Académique Documents
Professionnel Documents
Culture Documents
INSTITUTO IDAT |
INDICE
INTRODUCCION ----------------------------------------------------------------------------------- 3 I. ESTANDARES DE TRABAJO EN T.I -------------------------------------------------------- 4 1.1 COBIT -------------------------------------------------------------------------------------- 4 1.1.1 ENFOCADO AL MANAGEMENT -------------------------------------------- 4 1.1.2 ENFOCADO A LOS USUARIOS DE TI --------------------------------------- 4 1.1.3 ENFOCADO A AUDITORES --------------------------------------------------- 5 1.1.3.1 PLANIFICACIN Y ORGANIZACIN --------------------------- 5 1.1.3.2 ADQUISICIN E IMPLEMENTACIN ------------------------- 5 1.1.3.3 ENTREGA Y SOPORTE ------------------------------------------- 5 1.1.3.4 MONITOREO Y EVALUACIN ---------------------------------- 5 1.1.4 PLANIFICACION Y ORGANIZACIN ---------------------------------------- 8 1.1.5 ADQUISICIN E IMPLEMENTACIN--------------------------------------- 9 1.2 COSO ------------------------------------------------------------------------------------- 10 1.2.1 VENTAJAS DE COSO --------------------------------------------------------- 10 1.3 ITIL ---------------------------------------------------------------------------------------- 12 1.3.1 MAYOR ALINEAMIENTO DE TI CON EL NEGOCIO -------------------- 14 1.3.2 RESOLUCIN DE INCIDENCIAS Y PROBLEMAS MS RPIDA ------- 14 1.3.3 REDUCCIN DEL NMERO DE LLAMADAS AL SERVICE DESK ------ 14 1.3.4 AUMENTO DEL RATIO RESOLUCIN EN PRIMERA INSTANCIA----- 14 1.3.5 IMPLANTACIN DE CAMBIOS MS RPIDA --------------------------- 14 1.3.6 REDUCCIN DEL NMERO DE CAMBIOS ------------------------------ 15 1.4 CMMI ------------------------------------------------------------------------------------- 15 1.5 ITIL VS CMMI---------------------------------------------------------------------------- 18 1.6 ITIL VS COBIT ---------------------------------------------------------------------------- 18 II. STAKEHOLDERS DE REA DE T.I --------------------------------------------------------- 19 CONCLUSION -------------------------------------------------------------------------------- 21
INTRODUCCIN
La importancia que las TI han alcanzado hoy en da es enorme. Ha dejado de ser una herramienta de soporte y/o un rea accesoria para convertirse en algn totalmente necesario para cualquier empresa. Hoy en da es impensable concebir una empresa que no use las tecnologas de la informacin para la gestin del da a da; desde las formas ms bsicas como el uso de una hoja Excel o del correo electrnico hasta implantaciones de inteligencia de negocios y minera de datos. Pero de cualquier modo, son muchos los problemas que se presentan al gestionar estas Tecnologas de la Informacin, principalmente en el sentido de cmo lograr que las TI conlleven a una ventaja para la organizacin, como hacer que las TI sean una inversin con retorno y no solamente un gasto necesario. Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prcticas que buscan eliminar estas problemticas. Estas mejores prcticas se han convertido en estndares de la industria, tales es as que su implantacin se ha convertido en los ltimos aos en una necesidad para aquellas empresas que deseen gestionar las TI adecuadamente y lograr ventajas de negocio de las mismas.
I.
Una de las principales dificultades de todos los profesionales que nos dedicamos a cuestiones metodolgicas, gestin y/o direccin de TI, es encontrarnos con informacin valiosa y su idoneidad atendiendo al mbito de uso. Es por ello que se han creado en la industria diversos marcos de trabajo y mejores prcticas que buscan eliminar estas problemticas. Estas mejores prcticas se han convertido en estndares de la industria, tales es as que su implantacin.
1.1. COBIT
COBIT (Control Objetives for Information and related Technology) es el estndar generalmente aceptado que brinda buenas prcticas para gestin y control de las TI. El marco de trabajo de COBIT tiene un triple enfoque:
requerimientos de negocio, determinados por los criterios de la informacin, los cuales establecen los niveles de rendimiento en cada uno de los siguientes aspectos: Eficiencia Eficacia Confidencialidad Integridad
Estos criterios deben ser tomados en cuanto al momento de ejecutar los procesos COBIT y al momento de monitorear los diversos recursos de TI con los que cuenta la compaa (aplicaciones, informacin, infraestructura y personas). Estos nos dan un marco completo de trabajo para gestionar y controlar las TI y poder maximizar los beneficios de las TI para con la organizacin.
Cabe destacar que, Cobit tambin ofrece mecanismos para la medicin de las capacidades de los procesos con objeto de conseguir una mejora continua. Para ello, proporciona indicaciones para valorar la madurez en funcin de la misma clasificacin utilizada por estndares como ISO 15504
Todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.
En general, gran parte de los puntos que se exponen a continuacin pueden ser mapeados a los controles definidos en el estndar ISO 27002.
de usuarios.
P07 Gestin de los recursos humanos de las tecnologas de la informacin:
contratacin, competencias del personal, roles, planes de formacin, evaluacin del desempeo de los empleados.
P08 Gestin de la calidad: mejora continua, orientacin al cliente, sistemas
de recursos, etc.
de
infraestructuras,
controles
de
proteccin
disponibilidad,
mantenimiento.
personal de soporte.
A.I5 Obtencin de recursos tecnolgicos: control y asignacin los
recursos
disponibles,
gestin
de
contratos
con
proveedores,
cambios, verificacin del impacto y priorizacin, cambios de emergencia, seguimiento de los cambios, actualizacin de documentos.
A.I7 Instalacin y acreditacin de soluciones y cambios: Formacin,
pruebas tcnicas y de usuario, conversiones de datos, test de aceptacin por el cliente, traspaso a produccin.
1.2. COSO
El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de control. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia.
10
Existen en la actualidad 2 versiones del Informe COSO. La versin del 1992 y la versin del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo. Es un medio para un fin, no un fin en s mismo. Efectuado por la junta directiva, gerencia u otro personal. No es slo normas, procedimientos y formas involucra gente Aplicado en la definicin de la estrategia y aplicado a travs de la organizacin en cada nivel y unidad Diseado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administracin y para la junta directiva de la organizacin orientada al logro de los objetivos del negocio.
Proporciona un marco de referencia aplicable a cualquier organizacin. Este proceso debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. Trasmitir el concepto de que el esfuerzo involucra a toda la organizacin.
1.2.1.
Ventajas de Coso Permite a la direccin de la empresa poseer una visin global del riesgo y accionar los planes para su correcta gestin. Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestin. Toma de decisiones ms segura, facilitando la asignacin del capital. Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, as como los riesgos asumidos y los controles puestos en accin. Permite dar soporte a las actividades de planificacin estratgica y control interno. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prcticas de gobierno corporativo. Fomenta que la gestin de riesgos pase a formar parte de la cultura del grupo.
11
12
1.3. ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI. La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
13
Por otro lado, la gestin de servicios con ITIL tiene su columna vertebral en la funcin de Service Desk, la cual es el punto nico de contacto entre la organizacin y el usuario o cliente del servicio. A continuacin graficamos en forma resumida su funcionamiento y relacin con los dems procesos de ITIL:
1.3.1
1.3.2
Al tener una posicin proactiva hacia la resolucin rpida y eficaz de incidentes y a la vez hacia la prevencin de los mismos, se logra tambin la satisfaccin de los clientes
1.3.3
14
conocimientos (llamada por ITIL: Known Error Database) con la que la organizacin logra una mejora continua minimizando cada vez el nmero de incidentes y la carga de trabajo del Service Desk.
1.3.4
Organizando adecuadamente los niveles de escalamiento de incidentes en el Service Desk, se logra maximizar el tiempo de respuesta y resolucin desde que se comunica el incidente en el servicio TI hasta su resolucin
1.3.5
1.3.6
1.4. CMMI
El modelo CMMI (Capacity Madurity Model Integrated) es una fusin de modelos de mejora de procesos e ingeniera del software. Constituye una forma de medir el grado de madurez de las organizaciones respecto a la aplicacin de las mejores prcticas de
15
desarrollo y gestin del software. El objetivo de CMMI es establecer una gua que permita a las organizaciones mejorar sus procesos y su habilidad para organizar, desarrollar, adquirir y mantener productos y servicios informticos Son cinco los niveles de madurez que establece CMMI:
Nivel 1: Inicial o ejecutado Este es el nivel en donde estn todas las empresas que no tienen procesos: es donde el proceso se ejecuta y se logra su objetivo, as sea fuera de presupuesto y de cronograma. En este nivel de madurez, el desarrollo del proyecto es totalmente opaco, no se sabe lo que pasa en l.
Nivel 2: Repetible Se da cuando el xito de los resultados obtenidos se puede repetir. La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado y controlado durante el desarrollo del mismo, se decir: adems de ejecutarse, el proceso se planifica, se revisa y se evala para comprobar que cumple los requisitos.
16
Nivel 3: Definido Significa que la forma de desarrollar proyectos est definida, establecida, documentada y que existen mtricas (obtencin de datos objetivos) para la consecucin de objetivos concretos.
Nivel 4: Administrado Los proyectos usan objetivos medibles y cuantificables para alcanzar cubrir las necesidades de los clientes y la organizacin. Es decir, se usan mtricas para gestionar la organizacin. Nivel 5: Optimizado Los procesos de los proyectos y de la organizacin estn orientados a la mejora de las actividades, que mediante mtricas son identificadas, evaluadas y puestas en prctica.
La mayora de las empresas que llegan solo hasta el nivel 3, ya que es un nivel con el cual muchas empresas no ven la necesidad de ir ms all. Por otro lado, normalmente las empresas que intentan alcanzar los niveles 4 y 5, lo realizan simultneamente ya que estn muy relacionados.
Cabe acotar nuevamente que el objetivo principal de estos niveles de madurez es lograr un nivel de estandarizacin adecuado para cada compaa respecto a sus procesos de desarrollo de software, con la finalidad de gestionar los proyectos de software adecuadamente y as lograr cumplir con los objetivos planificados para dicho proyecto. Es importante recordar tambin que lo primordial no es lograr la certificacin de los procesos de la organizacin sino lograr una institucionalizacin de dichos procesos estandarizados que conlleven a la realizacin de los objetivos definidos.
17
El modelo ITIL se aplica al ciclo de vida completa de TI, pero se enfoca en los procesos operacionales (post-implementacin de un determinado servicio o infraestructura TI). De all proviene el gran problema de ITIL: que no cubre adecuadamente las fases de desarrollo de software ni la gestin de proyectos asociada a esa fase de construccin de activos software. Por otro lado, CMMI generalmente se aplica al desarrollo del servicio o infraestructura en TI (durante la implantacin). Sin embargo ambos tienen un punto comn de interseccin: La gestin de la entrega. Ambos modelos poseen actividades recomendadas para la gestin de la entrega de nuevos elementos de software e infraestructura.
Analizando ambos modelos, podemos observar que CMMI se centra en garantizar la calidad en el desarrollo de software mientras que ITIL garantiza la explotacin del producto software. Por ello, muchas empresas consideran que ambas metodologas no
18
son excluyentes, sino complementarias, embarcndose en proyectos de anlisis y definicin de procesos que permitan encajar ambas filosofas de trabajo (En conjunto abarcan desde el desarrollo del software hasta la gestin del mantenimiento y servicios del mismo).
Ambos modelos son tambin complementarios y se pueden usar juntos: ITIL para lograr efectividad y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad, rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la compaa, usando para ello mtricas claves y cuadros de mando que reporten dicha informacin.
II.
19
20
CONCLUSION
La nica razn para usar estos estndares y realizar una integracin entre ellos, es para ayudar a la organizacin a cumplir sus objetivos de negocio. Hay muchos estndares, y la lista seguir creciendo; no todas pueden usarse en conjunto; esto crea retos de integracin por resolver. Pero se pueden adaptar piezas de cada estndar y usarlo de manera personalizada en cada organizacin.
Por otro lado, no hay una manera nica de hacerlo; no hay recetas mgicas para decidir que usar y como usarlo pero si hay gua y mucha documentacin de ayuda y soporte. Cada compaa deber elegir su propia mix de buenas prcticas segn sus polticas, experiencia y capacidad. El estndar Cobit nos ofrece una completa gua de alto nivel para la definicin y evaluacin de los procesos de negocios relacionados con los Sistemas de Informacin. Por otra parte, permite el uso
21
de otros marcos de trabajo ms especficos (p.ej. CMMI, ITIL, etc.) sin perder la compatibilidad gracias a al carcter generalista de Cobit.