• Author / Uploaded
• Jeymie Medina

Citation preview

Marco metodológico y regulatorio

Gestión de las Tecnologías de Información

Presenta: Jeymie Elvira Medina Alva

MARCO REGULATORIO  El marco legal proporciona las bases sobre las cuales las

instituciones construyen y determinan el alcance y naturaleza de la participación política. En el marco legal regularmente se encuentran en un buen número de provisiones regulatorias y leyes interrelacionadas entre sí.  Las Normas de Auditoría Generalmente Aceptadas son los

principios fundamentales de auditoría a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor.

ESTÁNDARES PARA LA GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

CLASIFICACIÓN ESTÁNDARES DE CALIDAD ESTÁNDARES PARA EL GOBIERNO DE TI ESTANDARES PARA AUDITORÍA DE LAS TI

ESTÁNDAR PARA LA GESTIÓN DE LOS SERVICIOS DE IT

Gestión de las TI  En este gráfico se observan desde estándares de calidad como TQM o 6 Sigma que

son aplicados en empresas y departamentos de informática como medio de mejora, a sistemas de control empresarial como SOX en Estados Unidos o BASILEA en Europa que van incorporando cada día más controles operativos que afectan a TI; pasando por estándares de gestión o Gobierno de TI como función específica dentro de las empresas como VALIT o ISO38500; siguiendo por estándares de Auditoría Informática como COBIT; guías de Gestión de Servicios de TI como ITIL o de Madurez en el Desarrollo como CMMI; hasta llegar a marcos de referencia para la Gestión de Proyectos (no necesariamente informáticos) como PMBOK o PRINCE2, o metodologías orientadas al Desarrollo de Software como RUP o SCRUM.

Estándares de calidad  TQM

Gestión de Calidad Total (abreviada TQM, del inglés Total Quality Management) es una estrategia de gestión creada por Deming orientada a crear conciencia de calidad en todos los procesos organizacionales. 6 Sigma:

Metodología de mejora de procesos, centrada en la reducción de la variabilidad de los mismos, consiguiendo reducir o eliminar los defectos o fallas en la entrega de un producto o servicio al cliente.

Normas ISO (Estándares de Calidad)  ISO 9001: especifica los requisitos para un sistema de gestión de

la calidad que pueden utilizarse para su aplicación interna por las organizaciones, para certificación o con fines contractuales. Contiene la especificación del modelo de gestión. Contiene "los requisitos" del Modelo.  ISO 9004 : Contiene a la vieja ISO 9001, y además amplía cada unos de los puntos con más explicaciones y casos, e invita a los implantadores a ir más allá de los requisitos con nuevas ideas, esta apunta a eficiencia del sistema.  ISO 19011 en su nueva versión 2011: Especifica los requisitos para la realización de las auditorías de un sistema de gestión ISO 9001 y también para el sistema de gestión medioambiental especificado en ISO 14001.

Estándares de calidad  LEAN: La metodología de desarrollo de software Lean es una

translación de los principios y prácticas de la manufactura esbelta hacia el dominio del desarrollo de software.

 BASILEA: Estándar internacional que sirva de referencia a los

reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.  El Comité de Supervisión Bancaria de Basilea está integrado por altos representantes

de autoridades de supervisión bancaria y bancos centrales de Alemania, Arabia Saudita, Argentina, Australia, Bélgica, Brasil, Canadá, China, Corea, España, Estados Unidos, Francia, Hong Kong RAE, India, Indonesia, Italia, Japón, Luxemburgo, México, los Países Bajos, el Reino Unido, Rusia, Singapur, Sudáfrica, Suecia, Suiza y Turquía.  Sus reuniones suelen celebrarse en la sede del Banco de Pagos Internacionales (BPI) en Suiza, donde está ubicada su Secretaría permanente.

Estándares para el Gobierno de TI  El Gobierno de las Tecnologías de la Información o Gobierno

de TI es, según el IT Governance Institute (ITGI), es el conjunto de herramientas y métodos “que ayuda a la Alta Gerencia asegurar que la organización obtenga un óptimo valor de sus inversiones de negocio relacionadas a TI, a un costo manejable y bajo un nivel de riesgo aceptable”. Es por lo tanto el gobierno de más alto nivel de la gestión de las tecnologías de la información, aquel que permite alinear los objetivos de negocio y los objetivos de la empresa.

Estándares para el Gobierno de TI  Entre los estándares que han surgido en este nivel de Gobierno de TI

podemos destacar VALIT, creado por el ITGI, y que organizar el conjunto total de prácticas de la dirección de TI en tres áreas: Gobierno del Valor (GV

Gestión de la Inversión (IM):

Establece el marco de trabajo general, la dirección estratégica de TI, las características deseadas del portafolio de inversiones, así como las restricciones y limitaciones aplicables para decidir las inversiones.

Basándose en los requerimientos del negocio, se definen los programas de inversión y se realiza una valoración de los mismos para determinar si son enviados al proceso de gestión de portafolios para su evaluación, evaluando su alineamiento a la objetivos estratégicos, su nivel de riesgo y la generación de valor para el negocio.

Gestión del Portfolio (PM):

Se evalúa y prioriza los proyectos basándose en las restricciones de recursos y costos, e incorpora los proyectos seleccionados al portafolio (cartera) de proyectos activos de la compañía.

VALIT: Marco para la Gestión de Empresas de Tecnología  Un nuevo marco de gobernanza, y publicaciones de apoyo frente a la

gobernanza de TI habilitados para las inversiones empresariales, Val IT se compone de un conjunto de principios rectores. Una serie de procesos que se ajusten a los principios que se definen más como un conjunto de prácticas de gestión de claves  El marco Val IT con el apoyo de publicaciones y herramientas

operativas y proporciona orientación a:

 Definir la relación entre TI y el negocio y

las funciones de la organización con responsabilidades de gobierno;  Administrar la cartera de una organización de TI habilitados para las inversiones empresariales; 

Maximizar la calidad de los análisis de rentabilidad para las inversiones de negocios habilitadas por TI, con especial énfasis en la definición de los principales indicadores financieros, la cuantificación de los beneficios "suaves" y la valoración global del riesgo a la baja

ESTANDARES PARA AUDITORÍA DE LAS TI  El estándar más ampliamente difundido y utilizado para la Auditoría

de TI es COBIT, creado por la ISACA. Está guía va mucho más allá de la auditoría, y de hecho es utilizada por muchas organizaciones como una guía de buenas prácticas en la Gestión de los Sistemas y las Tecnologías de la Información.  La guía de COBIT es realmente completa, además de ser muy madura

(ya se ha publicado su versión 5). Cubre prácticamente todos los aspectos que se deben tener en cuenta para una correcta gestión de los Sistemas y Tecnologías de la Información en una empresa u organización.

COBIT

COBIT: Objetivos de Control para Tecnologías de información y relacionadas  El estándar Cobit) ofrece un conjunto de “mejores prácticas” para la

gestión de los Sistemas de Información de las organizaciones.  El objetivo principal de Cobit consiste en proporcionar una guía a alto nivel sobre puntos en los que establecer controles internos con tal de:  Asegurar el buen gobierno, protegiendo los intereses de los stakeholders (clientes, accionistas, empleados, etc.)  Garantizar el cumplimiento normativo del sector al que pertenezca la organización  Mejorar la eficacia i eficiencia de los procesos y actividades de la organización  Garantizar la confidencialidad, integridad y disponibilidad de la información

Basado en 5 Principios  COBIT 5 se basa en cinco principios clave para la

gobernabilidad y la gestión de TI de la empresa: 

Principio 1: Satisfacción de las Necesidades de partes interesadas



Principio 2: Cobertura de la Empresa de extremo a extremo



Principio 3: La aplicación de un único marco integrado Principio 4: Habilitación de un enfoque holístico Principio 5: La separación de la gobernanza de Gestión

 

El COBIT 5 describe 7 categorías  Principios, políticas y marcos son el medio para traducir el comportamiento deseado 

  





en una guía práctica para la gestión del día a día. Procesos describe un conjunto organizado de prácticas y actividades para lograr ciertos objetivos y producir un conjunto de salidas en apoyo del logro de generales de TI relacionados con los objetivos. Las estructuras organizativas son las principales entidades de la toma de decisiones en una empresa. Cultura, ética y conducta de los individuos y de la empresa son muy a menudo subestimado como un factor de éxito en las actividades de gobernanza y gestión. La información es necesaria para mantener la organización funcionando y bien gobernados, pero en el plano operativo, la información es muy a menudo la clave del producto de la propia empresa. Servicios, infraestructura y aplicaciones con la infraestructura, tecnología y aplicaciones que proporcionan a la empresa con el procesamiento de tecnología de la información y los servicios. Personas, habilidades y competencias son necesarias para completar con éxito todas las actividades, y para tomar decisiones correctas y tomar acciones correctivas.

ISO 38500  ISO/IEC 38500 es un estándar que provee un marco de trabajo con

los principios necesarios para que los directores y gerentes puedan implantar los procesos de evaluación, dirección y monitoreo del uso efectivo, eficiente y aceptable de la TI en sus organizaciones. Es aplicable a todas las organizaciones: públicas y privadas, de cualquier tamaño. Se fundamenta en la aplicación de seis principios de Gobierno de TI: 1. Responsabilidad: Los clientes (usuarios) y el proveedor de servicios (organización de TI) deben usar un modelo de comunicación efectiva, basado en la asignación de responsabilidad y rendición de cuentas y avances. 2. Estrategia: La planificación estratégica de TI es compleja y critica, y requiere una coordinación estrecha a todo lo ancho de la organización: unidades de negocio, organización y planes estratégicos de TI.

ISO 38500 3. Adquisición: Las soluciones de TI existen para soportar los procesos de negocio. Estas no deben ser consideradas como proyectos aislados de TI, sino como aporte de valor que habilita cambio positivo en el negocio. 4. Desempeño: La medición efectiva del desempeño depende de dos aspectos clave: la clara definición de metas de desempeño y el establecimiento de métricas efectivas para monitorear el logro de esas metas. 5. Cumplimiento: En el mercado global actual, habilitado por Internet y los avances tecnológicos, las empresas necesitan cumplir con un amplio número de requerimientos legales y regulatorios. 6. Comportamiento Humano: La implementación de todo cambio de TI, regularmente requiere un significante cambio cultural y de comportamiento del recurso humano dentro de la empresa, como también de las relaciones con los clientes, proveedores y asociados de negocio.

ITAF: Information Technology Assurance Framework  Información de la Tecnología de Garantía de Marco

 ITAF se aplica a individuos que actúan en la capacidad de los

profesionales de aseguramiento de TI y se dedican a ofrecer garantías sobre algunos componentes de los sistemas de TI, aplicaciones e infraestructura. Sin embargo, hemos cuidado el diseño de estas normas, directrices y procedimientos de auditoría de TI y seguridad de una manera que también puede ser útil, y que beneficie a un público más amplio, incluidos los usuarios de los informes de auditoría de TI y seguridad.

Estándar para la gestión de los servicios de IT  ITIL

Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.

ITIL

Soporte al servicio

Estándar para Desarrollo de Sistemas  En el caso del proceso de Desarrollo de Software, uno de los

estándares más aceptado dentro de la industria es un modelo de madurez, denominado CMMI (Software Capability Maturity Model). El CMMI describe una serie de niveles que pueden alcanzarse en el desarrollo de software y en el que las empresas y organizaciones pueden certificarse:  Nivel 1: Inicial (anárquico)  Nivel 2: Gestionado (repetitivo)  Nivel 3: Definido  Nivel 4: Gestionado de forma cuantitativa (administrado)

 Nivel 5: Optimo (mejora continua)

Estándar par agestión de Proyectos  La gestión de proyectos no es una característica exclusiva

del desarrollo de software o de los departamentos de TI. Más bien al contrario, es un tipo de gestión que realiza prácticamente todas las empresas, organizaciones y personas alguna vez en su vida.  Sectores como el de la construcción o la ingeniería son grandes “usuarios” de la gestión de proyectos. El desarrollo de software, o la implantación de Sistemas de Información también. Quizás, por su carácter inmaterial, los proyectos informáticos tienen algunas características especiales, ya que es más complicado entender su funcionamiento, evolución, diseño y en ocasiones su funcionamiento. Es por ello, que los proyectos relacionados con las Tecnologías de la Información son en general más complejos y difíciles de llevar a cabo.

Project Management Body of Knowledge (PMBOK)  Desarrollado por el Project Management Institute (PMI) es

una guía de fundamentos para la Dirección de Proyectos, de cualquier tipo y característica, que describe de forma precisa los conocimientos y herramientas que necesita conocer todo jefe de proyecto para poder abordar la tarea que le ha sido encomendada.  La guía del PMBOK define 9 áreas de conocimiento en las que agrupa cada una de las actividades, que van desde la Gestión Integrada del Proyecto, a las cuatro funciones principales (Gestión del Alcance, Gestión del Tiempo, Gestión del Coste y Gestión de la Calidad) y las cuatro auxiliares (Gestión de los Recursos Humanos, Gestión de la Comunicación, Gestión de Riesgos y Gestión de Compras):

(PMBOK)

Describe un ciclo de vida del proyecto (que no debemos confundir con las fases o etapas de cada proyecto) que incluye inicio, organización-planificación, ejecución y cierre. Este ciclo de vida se puede realizar una sola vez en todo el proyecto, o en cada fase o etapa:

PMBOOK  Por cada una de las áreas de

conocimiento y cada una de las etapas del ciclo de vida del proyecto el PMBOK define unas entradas, unas herramientas y técnicas que podemos utilizar y unas salidas que debemos generar, estableciendo de esta forma un completo mapa de los procesos que intervienen en la gestión de un proyecto.

REGULACIÓN TICs EN MÉXICO  Existe el documento:

Normas Técnicas en Tecnologías de Información y Comunicaciones  Creado por la Contraloría General de la República

 Ley Federal de Protección de Datos Personales  Comisión Federal de Telecomunicaciones

 COFEMER | Comisión Federal de Mejora Regulatoria

Fuentes de consulta:  http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-

    



siti/pablo-almunia-estandares-para-la-gestion-de-ti-primeraparte/ www.wikipedia.org http://www.bis.org/publ/bcbs189_es.pdf http://www.isaca.org/cobit/pages/default.aspx http://www.isaca.org/Knowledge-Center/Val-IT-IT-ValueDelivery-/Pages/Val-IT1.aspx http://www.sicelca.com/iso-38500 http://blog.iedge.eu/tecnologia-sistemas-informacion/direccionsiti/pablo-almunia-estandares-para-la-gestion-de-ti-segundaparte/