Marco metodológico y regulatorio Gestión de las Tecnologías de Información Presenta: Jeymie Elvira Medina Alva MARCO
Views 151 Downloads 4 File size 892KB
Marco metodológico y regulatorio
Gestión de las Tecnologías de Información
Presenta: Jeymie Elvira Medina Alva
MARCO REGULATORIO El marco legal proporciona las bases sobre las cuales las
instituciones construyen y determinan el alcance y naturaleza de la participación política. En el marco legal regularmente se encuentran en un buen número de provisiones regulatorias y leyes interrelacionadas entre sí. Las Normas de Auditoría Generalmente Aceptadas son los
principios fundamentales de auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.
ESTÁNDARES PARA LA GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
CLASIFICACIÓN ESTÁNDARES DE CALIDAD ESTÁNDARES PARA EL GOBIERNO DE TI ESTANDARES PARA AUDITORÍA DE LAS TI
ESTÁNDAR PARA LA GESTIÓN DE LOS SERVICIOS DE IT
Gestión de las TI En este gráfico se observan desde estándares de calidad como TQM o 6 Sigma que
son aplicados en empresas y departamentos de informática como medio de mejora, a sistemas de control empresarial como SOX en Estados Unidos o BASILEA en Europa que van incorporando cada día más controles operativos que afectan a TI; pasando por estándares de gestión o Gobierno de TI como función específica dentro de las empresas como VALIT o ISO38500; siguiendo por estándares de Auditoría Informática como COBIT; guías de Gestión de Servicios de TI como ITIL o de Madurez en el Desarrollo como CMMI; hasta llegar a marcos de referencia para la Gestión de Proyectos (no necesariamente informáticos) como PMBOK o PRINCE2, o metodologías orientadas al Desarrollo de Software como RUP o SCRUM.
Estándares de calidad TQM
Gestión de Calidad Total (abreviada TQM, del inglés Total Quality Management) es una estrategia de gestión creada por Deming orientada a crear conciencia de calidad en todos los procesos organizacionales. 6 Sigma:
Metodología de mejora de procesos, centrada en la reducción de la variabilidad de los mismos, consiguiendo reducir o eliminar los defectos o fallas en la entrega de un producto o servicio al cliente.
Normas ISO (Estándares de Calidad) ISO 9001: especifica los requisitos para un sistema de gestión de
la calidad que pueden utilizarse para su aplicación interna por las organizaciones, para certificación o con fines contractuales. Contiene la especificación del modelo de gestión. Contiene "los requisitos" del Modelo. ISO 9004 : Contiene a la vieja ISO 9001, y además amplía cada unos de los puntos con más explicaciones y casos, e invita a los implantadores a ir más allá de los requisitos con nuevas ideas, esta apunta a eficiencia del sistema. ISO 19011 en su nueva versión 2011: Especifica los requisitos para la realización de las auditorías de un sistema de gestión ISO 9001 y también para el sistema de gestión medioambiental especificado en ISO 14001.
Estándares de calidad LEAN: La metodología de desarrollo de software Lean es una
translación de los principios y prácticas de la manufactura esbelta hacia el dominio del desarrollo de software.
BASILEA: Estándar internacional que sirva de referencia a los
reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos. El Comité de Supervisión Bancaria de Basilea está integrado por altos representantes
de autoridades de supervisión bancaria y bancos centrales de Alemania, Arabia Saudita, Argentina, Australia, Bélgica, Brasil, Canadá, China, Corea, España, Estados Unidos, Francia, Hong Kong RAE, India, Indonesia, Italia, Japón, Luxemburgo, México, los Países Bajos, el Reino Unido, Rusia, Singapur, Sudáfrica, Suecia, Suiza y Turquía. Sus reuniones suelen celebrarse en la sede del Banco de Pagos Internacionales (BPI) en Suiza, donde está ubicada su Secretaría permanente.
Estándares para el Gobierno de TI El Gobierno de las Tecnologías de la Información o Gobierno
de TI es, según el IT Governance Institute (ITGI), es el conjunto de herramientas y métodos “que ayuda a la Alta Gerencia asegurar que la organización obtenga un óptimo valor de sus inversiones de negocio relacionadas a TI, a un costo manejable y bajo un nivel de riesgo aceptable”. Es por lo tanto el gobierno de más alto nivel de la gestión de las tecnologías de la información, aquel que permite alinear los objetivos de negocio y los objetivos de la empresa.
Estándares para el Gobierno de TI Entre los estándares que han surgido en este nivel de Gobierno de TI
podemos destacar VALIT, creado por el ITGI, y que organizar el conjunto total de prácticas de la dirección de TI en tres áreas: Gobierno del Valor (GV
Gestión de la Inversión (IM):
Establece el marco de trabajo general, la dirección estratégica de TI, las características deseadas del portafolio de inversiones, así como las restricciones y limitaciones aplicables para decidir las inversiones.
Basándose en los requerimientos del negocio, se definen los programas de inversión y se realiza una valoración de los mismos para determinar si son enviados al proceso de gestión de portafolios para su evaluación, evaluando su alineamiento a la objetivos estratégicos, su nivel de riesgo y la generación de valor para el negocio.
Gestión del Portfolio (PM):
Se evalúa y prioriza los proyectos basándose en las restricciones de recursos y costos, e incorpora los proyectos seleccionados al portafolio (cartera) de proyectos activos de la compañía.
VALIT: Marco para la Gestión de Empresas de Tecnología Un nuevo marco de gobernanza, y publicaciones de apoyo frente a la
gobernanza de TI habilitados para las inversiones empresariales, Val IT se compone de un conjunto de principios rectores. Una serie de procesos que se ajusten a los principios que se definen más como un conjunto de prácticas de gestión de claves El marco Val IT con el apoyo de publicaciones y herramientas
operativas y proporciona orientación a:
Definir la relación entre TI y el negocio y
las funciones de la organización con responsabilidades de gobierno; Administrar la cartera de una organización de TI habilitados para las inversiones empresariales;
Maximizar la calidad de los análisis de rentabilidad para las inversiones de negocios habilitadas por TI, con especial énfasis en la definición de los principales indicadores financieros, la cuantificación de los beneficios "suaves" y la valoración global del riesgo a la baja
ESTANDARES PARA AUDITORÍA DE LAS TI El estándar más ampliamente difundido y utilizado para la Auditoría
de TI es COBIT, creado por la ISACA. Está guía va mucho más allá de la auditoría, y de hecho es utilizada por muchas organizaciones como una guía de buenas prácticas en la Gestión de los Sistemas y las Tecnologías de la Información. La guía de COBIT es realmente completa, además de ser muy madura
(ya se ha publicado su versión 5). Cubre prácticamente todos los aspectos que se deben tener en cuenta para una correcta gestión de los Sistemas y Tecnologías de la Información en una empresa u organización.
COBIT
COBIT: Objetivos de Control para Tecnologías de información y relacionadas El estándar Cobit) ofrece un conjunto de “mejores prácticas” para la
gestión de los Sistemas de Información de las organizaciones. El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de: Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organización Mejorar la eficacia i eficiencia de los procesos y actividades de la organización Garantizar la confidencialidad, integridad y disponibilidad de la información
Basado en 5 Principios COBIT 5 se basa en cinco principios clave para la
gobernabilidad y la gestión de TI de la empresa:
Principio 1: Satisfacción de las Necesidades de partes interesadas
Principio 2: Cobertura de la Empresa de extremo a extremo
Principio 3: La aplicación de un único marco integrado Principio 4: Habilitación de un enfoque holístico Principio 5: La separación de la gobernanza de Gestión
El COBIT 5 describe 7 categorías Principios, políticas y marcos son el medio para traducir el comportamiento deseado
en una guía práctica para la gestión del día a día. Procesos describe un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir un conjunto de salidas en apoyo del logro de generales de TI relacionados con los objetivos. Las estructuras organizativas son las principales entidades de la toma de decisiones en una empresa. Cultura, ética y conducta de los individuos y de la empresa son muy a menudo subestimado como un factor de éxito en las actividades de gobernanza y gestión. La información es necesaria para mantener la organización funcionando y bien gobernados, pero en el plano operativo, la información es muy a menudo la clave del producto de la propia empresa. Servicios, infraestructura y aplicaciones con la infraestructura, tecnología y aplicaciones que proporcionan a la empresa con el procesamiento de tecnología de la información y los servicios. Personas, habilidades y competencias son necesarias para completar con éxito todas las actividades, y para tomar decisiones correctas y tomar acciones correctivas.
ISO 38500 ISO/IEC 38500 es un estándar que provee un marco de trabajo con
los principios necesarios para que los directores y gerentes puedan implantar los procesos de evaluación, dirección y monitoreo del uso efectivo, eficiente y aceptable de la TI en sus organizaciones. Es aplicable a todas las organizaciones: públicas y privadas, de cualquier tamaño. Se fundamenta en la aplicación de seis principios de Gobierno de TI: 1. Responsabilidad: Los clientes (usuarios) y el proveedor de servicios (organización de TI) deben usar un modelo de comunicación efectiva, basado en la asignación de responsabilidad y rendición de cuentas y avances. 2. Estrategia: La planificación estratégica de TI es compleja y critica, y requiere una coordinación estrecha a todo lo ancho de la organización: unidades de negocio, organización y planes estratégicos de TI.
ISO 38500 3. Adquisición: Las soluciones de TI existen para soportar los procesos de negocio. Estas no deben ser consideradas como proyectos aislados de TI, sino como aporte de valor que habilita cambio positivo en el negocio. 4. Desempeño: La medición efectiva del desempeño depende de dos aspectos clave: la clara definición de metas de desempeño y el establecimiento de métricas efectivas para monitorear el logro de esas metas. 5. Cumplimiento: En el mercado global actual, habilitado por Internet y los avances tecnológicos, las empresas necesitan cumplir con un amplio número de requerimientos legales y regulatorios. 6. Comportamiento Humano: La implementación de todo cambio de TI, regularmente requiere un significante cambio cultural y de comportamiento del recurso humano dentro de la empresa, como también de las relaciones con los clientes, proveedores y asociados de negocio.
ITAF: Information Technology Assurance Framework Información de la Tecnología de Garantía de Marco
ITAF se aplica a individuos que actúan en la capacidad de los
profesionales de aseguramiento de TI y se dedican a ofrecer garantías sobre algunos componentes de los sistemas de TI, aplicaciones e infraestructura. Sin embargo, hemos cuidado el diseño de estas normas, directrices y procedimientos de auditoría de TI y seguridad de una manera que también puede ser útil, y que beneficie a un público más amplio, incluidos los usuarios de los informes de auditoría de TI y seguridad.
Estándar para la gestión de los servicios de IT ITIL
Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.
ITIL
Soporte al servicio
Estándar para Desarrollo de Sistemas En el caso del proceso de Desarrollo de Software, uno de los
estándares más aceptado dentro de la industria es un modelo de madurez, denominado CMMI (Software Capability Maturity Model). El CMMI describe una serie de niveles que pueden alcanzarse en el desarrollo de software y en el que las empresas y organizaciones pueden certificarse: Nivel 1: Inicial (anárquico) Nivel 2: Gestionado (repetitivo) Nivel 3: Definido Nivel 4: Gestionado de forma cuantitativa (administrado)
Nivel 5: Optimo (mejora continua)
Estándar par agestión de Proyectos La gestión de proyectos no es una característica exclusiva
del desarrollo de software o de los departamentos de TI. Más bien al contrario, es un tipo de gestión que realiza prácticamente todas las empresas, organizaciones y personas alguna vez en su vida. Sectores como el de la construcción o la ingeniería son grandes “usuarios” de la gestión de proyectos. El desarrollo de software, o la implantación de Sistemas de Información también. Quizás, por su carácter inmaterial, los proyectos informáticos tienen algunas características especiales, ya que es más complicado entender su funcionamiento, evolución, diseño y en ocasiones su funcionamiento. Es por ello, que los proyectos relacionados con las Tecnologías de la Información son en general más complejos y difíciles de llevar a cabo.
Project Management Body of Knowledge (PMBOK) Desarrollado por el Project Management Institute (PMI) es
una guía de fundamentos para la Dirección de Proyectos, de cualquier tipo y característica, que describe de forma precisa los conocimientos y herramientas que necesita conocer todo jefe de proyecto para poder abordar la tarea que le ha sido encomendada. La guía del PMBOK define 9 áreas de conocimiento en las que agrupa cada una de las actividades, que van desde la Gestión Integrada del Proyecto, a las cuatro funciones principales (Gestión del Alcance, Gestión del Tiempo, Gestión del Coste y Gestión de la Calidad) y las cuatro auxiliares (Gestión de los Recursos Humanos, Gestión de la Comunicación, Gestión de Riesgos y Gestión de Compras):
(PMBOK)
Describe un ciclo de vida del proyecto (que no debemos confundir con las fases o etapas de cada proyecto) que incluye inicio, organización-planificación, ejecución y cierre. Este ciclo de vida se puede realizar una sola vez en todo el proyecto, o en cada fase o etapa:
PMBOOK Por cada una de las áreas de
conocimiento y cada una de las etapas del ciclo de vida del proyecto el PMBOK define unas entradas, unas herramientas y técnicas que podemos utilizar y unas salidas que debemos generar, estableciendo de esta forma un completo mapa de los procesos que intervienen en la gestión de un proyecto.
REGULACIÓN TICs EN MÉXICO Existe el documento:
Normas Técnicas en Tecnologías de Información y Comunicaciones Creado por la Contraloría General de la República
Ley Federal de Protección de Datos Personales Comisión Federal de Telecomunicaciones
COFEMER | Comisión Federal de Mejora Regulatoria
Fuentes de consulta: http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-
siti/pablo-almunia-estandares-para-la-gestion-de-ti-primeraparte/ www.wikipedia.org http://www.bis.org/publ/bcbs189_es.pdf http://www.isaca.org/cobit/pages/default.aspx http://www.isaca.org/Knowledge-Center/Val-IT-IT-ValueDelivery-/Pages/Val-IT1.aspx http://www.sicelca.com/iso-38500 http://blog.iedge.eu/tecnologia-sistemas-informacion/direccionsiti/pablo-almunia-estandares-para-la-gestion-de-ti-segundaparte/