecture (FEA): una

arquitectura enfocada en: datos, aplicaciones, tecnologa y el negocio. Bsada 100% en ITIL y conformada por 5 modelos: Business Reference Model (BRM) Performance Reference Model (PRM) Service Components Reference Model (SRM) Data and Information Reference Model (DRM) Technical Reference Model (TRM).

ARQUITECTURAS
IPD: Infrastructure Planning and Design, provee la infraestructura y mejores prcticas para la implementacin, administracin, soporte y mantenimiento de productos y soluciones Microsoft. Basado en WSSRA (Windows Server System Reference Architecture)

ARQUITECTURA MICROSOFT (IPD)

Los Pilares

ADOPCIN

USO

IMPORTANCIA TI

IMPORTANCIA TI

ALINEAMIENTO NEGOCIO/TI

SUGERENCIAS
Estudiar, analizar y comprender las Normas Crear el SWAT Team que estar atendiendo el requerimiento (roles y responsabilidades) Priorizar las acciones/actividades a realizar para responder a las Normas Utilizar como insumo en el proceso la situacin actual de TI de la organizacin Realizar un Gap Analysis e identificar las mejoras Lo que no puedo medir no lo puedo administrar Dos aos para cumplir englobar el marco de la institucin en el cumplimiento de lo dictado por CGR Auditora en proceso

SUGERENCIAS

Preguntas

LOS ESPERMOS EN LOS STANDS 35/56/57