Universidad Tcnica Nacional

Sede del Pacfico

Curso Sistemas de Informacin
Empresarial

Gobernanza TI Norma
ISO/IEC 38.500
Modelo COBIT
Licda. Berleotte Gamboa Avalos
 Informacin aborda de la
empresa ISACA

Fuente: Jos Manuel Ballester Fernndez, Doctor Ingeniero Industrial, MBA, CISA, CISM, CGEIT
 Modelo inicial
para la
implementacin
 Las organizaciones requieren una
aproximacin estructurada para abordar
stos y otros desafos

Seguridad Administrar los

servicios de TI

Manejar
la complejidad

Alineamiento de TI con el
Negocio

Cumplir con
requerimientos
regulativos

Valor/Costo
 Gobierno Corporativo TI

Un conjunto de responsabilidades y
prcticas ejecutadas por la junta
directiva y la administracin ejecutiva,
con el fin de proveer direccin
estratgica, garantizando que los:

Objetivos sean alcanzados,

Estableciendo que los riesgos

www.itgi.org son administrados
apropiadamente
ADMINISTRACIN
DE LOS RECURSOS Verificando que los recursos
de la empresa son usados
responsablemente.
 Niveles de gobernanza

Gobernanza corporativa (COSO)

La provisin de la estructura que permita determinar los objetivos de la
Organizacin y supervisar el rendimiento, a fin de asegurar que los objetivos
son cumplidos. OCDE (2004).

Gobernanza de
SI
Gobernanza de la TI ISO 38500 COBIT / Val IT
La especificacin del marco de derechos a la toma de decisiones y la alta
responsabilidad para favorecer un comportamiento deseable en el uso de las
TIC.
Gobernanza de TI No obstante, la Gobernanza no tiene que ver con qu decisiones son
tomadas - eso es Gestin -; sino que tiene que ver con quin toma las
decisiones y con cmo se toman.

Gobernanza Gobernanza de la Seguridad de la Informacin y Tecnologas

Corporativa afines
El establecimiento y mantenimiento de un marco que provea garanta de
que las estrategias de seguridad de la informacin estn alineadas con los
Niveles de Gobernanza objetivos del negocio y son conformes a las leyes y regulaciones aplicables.
ISACA/CISM BoK (2002)
 Marcos de Control
En la actualidad existe diferentes metodologas orientadas al control de las
organizaciones, cada una de ellas abarca diferentes mbitos, de forma que se
complementan.

COSO Cumplimiento Legal

ISO38500 C OBI T / Val IT

ISO/IEC

ISO 24762
27002

ISO/IEC 20001
QUE IT IL COM O

2012 ISACA. All Rights Reserved.

CAMPO DE COBERTURA
 Niveles de Gobernanza
CONFORMIDAD
Directrices DESEMPEO:
Basilea II, Sarbanes-
Metas del negocio
Oxley Act,LOPD, etc

Balanced Scorecard
Gobierno Corporativo COSO

Gobierno de T I ISO38500 COBIT / Val IT

ISO ISO ISO

Estndares de mejores prcticas 24762 27002 20001

Continuidad de Principios
Procesos y Procedimientos de IT IL
Negocio
Seguridad
Objetivos de la Norma ISO/IEC 38500

Objetivo de la norma: El uso de las tecnologas de la informacin de manera

efectiva, optima y eficiente en las organizaciones, con la finalidad de:

Generar confianza en los stakeholders (empleados, clientes, proveedores,

socios, accionistas, etc.) en el Gobierno Corporativo de TIC de la Organizacin.

Informar y guiar a la alta direccin en el gobierno TIC en su organizacin.

Proveer de bases para la evaluacin objetiva del Gobierno Corporativo TIC

ISO 38500
 Beneficios de la implantacin de la
Norma ISO/IEC 38500
Adecuada aplicacin y operacin de activos de TIC.
Asignacin de responsabilidades.
Continuidad del negocio
Sostenibilidad.
Alineacin de TIC con los objetivos del negocio.
Asignacin eficiente de recursos.
Innovacin en los servicios, los mercados y las empresas.
Mejora de imagen y reputacin en el mercado frente a los reguladores, agentes
sociales y con los stakeholders.
Optimizacin en los costes de una organizacin
Inversin efectiva en TIC.
Cumplimiento legal.

Con estas capacidades se ayuda a la direccin a alcanzar los objetivos de

rendimiento y rentabilidad de la entidad y prevenir la prdida de recursos.

Con el Gobierno Corporativo permite asegurar una informacin eficaz y el cumplimiento de

leyes y normas, adems de ayudar a evitar daos a la reputacin de la entidad y sus
consecuencias derivadas.
Control Objetives for Information and
Related Tecnology
Cales son sus Resumen Ejecutivo
Responsabilidades?
Consejos de Administracin y
Altos Ejecutivos

Indicadores Clave de Rendimiento

Indicadores Clave de Objetivo
Directrices
Modelos de Madurez
de Gestin

Gerencias de Lnea y de TI

Qu es el Marco de
Como presentarlo e
Referencia para la Cmo evaluarlo? implantarlo?
Gobernanza de TI?

Profesionales de la Gobernanza, la Evaluacin de Garanta, el Control y la Seguridad

Gua de
Marco de Referencia Evaluacin de Garanta de TI Gua de Implantacin de
Gobernanza de TI
Objetivos de Control

Prcticas de Control
 Marco de refencia
La principal cualidad de CobiT es su orientacin hacia
los OBJETIVOS de la ACTIVIDAD de la Organizacin y
cmo TIC apoya su logro
Marco de refencia del cubo de COBIT

REQUISITOS de la ORGANIZACIN
para la INFORMACIN

INFORMACIN
INFRAESTRUCTURA
APLICACIONES
Conjunto estrucutrado de

DOMINIOS
PROCESOS de TI

PERSONAS
PROCESOS

ACTIVIDADES
 COBIT
OBJETIVOS
DEL NEGOCIO COBIT Estructura del
modelo
Informacin
Efectividad
Eficiencia
Confidencialidad

4 Integridad
Disponibilidad 1 Planeacin y
Monitoreo Cumplimiento legal
Confiabilidad Organizacin

Recursos de TI

3 Entrega y
Datos
Aplicativos 2 Adquisicin e
Soporte Tecnologa Implantacin
Facilidades
Personas
Marco de refencia del cubo de COBIT

El conjunto estructurado de 34 PROCESOS

[objetivos de control de alto nivel] se agrupa de OBJETIVOS DE CONTROL
forma natural en 4 DOMINIOS.

[PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI

[AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI

[DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI

[ME] MONITORIZAR y EVALUAR 04 Procesos de TI

 Marco de refencia del cubo de COBIT
OBJETIVOS DE LA ENTIDAD OBJETIVOS DE CONTROL
OBJETIVOS DE GOBIERNO CORPORATIVO

Todos los procesos han de Cubre las estrategias y las

evaluarse peridicamente para tcticas para identificar la forma
verificar su calidad y suficiencia en MARCO DE REFERENCIA
en la que la TI puede contribuir
cuanto a los requisitos de control. C O B I T de la mejor manera al logro de
los objetivos de la Organizacin.
Advierte a la Direccin sobre la INFORMACION
necesidad de garantizar La consecucin de la visin
procesos de control Eficiencia Integridad estratgica debe planearse,
independientes (auditoras). Eficacia Disponibilidad comunicarse y gestionarse desde
diferentes perspectivas.
Conformidad Confidencialidad
Fiabilidad Es necesario establecer una
MONI TORI ZA R PLANIFICA R organizacin e infraestructura
Y Y tecnolgica apropiada.
EVALUA R ORGANI ZA R
RECURSOS
DE
TI
Trata la entrega o la prestacin de
los servicios requeridos - desde
las operaciones tradicionales,
hasta la formacin; pasando por Personas
la seguridad en los sistemas y Aplicaciones Para llevar a cabo la estrategia de
las continuidad de las Infraestructura TI, stas deben identificarse,
operaciones -. Informacin construirse o adquirirse,
ENTREGA R ADQUIRI R implantndose e integrndose en
Debern establecerse los procesos Y E el proceso de la Organizacin.
necesarios para la provisin de SOP ORTA R I MP LANTA R
los servicios. Contempla, asimismo, los cambios
y mantenimiento de sistemas
existentes, para garantizar su
continuidad.
 Marco de refencia de COBIT
OBJETIVOS DE LA ENTIDAD OBJETIVOS DE OBJETIVOS DE CONTROL
GOBIERNO CORPORATIVO
PO1 Definir un plan estratgico
de TI.
PO2 Definir la arquitectura de
informacin.
ME1 Monitorear y Evaluar el PO3 Determinar la direccin
desempeo de TI. MARCO DE REFERENCIA tecnolgica.
ME2 Monitorear y Evaluar el C O B I T PO4 Definir los procesos de TI,
control interno. INFORMACION la organizacin y sus
ME3 Garantizar el relaciones.
cumplimiento Integridad PO5 Administrar las inversiones
Eficiencia
regulatorio. en TI.
ME4 Proveer Gobierno de TI. Eficacia Disponibilidad
PO6 Comunicar la direccin y
Conformidad Confidencialidad objetivos de la gerencia.
Fiabilidad PO7 Administrar los recursos
DS1 Definir y administrar niveles MONI TORI ZA R PLANIFICA R humanos de TI.
de servicio. Y Y PO8 Administrar calidad.
DS2 Administrar servicios de ORGANI ZA R PO9 Evaluar y administrar
EVALUA R
terceros. RECURSOS riesgos de TI.
DS3 Administrar desempeo y DE PO10 Administrar proyectos.
TI
capacidad.
DS4 Asegurar continuidad de
servicio.
DS5 Garantizar la seguridad de
Personas
sistemas. Aplicaciones A I1 Identificar soluciones de
DS6 Identificar y asignar costos. Infraestructura automatizacin.
DS7 Educar y capacitar usuarios. Informacin A I2 Adquirir y mantener
DS8 Administrar servicios de ENTREGA R ADQUIRI R software de aplicacin.
apoyo e incidentes. Y E A I3 Adquirir y mantener la
DS9 Administrar la configuracin. SOP ORTA R infraestructura tecnolgica.
I MP LANTA R
DS10 Administrar problemas. A I4 Permitir la operacin y uso.
DS11 Administrar datos. A I5 Obtener recursos de TI.
DS12 Administrar el ambiente A I6 Administrar cambios.
fsico. A I7 Instalar y acreditar
DS13 Administrar operaciones. soluciones y cambios.
Directrices de Gestin

Entradas y Salidas del Proceso

Actividades y Matriz RACI

Objetivos (metas) de TI
Objetivos (metas) de los procesos
Objetivos (metas) de las actividades

KGI - Indicadores clave de objetivos

KPI - Indicadores clave de rendimiento
COBIT - Navegacin CRITERIOS RECURSOS

APLICACIONES
CONFIABILIDAD

TECNOLOGIA
CUMPLIMIENTO

FACILIDADES
CONFIDENC.
DOMINIO PO:

DISPONIBILID
EFECTIVIDAD

PERSONAS
INTEGRIDAD
EFICIENCIA

DATOS
Planeacin y
Organizacin

P: Primario S: Secundario

P P06 Comunicar Dire. y Objetivos P S

R P07 Adm. Recursos Humanos P P S S S
O
C P08 Apego Requerim. Externos P P S
E P09 Evaluar Riesgos P P S S S
S
P10 Administrar Proyectos
P S S
O
S P11 Admin. de la calidad
P P P P S
2012 ISACA. All Rights Reserved.
 Marco de Referencia. Definiendo las metas TIC y la arquitectura empresarial TIC

Estrategia Objetivos de Metas de Arquitectura Cuadro de

Empresarial la Entidad TIC Empresarial Mando Integral

TIC
TIC

RECURSOS DE TI
aportan
Requisitos de la Requisitos de
Informacin
Organizacin Gobierno Corp.

requieren influencian
Servicios de ejecutan

Informacin Procesos TIC Aplicaciones

implican
Criterios de
Infraestructura y
Informacin
Gente
necesitan

Objetivos de la Entidad Arquitectura Empresarial para TIC

2012 ISACA. All Rights Reserved.

Muchas Gracias