[Ao]

GESTION DE LA UNIDAD INFORMTICA

INSTITUTO IDAT |

ESTANDARES DE TRABAJO EN T.I

INDICE

INTRODUCCION ----------------------------------------------------------------------------------- 3 I. ESTANDARES DE TRABAJO EN T.I -------------------------------------------------------- 4 1.1 COBIT -------------------------------------------------------------------------------------- 4 1.1.1 ENFOCADO AL MANAGEMENT -------------------------------------------- 4 1.1.2 ENFOCADO A LOS USUARIOS DE TI --------------------------------------- 4 1.1.3 ENFOCADO A AUDITORES --------------------------------------------------- 5 1.1.3.1 PLANIFICACIN Y ORGANIZACIN --------------------------- 5 1.1.3.2 ADQUISICIN E IMPLEMENTACIN ------------------------- 5 1.1.3.3 ENTREGA Y SOPORTE ------------------------------------------- 5 1.1.3.4 MONITOREO Y EVALUACIN ---------------------------------- 5 1.1.4 PLANIFICACION Y ORGANIZACIN ---------------------------------------- 8 1.1.5 ADQUISICIN E IMPLEMENTACIN--------------------------------------- 9 1.2 COSO ------------------------------------------------------------------------------------- 10 1.2.1 VENTAJAS DE COSO --------------------------------------------------------- 10 1.3 ITIL ---------------------------------------------------------------------------------------- 12 1.3.1 MAYOR ALINEAMIENTO DE TI CON EL NEGOCIO -------------------- 14 1.3.2 RESOLUCIN DE INCIDENCIAS Y PROBLEMAS MS RPIDA ------- 14 1.3.3 REDUCCIN DEL NMERO DE LLAMADAS AL SERVICE DESK ------ 14 1.3.4 AUMENTO DEL RATIO RESOLUCIN EN PRIMERA INSTANCIA----- 14 1.3.5 IMPLANTACIN DE CAMBIOS MS RPIDA --------------------------- 14 1.3.6 REDUCCIN DEL NMERO DE CAMBIOS ------------------------------ 15 1.4 CMMI ------------------------------------------------------------------------------------- 15 1.5 ITIL VS CMMI---------------------------------------------------------------------------- 18 1.6 ITIL VS COBIT ---------------------------------------------------------------------------- 18 II. STAKEHOLDERS DE REA DE T.I --------------------------------------------------------- 19 CONCLUSION -------------------------------------------------------------------------------- 21

ESTANDARES DE TRABAJO EN T.I

INTRODUCCIN

La importancia que las TI han alcanzado hoy en da es enorme. Ha dejado de ser una herramienta de soporte y/o un rea accesoria para convertirse en algn totalmente necesario para cualquier empresa. Hoy en da es impensable concebir una empresa que no use las tecnologas de la informacin para la gestin del da a da; desde las formas ms bsicas como el uso de una hoja Excel o del correo electrnico hasta implantaciones de inteligencia de negocios y minera de datos. Pero de cualquier modo, son muchos los problemas que se presentan al gestionar estas Tecnologas de la Informacin, principalmente en el sentido de cmo lograr que las TI conlleven a una ventaja para la organizacin, como hacer que las TI sean una inversin con retorno y no solamente un gasto necesario. Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prcticas que buscan eliminar estas problemticas. Estas mejores prcticas se han convertido en estndares de la industria, tales es as que su implantacin se ha convertido en los ltimos aos en una necesidad para aquellas empresas que deseen gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas.

ESTANDARES DE TRABAJO EN T.I

I.

ESTANDARES DE TRABAJO EN T.I

Una de las principales dificultades de todos los profesionales que nos dedicamos a cuestiones metodolgicas, gestin y/o direccin de TI, es encontrarnos con informacin valiosa y su idoneidad atendiendo al mbito de uso. Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prcticas que buscan eliminar estas problemticas. Estas mejores prcticas se han convertido en estndares de la industria, tales es as que su implantacin.

1.1. COBIT

COBIT (Control Objetives for Information and related Technology) es el estndar generalmente aceptado que brinda buenas prcticas para gestin y control de las TI. El marco de trabajo de COBIT tiene un triple enfoque:

1.1.1 ENFOCADO AL MANAGEMENT

Puesto que provee a la Administracin de una base de mejores prcticas con las cuales se pueden tomar decisiones de TI e inversin.

ESTANDARES DE TRABAJO EN T.I

1.1.2 ENFOCADO A LOS USUARIOS DE TI

Debido a la seguridad que les brinda para el control de objetivos y procesos

1.1.3 ENFOCADO A AUDITORES

Debido a que permite identificar problemas de control de TI dentro de la infraestructura de TI de la compaa. COBIT est conformado por cuatro dominios, cada uno de los cuales estn organizados en procesos (34 en total) que su vez se sub-dividen en actividades y objetivos de control.

1.1.3.1 PLANIFICACIN Y ORGANIZACIN

Que est compuesta por todas las actividades que definen las estrategias y tctica de TI basado en los objetivos de negocio de la empresa. Se define adems la infraestructura de TI adecuada y necesario

1.1.3.2 ADQUISICIN E IMPLEMENTACIN

Donde se encuentran las actividades para la ejecucin del plan de TI previamente definido.

1.1.3.3 ENTREGA Y SOPORTE

Dominio que comprende la entrega de los servicios requeridos y el establecimiento de procesos de soporte.

1.1.3.4 MONITOREO Y EVALUACIN

Donde se realizan las actividades de inspeccin y monitoreo de los procesos de TI. Los procesos de estos dominios de COBIT se implantan dentro de las polticas y especificaciones de

requerimientos de negocio, determinados por los criterios de la informacin, los cuales establecen los niveles de rendimiento en cada uno de los siguientes aspectos: Eficiencia Eficacia Confidencialidad Integridad

ESTANDARES DE TRABAJO EN T.I

Disponibilidad Disponibilidad Conformidad

Estos criterios deben ser tomados en cuanto al momento de ejecutar los procesos COBIT y al momento de monitorear los diversos recursos de TI con los que cuenta la compaa (aplicaciones, informacin, infraestructura y personas). Estos nos dan un marco completo de trabajo para gestionar y controlar las TI y poder maximizar los beneficios de las TI para con la organizacin.

ESTANDARES DE TRABAJO EN T.I

Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por estndares como ISO 15504

Nivel 0 Proceso incompleto

El proceso no existe o no cumple con los objetivos

ESTANDARES DE TRABAJO EN T.I

Nivel 1 Proceso ejecutado

Nivel 2 Proceso gestionado

El proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado.

Nivel 3 Proceso definido

El proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado.

Nivel 4 Proceso predecible

Se han definido tcnicas de medicin de resultados y controles.

Nivel 5 Proceso optimizado

Todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.

En general, gran parte de los puntos que se exponen a continuacin pueden ser mapeados a los controles definidos en el estndar ISO 27002.

1 .1 .4 P LAN IFICACIN Y ORGA N IZ ACIN

La direccin de la organizacin debe implicarse en la definicin de la estrategia a seguir en el mbito de los sistemas de informacin, de forma que sea posible proporcionar los servicios que requieran las diferentes reas de negocio. Para ello, Cobit presenta 10 procesos:
PO1 Definicin de un plan estratgico: gestin del valor, alineacin con las

necesidades del negocio, planes estratgicos y tcticos.

P02 Definicin de la arquitectura de informacin: modelo de arquitectura,

diccionario de datos, clasificacin de la informacin, gestin de la integridad.

P03 Determinar las directrices tecnolgicas: anlisis de tecnologas

emergentes, monitorizar tendencias y regulaciones.

P04 Definicin de procesos IT, organizacin y relaciones: anlisis de los

procesos, comits, estructura organizativa, responsabilidades, propietarios

ESTANDARES DE TRABAJO EN T.I

de la informacin, supervisin, segregacin de funciones, polticas de contratacin.

P05 Gestin de la inversin en tecnologa: gestin financiera, priorizacin

de proyectos, presupuestos, gestin de los costes y beneficios.

P06 Gestin de la comunicacin: polticas y procedimientos, concienciacin

de usuarios.
P07 Gestin de los recursos humanos de las tecnologas de la informacin:

contratacin, competencias del personal, roles, planes de formacin, evaluacin del desempeo de los empleados.
P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas

de medicin y monitorizacin de la calidad, estndares de desarrollo y adquisicin.

P09 Validacin y gestin del riesgo de las tecnologas de la informacin P10 Gestin de proyectos: planificacin, definicin de alcance, asignacin

de recursos, etc.

1 .1 .5 AD QUISICIN E IM PLE M E N TACIN

Con el objeto de garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de herramientas a medida y su posterior mantenimiento se encuentren alineado con las necesidades del negocio, el estndar Cobit define los siguientes 7 procesos:
A.I1 Identificacin de soluciones: anlisis funcional y tcnico, anlisis del

riesgo, estudio de la viabilidad.

A.I2 Adquisicin y mantenimiento de aplicaciones: Diseo, controles

sobre la seguridad, desarrollo, configuracin, verificacin de la calidad, mantenimiento.

A.I3 Adquisicin y mantenimiento de la infraestructura tecnolgica: Plan

de

infraestructuras,

controles

de

proteccin

disponibilidad,

mantenimiento.

ESTANDARES DE TRABAJO EN T.I

A.I4 Facilidad de uso: Formacin a gerencia, usuarios, operadores y

personal de soporte.
A.I5 Obtencin de recursos tecnolgicos: control y asignacin los

recursos

disponibles,

gestin

de

contratos

con

proveedores,

procedimientos de seleccin de proveedores.

A.I6 Gestin de cambios: Procedimientos de solicitud/autorizacin de

cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos.
A.I7 Instalacin y acreditacin de soluciones y cambios: Formacin,

pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin.

1.2. COSO

El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de control. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia.

10

ESTANDARES DE TRABAJO EN T.I

Existen en la actualidad 2 versiones del Informe COSO. La versin del 1992 y la versin del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo. Es un medio para un fin, no un fin en s mismo. Efectuado por la junta directiva, gerencia u otro personal. No es slo normas, procedimientos y formas involucra gente Aplicado en la definicin de la estrategia y aplicado a travs de la organizacin en cada nivel y unidad Diseado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administracin y para la junta directiva de la organizacin orientada al logro de los objetivos del negocio.

Proporciona un marco de referencia aplicable a cualquier organizacin. Este proceso debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. Trasmitir el concepto de que el esfuerzo involucra a toda la organizacin.

1.2.1.

Ventajas de Coso Permite a la direccin de la empresa poseer una visin global del riesgo y accionar los planes para su correcta gestin. Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestin. Toma de decisiones ms segura, facilitando la asignacin del capital. Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, as como los riesgos asumidos y los controles puestos en accin. Permite dar soporte a las actividades de planificacin estratgica y control interno. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prcticas de gobierno corporativo. Fomenta que la gestin de riesgos pase a formar parte de la cultura del grupo.

11

ESTANDARES DE TRABAJO EN T.I

12

ESTANDARES DE TRABAJO EN T.I

1.3. ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.

13

ESTANDARES DE TRABAJO EN T.I

Por otro lado, la gestin de servicios con ITIL tiene su columna vertebral en la funcin de Service Desk, la cual es el punto nico de contacto entre la organizacin y el usuario o cliente del servicio. A continuacin graficamos en forma resumida su funcionamiento y relacin con los dems procesos de ITIL:

Tener un sistema de gestin de servicios basado en ITIL permitir a la compaa lograr:

1.3.1

MAYOR ALINEAMIENTO DE TI CON EL NEGOCIO / ENFOQUE A CLIENTES

Los procesos ITIL estn dirigidos a maximizar la disponibilidad de los servicios TI con el propsito de lograr la satisfaccin de los clientes y cumplir con los acuerdos de nivel de servicio acordados

1.3.2

RESOLUCIN DE INCIDENCIAS Y PROBLEMAS MS RPIDA Y EFICIENTE

Al tener una posicin proactiva hacia la resolucin rpida y eficaz de incidentes y a la vez hacia la prevencin de los mismos, se logra tambin la satisfaccin de los clientes

1.3.3

REDUCCIN DEL NMERO DE LLAMADAS AL SERVICE DESK

Las mejores prcticas de ITIL establecen los procesos necesarios no solo para resolver incidentes, sino para aprender de ellos y lograr tener una base de

14

ESTANDARES DE TRABAJO EN T.I

conocimientos (llamada por ITIL: Known Error Database) con la que la organizacin logra una mejora continua minimizando cada vez el nmero de incidentes y la carga de trabajo del Service Desk.

1.3.4

AUMENTO DEL RATIO RESOLUCIN EN PRIMERA INSTANCIA

Organizando adecuadamente los niveles de escalamiento de incidentes en el Service Desk, se logra maximizar el tiempo de respuesta y resolucin desde que se comunica el incidente en el servicio TI hasta su resolucin

1.3.5

IMPLANTACIN DE CAMBIOS MS RPIDA / MEJOR CONTROL DE CAMBIOS

De igual manera, gracias al proceso de gestin de cambios de ITIL, se pueden administrar los cambios requeridos en la infraestructura TI que se generan a raz de algn incidente determinado. El correcto manejo de los cambios garantiza la calidad y estabilidad de los servicios TI

1.3.6

REDUCCIN DEL NMERO DE CAMBIOS QUE NECESITEN SER REVOCADOS

Igualmente, con una correcta gestin de cambios, que cuente con revisiones de la Junta de cambios y el cliente, se minimizarn los posibles problemas que puedan surgir a raz de los mismos y los malos entendidos respecto a dichos cambios entre la organizacin y el cliente.

1.4. CMMI

El modelo CMMI (Capacity Madurity Model Integrated) es una fusin de modelos de mejora de procesos e ingeniera del software. Constituye una forma de medir el grado de madurez de las organizaciones respecto a la aplicacin de las mejores prcticas de

15

ESTANDARES DE TRABAJO EN T.I

desarrollo y gestin del software. El objetivo de CMMI es establecer una gua que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informticos Son cinco los niveles de madurez que establece CMMI:

Nivel 0: Incompleto El proceso no se realiza, o no se consiguen sus objetivos.

Nivel 1: Inicial o ejecutado Este es el nivel en donde estn todas las empresas que no tienen procesos: es donde el proceso se ejecuta y se logra su objetivo, as sea fuera de presupuesto y de cronograma. En este nivel de madurez, el desarrollo del proyecto es totalmente opaco, no se sabe lo que pasa en l.

Nivel 2: Repetible Se da cuando el xito de los resultados obtenidos se puede repetir. La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado y controlado durante el desarrollo del mismo, se decir: adems de ejecutarse, el proceso se planifica, se revisa y se evala para comprobar que cumple los requisitos.

16

ESTANDARES DE TRABAJO EN T.I

El desarrollo no es opaco y se puede saber el estado del proyecto en todo momento.

Nivel 3: Definido Significa que la forma de desarrollar proyectos est definida, establecida, documentada y que existen mtricas (obtencin de datos objetivos) para la consecucin de objetivos concretos.

Nivel 4: Administrado Los proyectos usan objetivos medibles y cuantificables para alcanzar cubrir las necesidades de los clientes y la organizacin. Es decir, se usan mtricas para gestionar la organizacin. Nivel 5: Optimizado Los procesos de los proyectos y de la organizacin estn orientados a la mejora de las actividades, que mediante mtricas son identificadas, evaluadas y puestas en prctica.

La mayora de las empresas que llegan solo hasta el nivel 3, ya que es un nivel con el cual muchas empresas no ven la necesidad de ir ms all. Por otro lado, normalmente las empresas que intentan alcanzar los niveles 4 y 5, lo realizan simultneamente ya que estn muy relacionados.

Cabe acotar nuevamente que el objetivo principal de estos niveles de madurez es lograr un nivel de estandarizacin adecuado para cada compaa respecto a sus procesos de desarrollo de software, con la finalidad de gestionar los proyectos de software adecuadamente y as lograr cumplir con los objetivos planificados para dicho proyecto. Es importante recordar tambin que lo primordial no es lograr la certificacin de los procesos de la organizacin sino lograr una institucionalizacin de dichos procesos estandarizados que conlleven a la realizacin de los objetivos definidos.

17

ESTANDARES DE TRABAJO EN T.I

1.5. ITIL Vs CMMI

El modelo ITIL se aplica al ciclo de vida completa de TI, pero se enfoca en los procesos operacionales (post-implementacin de un determinado servicio o infraestructura TI). De all proviene el gran problema de ITIL: que no cubre adecuadamente las fases de desarrollo de software ni la gestin de proyectos asociada a esa fase de construccin de activos software. Por otro lado, CMMI generalmente se aplica al desarrollo del servicio o infraestructura en TI (durante la implantacin). Sin embargo ambos tienen un punto comn de interseccin: La gestin de la entrega. Ambos modelos poseen actividades recomendadas para la gestin de la entrega de nuevos elementos de software e infraestructura.

Analizando ambos modelos, podemos observar que CMMI se centra en garantizar la calidad en el desarrollo de software mientras que ITIL garantiza la explotacin del producto software. Por ello, muchas empresas consideran que ambas metodologas no

18

ESTANDARES DE TRABAJO EN T.I

son excluyentes, sino complementarias, embarcndose en proyectos de anlisis y definicin de procesos que permitan encajar ambas filosofas de trabajo (En conjunto abarcan desde el desarrollo del software hasta la gestin del mantenimiento y servicios del mismo).

1.6. ITIL vs COBIT

Quizs sea COBIT la que ms puntos de confluencia presente con ITIL, aunque se presenten como complementarias. Incluso COBIT puede que tenga mayor alcance que ITIL ya que abarca todo el espectro de actividades de IT, mientras que ITIL est centrado solo en Service Management (gestin del servicio).

Ambos modelos son tambin complementarios y se pueden usar juntos: ITIL para lograr efectividad y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad, rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la compaa, usando para ello mtricas claves y cuadros de mando que reporten dicha informacin.

II.

STAKEHOLDERS DE REA DE T.I.

19

ESTANDARES DE TRABAJO EN T.I

20

ESTANDARES DE TRABAJO EN T.I

CONCLUSION

La nica razn para usar estos estndares y realizar una integracin entre ellos, es para ayudar a la organizacin a cumplir sus objetivos de negocio. Hay muchos estndares, y la lista seguir creciendo; no todas pueden usarse en conjunto; esto crea retos de integracin por resolver. Pero se pueden adaptar piezas de cada estndar y usarlo de manera personalizada en cada organizacin.

Por otro lado, no hay una manera nica de hacerlo; no hay recetas mgicas para decidir que usar y como usarlo pero si hay gua y mucha documentacin de ayuda y soporte. Cada compaa deber elegir su propia mix de buenas prcticas segn sus polticas, experiencia y capacidad. El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte, permite el uso

21

ESTANDARES DE TRABAJO EN T.I

de otros marcos de trabajo ms especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit.