Marco metodolgico y regulatorio

Gestin de las Tecnologas de Informacin

Presenta: Jeymie Elvira Medina Alva

MARCO REGULATORIO
El marco legal proporciona las bases sobre las cuales las

instituciones construyen y determinan el alcance y naturaleza de la participacin poltica. En el marco legal regularmente se encuentran en un buen nmero de provisiones regulatorias y leyes interrelacionadas entre s.
Las Normas de Auditora Generalmente Aceptadas son los

principios fundamentales de auditora a los que deben enmarcarse su desempeo los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

ESTNDARES PARA LA GESTIN DE TECNOLOGAS DE LA INFORMACIN

CLASIFICACIN
ESTNDARES DE CALIDAD
ESTNDARES PARA EL GOBIERNO DE TI ESTANDARES PARA AUDITORA DE LAS TI

ESTNDAR PARA LA GESTIN DE LOS SERVICIOS DE IT

Gestin de las TI
En este grfico se observan desde estndares de calidad como TQM o 6 Sigma que

son aplicados en empresas y departamentos de informtica como medio de mejora, a sistemas de control empresarial como SOX en Estados Unidos o BASILEA en Europa que van incorporando cada da ms controles operativos que afectan a TI; pasando por estndares de gestin o Gobierno de TI como funcin especfica dentro de las empresas como VALIT o ISO38500; siguiendo por estndares de Auditora Informtica como COBIT; guas de Gestin de Servicios de TI como ITIL o de Madurez en el Desarrollo como CMMI; hasta llegar a marcos de referencia para la Gestin de Proyectos (no necesariamente informticos) como PMBOK o PRINCE2, o metodologas orientadas al Desarrollo de Software como RUP o SCRUM.

Estndares de calidad
TQM

Gestin de Calidad Total (abreviada TQM, del ingls Total Quality Management) es una estrategia de gestin creada por Deming orientada a crear conciencia de calidad en todos los procesos organizacionales.
6 Sigma:

Metodologa de mejora de procesos, centrada en la reduccin de la variabilidad de los mismos, consiguiendo reducir o eliminar los defectos o fallas en la entrega de un producto o servicio al cliente.

Normas ISO (Estndares de Calidad)

ISO 9001: especifica los requisitos para un sistema de gestin de

la calidad que pueden utilizarse para su aplicacin interna por las organizaciones, para certificacin o con fines contractuales. Contiene la especificacin del modelo de gestin. Contiene "los requisitos" del Modelo. ISO 9004 : Contiene a la vieja ISO 9001, y adems ampla cada unos de los puntos con ms explicaciones y casos, e invita a los implantadores a ir ms all de los requisitos con nuevas ideas, esta apunta a eficiencia del sistema. ISO 19011 en su nueva versin 2011: Especifica los requisitos para la realizacin de las auditoras de un sistema de gestin ISO 9001 y tambin para el sistema de gestin medioambiental especificado en ISO 14001.

Estndares de calidad
LEAN: La metodologa de desarrollo de software Lean es una

translacin de los principios y prcticas de la manufactura esbelta hacia el dominio del desarrollo de software.

BASILEA: Estndar internacional que sirva de referencia a los

reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la proteccin de las entidades frente a los riesgos financieros y operativos.
El Comit de Supervisin Bancaria de Basilea est integrado por altos representantes

de autoridades de supervisin bancaria y bancos centrales de Alemania, Arabia Saudita, Argentina, Australia, Blgica, Brasil, Canad, China, Corea, Espaa, Estados Unidos, Francia, Hong Kong RAE, India, Indonesia, Italia, Japn, Luxemburgo, Mxico, los Pases Bajos, el Reino Unido, Rusia, Singapur, Sudfrica, Suecia, Suiza y Turqua. Sus reuniones suelen celebrarse en la sede del Banco de Pagos Internacionales (BPI) en Suiza, donde est ubicada su Secretara permanente.

Estndares para el Gobierno de TI

El Gobierno de las Tecnologas de la Informacin o Gobierno

de TI es, segn el IT Governance Institute (ITGI), es el conjunto de herramientas y mtodos que ayuda a la Alta Gerencia asegurar que la organizacin obtenga un ptimo valor de sus inversiones de negocio relacionadas a TI, a un costo manejable y bajo un nivel de riesgo aceptable. Es por lo tanto el gobierno de ms alto nivel de la gestin de las tecnologas de la informacin, aquel que permite alinear los objetivos de negocio y los objetivos de la empresa.

Estndares para el Gobierno de TI

Entre los estndares que han surgido en este nivel de Gobierno de TI

podemos destacar VALIT, creado por el ITGI, y que organizar el conjunto total de prcticas de la direccin de TI en tres reas:
Gobierno del Valor (GV Gestin de la Inversin (IM): Gestin del Portfolio (PM):

Establece el marco de trabajo general, la direccin estratgica de TI, las caractersticas deseadas del portafolio de inversiones, as como las restricciones y limitaciones aplicables para decidir las inversiones.

Basndose en los requerimientos del negocio, se definen los programas de inversin y se realiza una valoracin de los mismos para determinar si son enviados al proceso de gestin de portafolios para su evaluacin, evaluando su alineamiento a la objetivos estratgicos, su nivel de riesgo y la generacin de valor para el negocio.

Se evala y prioriza los proyectos basndose en las restricciones de recursos y costos, e incorpora los proyectos seleccionados al portafolio (cartera) de proyectos activos de la compaa.

VALIT: Marco para la Gestin de Empresas de Tecnologa

Un nuevo marco de gobernanza, y publicaciones de apoyo frente a la

gobernanza de TI habilitados para las inversiones empresariales, Val IT se compone de un conjunto de principios rectores. Una serie de procesos que se ajusten a los principios que se definen ms como un conjunto de prcticas de gestin de claves
El marco Val IT con el apoyo de publicaciones y herramientas

operativas y proporciona orientacin a:

 Definir la relacin entre TI y el negocio y

las funciones de la organizacin con responsabilidades de gobierno; Administrar la cartera de una organizacin de TI habilitados para las inversiones empresariales;

Maximizar la calidad de los anlisis de rentabilidad para las inversiones de negocios habilitadas por TI, con especial nfasis en la definicin de los principales indicadores financieros, la cuantificacin de los beneficios "suaves" y la valoracin global del riesgo a la baja

ESTANDARES PARA AUDITORA DE LAS TI

El estndar ms ampliamente difundido y utilizado para la Auditora

de TI es COBIT, creado por la ISACA. Est gua va mucho ms all de la auditora, y de hecho es utilizada por muchas organizaciones como una gua de buenas prcticas en la Gestin de los Sistemas y las Tecnologas de la Informacin.
La gua de COBIT es realmente completa, adems de ser muy madura

(ya se ha publicado su versin 5). Cubre prcticamente todos los aspectos que se deben tener en cuenta para una correcta gestin de los Sistemas y Tecnologas de la Informacin en una empresa u organizacin.

COBIT

COBIT: Objetivos de Control para Tecnologas de

informacin y relacionadas
El estndar Cobit) ofrece un conjunto de mejores prcticas para la

gestin de los Sistemas de Informacin de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin

Basado en 5 Principios
COBIT 5 se basa en cinco principios clave para la

gobernabilidad y la gestin de TI de la empresa:

Principio 1: Satisfaccin de las Necesidades de partes interesadas Principio 2: Cobertura de la Empresa de extremo a extremo

Principio 3: La aplicacin de un nico marco integrado Principio 4: Habilitacin de un enfoque holstico Principio 5: La separacin de la gobernanza de Gestin

El COBIT 5 describe 7 categoras

Principios, polticas y marcos son el medio para traducir el comportamiento deseado

en una gua prctica para la gestin del da a da. Procesos describe un conjunto organizado de prcticas y actividades para lograr ciertos objetivos y producir un conjunto de salidas en apoyo del logro de generales de TI relacionados con los objetivos. Las estructuras organizativas son las principales entidades de la toma de decisiones en una empresa. Cultura, tica y conducta de los individuos y de la empresa son muy a menudo subestimado como un factor de xito en las actividades de gobernanza y gestin. La informacin es necesaria para mantener la organizacin funcionando y bien gobernados, pero en el plano operativo, la informacin es muy a menudo la clave del producto de la propia empresa. Servicios, infraestructura y aplicaciones con la infraestructura, tecnologa y aplicaciones que proporcionan a la empresa con el procesamiento de tecnologa de la informacin y los servicios. Personas, habilidades y competencias son necesarias para completar con xito todas las actividades, y para tomar decisiones correctas y tomar acciones correctivas.

ISO 38500
ISO/IEC 38500 es un estndar que provee un marco de trabajo con

los principios necesarios para que los directores y gerentes puedan implantar los procesos de evaluacin, direccin y monitoreo del uso efectivo, eficiente y aceptable de la TI en sus organizaciones. Es aplicable a todas las organizaciones: pblicas y privadas, de cualquier tamao. Se fundamenta en la aplicacin de seis principios de Gobierno de TI: 1. Responsabilidad: Los clientes (usuarios) y el proveedor de servicios (organizacin de TI) deben usar un modelo de comunicacin efectiva, basado en la asignacin de responsabilidad y rendicin de cuentas y avances. 2. Estrategia: La planificacin estratgica de TI es compleja y critica, y requiere una coordinacin estrecha a todo lo ancho de la organizacin: unidades de negocio, organizacin y planes estratgicos de TI.

ISO 38500
3. Adquisicin: Las soluciones de TI existen para soportar los procesos de negocio. Estas no deben ser consideradas como proyectos aislados de TI, sino como aporte de valor que habilita cambio positivo en el negocio. 4. Desempeo: La medicin efectiva del desempeo depende de dos aspectos clave: la clara definicin de metas de desempeo y el establecimiento de mtricas efectivas para monitorear el logro de esas metas. 5. Cumplimiento: En el mercado global actual, habilitado por Internet y los avances tecnolgicos, las empresas necesitan cumplir con un amplio nmero de requerimientos legales y regulatorios. 6. Comportamiento Humano: La implementacin de todo cambio de TI, regularmente requiere un significante cambio cultural y de comportamiento del recurso humano dentro de la empresa, como tambin de las relaciones con los clientes, proveedores y asociados de negocio.

ITAF: Information Technology Assurance Framework

Informacin de la Tecnologa de Garanta de Marco

ITAF se aplica a individuos que actan en la capacidad de los

profesionales de aseguramiento de TI y se dedican a ofrecer garantas sobre algunos componentes de los sistemas de TI, aplicaciones e infraestructura. Sin embargo, hemos cuidado el diseo de estas normas, directrices y procedimientos de auditora de TI y seguridad de una manera que tambin puede ser til, y que beneficie a un pblico ms amplio, incluidos los usuarios de los informes de auditora de TI y seguridad.

Estndar para la gestin de los servicios de IT

ITIL

Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos. Iniciado como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.

ITIL

Soporte al servicio

Estndar para Desarrollo de Sistemas

En el caso del proceso de Desarrollo de Software, uno de los

estndares ms aceptado dentro de la industria es un modelo de madurez, denominado CMMI (Software Capability Maturity Model). El CMMI describe una serie de niveles que pueden alcanzarse en el desarrollo de software y en el que las empresas y organizaciones pueden certificarse:
Nivel 1: Inicial (anrquico) Nivel 2: Gestionado (repetitivo) Nivel 3: Definido Nivel 4: Gestionado de forma cuantitativa (administrado)

Nivel 5: Optimo (mejora continua)

Estndar par agestin de Proyectos

La gestin de proyectos no es una caracterstica exclusiva

del desarrollo de software o de los departamentos de TI. Ms bien al contrario, es un tipo de gestin que realiza prcticamente todas las empresas, organizaciones y personas alguna vez en su vida. Sectores como el de la construccin o la ingeniera son grandes usuarios de la gestin de proyectos. El desarrollo de software, o la implantacin de Sistemas de Informacin tambin. Quizs, por su carcter inmaterial, los proyectos informticos tienen algunas caractersticas especiales, ya que es ms complicado entender su funcionamiento, evolucin, diseo y en ocasiones su funcionamiento. Es por ello, que los proyectos relacionados con las Tecnologas de la Informacin son en general ms complejos y difciles de llevar a cabo.

Project Management Body of Knowledge (PMBOK)

Desarrollado por el Project Management Institute (PMI) es

una gua de fundamentos para la Direccin de Proyectos, de cualquier tipo y caracterstica, que describe de forma precisa los conocimientos y herramientas que necesita conocer todo jefe de proyecto para poder abordar la tarea que le ha sido encomendada. La gua del PMBOK define 9 reas de conocimiento en las que agrupa cada una de las actividades, que van desde la Gestin Integrada del Proyecto, a las cuatro funciones principales (Gestin del Alcance, Gestin del Tiempo, Gestin del Coste y Gestin de la Calidad) y las cuatro auxiliares (Gestin de los Recursos Humanos, Gestin de la Comunicacin, Gestin de Riesgos y Gestin de Compras):

(PMBOK)

Describe un ciclo de vida del proyecto (que no debemos confundir con las fases o etapas de cada proyecto) que incluye inicio, organizacin-planificacin, ejecucin y cierre. Este ciclo de vida se puede realizar una sola vez en todo el proyecto, o en cada fase o etapa:

PMBOOK
Por cada una de las reas de

conocimiento y cada una de las etapas del ciclo de vida del proyecto el PMBOK define unas entradas, unas herramientas y tcnicas que podemos utilizar y unas salidas que debemos generar, estableciendo de esta forma un completo mapa de los procesos que intervienen en la gestin de un proyecto.

REGULACIN TICs EN MXICO

Existe el documento:

Normas Tcnicas en Tecnologas de Informacin y Comunicaciones

Creado por la Contralora General de la Repblica

Ley Federal de Proteccin de Datos Personales Comisin Federal de Telecomunicaciones

COFEMER | Comisin Federal de Mejora Regulatoria

Fuentes de consulta:
http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion

siti/pablo-almunia-estandares-para-la-gestion-de-ti-primeraparte/ www.wikipedia.org http://www.bis.org/publ/bcbs189_es.pdf http://www.isaca.org/cobit/pages/default.aspx http://www.isaca.org/Knowledge-Center/Val-IT-IT-ValueDelivery-/Pages/Val-IT1.aspx http://www.sicelca.com/iso-38500 http://blog.iedge.eu/tecnologia-sistemas-informacion/direccionsiti/pablo-almunia-estandares-para-la-gestion-de-ti-segundaparte/