Embed Size (px)
Citation preview
NORMAS DE GESTIÓN AVANZADA 2011
La Norma ISO/IEC 38500-Buen Gobierno de las Tecnologías de la Información.
“La Norma ISO/IEC 38500. Aspectos básicos”
Carlos Manuel FERNANDEZIng. en Informática, CISA, CISM.Coordinador de TICs./ Jefe Certificaciones TICsDirección de Desarrollo - AENOR
Índice
• Qué son las Normas vs Google.
• Teoría del caos vs AENOR-Desarrollo Estratégico
• Gestión de las TICs : Gestión del CITI (incluyendo PDCA)
• Gobierno de TI – ISO/IEC 38500 Aspectos básicos
• Certificación de conformidad según ISO 17021• Certificación de conformidad según ISO 17021
• Futuro de las TICs con ISO
Asociación privada
Sin ánimo de lucro
Constitución: 1986Real decreto 2200/95
AENOR Corporación
AENOR INTERNACIONAL (+ 12 filiales)
AENOR 25 años
AENOR INTERNACIONAL (+ 12 filiales)
AENOR México ( + 10 años en México DF y Delegaciones)
Multisectorial
Normalización
Certificación productos, servicios, sistemas de gestión y personal
Servicios de Formación
ISO 27002 ISO 27002 ISO 27002 ISO 27002
Guía de
controles
ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G.
Seguridad de la
BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)BS25999 (1 y 2)
Gestión de
continuidad de
negocio
ISO 15504 ISO 15504 ISO 15504 ISO 15504
IT GovernanceIT GovernanceIT GovernanceIT Governance
Normas con relación con TICs / Google
TICs
ISO 20000ISO 20000ISO 20000ISO 20000----2 2 2 2
Guía de buenas
prácticasISO 19770 ISO 19770 ISO 19770 ISO 19770
SAMISO 20001ISO 20001ISO 20001ISO 20001----1 1 1 1
S.G. STI
Seguridad de la
Información ISO 15504 ISO 15504 ISO 15504 ISO 15504
SPiCE
ISO 12207 ISO 12207 ISO 12207 ISO 12207
Ciclo de vida de
desarrollo de
software
TICs
• Informe Penteo:– Sólo un 21% de las cías gestionan el dpto. de SI con criterios de negocio
– 31 % gestionan el dpto. de SI sólo con criterios tecnológicos
– 48 % gestionan con criterios híbridos
• Conclusiones:– La Dirección de las cías. Tiene una percepción más positiva de los CIOs
que siguen criterios de Negocio. Les dan el rol de líderes contribuidores
Gestión de las TICs con criterios de Negocio
que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%
– La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO
– En un futuro los CIOS más gestores y menos tecnólogos
– (Encuesta a: 85 Directores de TICs, 36 Dir. Generales y 12 Presidentes)
La Norma ISO/IEC 38500.
“Aspectos básicos”“Aspectos básicos”
Definiciones Básicas
• Gobierno Corporativo de TI (Corporate governance of IT)
El sistema mediante el cual se dirige y controla el uso actual yfuturo de las TI. (Plan de negocio � Plan de TI)
• Gestión de las TI (IT Management)
El sistema de procesos y/o controles requeridos para lograr losEl sistema de procesos y/o controles requeridos para lograr losobjetivos establecidos por la Dirección. (Negocio).
La dirección, planificación, diseño, desarrollo, implantación,operación y mantenimiento de las TI para satisfacer lasnecesidades de la empresa.
6 Principios de Buen Gobierno (1 de 2)
Principio 1. Responsabilidad
Los individuos y grupos dentro de la organización deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI.
Las personas con responsabilidad de las acciones también tienen la autoridad para llevar a cabo esas acciones.
Principio 2: Estrategia
Se consideran los planes estratégicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio.futuras derivadas de la estrategia de negocio.
La estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de las TI.
Principio 3: Adquisición
Las adquisiciones de TI se hacen por razones válidas, sobre la base de adecuada y análisis en curso, con la decisión clara y transparente de decisiones.
Hay equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en a corto y largo plazo.
6 Principios de Buen Gobierno (2 de 2)
Principio 4: Rendimiento
Las TI debe estar dimensionada para dar soporte a la organización, proporcionando lo servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
Principio 5: Conformidad
Cumple con todas las legislaciones y normas obligatorias.
Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas.Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas.
Principio 6: Factor Humano
Las políticas de TI, las prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y futuras de todas las personas involucradas.
Modelo de Gobierno Corporativo de TI
• La dirección ha de gobernar las TI mediante 3 tareas principales:– Evaluar
– Dirigir
– Monitorizar
Modelo de Gobierno Corporativo de TI
• Evaluar: La dirección debe examinar y juzgar sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sea interno, externas, o ambas cosas).
Modelo de Gobierno Corporativo de TI
• Dirigir: La dirección debe asignar la responsabilidad, y la preparacióndirecta y aplicación de planes y políticas.
Asegurar la correcta transición de los proyectos a la producciónconsiderando los impactos en la operación, el negocio y lainfraestructura.
Impulsar una cultura de buengobierno de TI en laorganización.organización.
Modelo de Gobierno Corporativo de TI
• Monitorizar: La dirección debe vigilar, a través de sistemas de mediciónadecuados, el rendimiento de las TI. Deben convencerse que el rendimientoestá en conformidad con los planes, en particular con respecto a losobjetivos de negocio.
Guía orientativa para el Gobierno de las TI
Principios Dirigir Monitorizar Evaluar
Responsabilidad - Planes con Responsabilidad Asignada- Recibir información y rendir cuentas
-Mecanismos establecidos Gobierno TI- Asignación Responsabilidades (entendimiento)- Desempeño responsables Gobierno de TI
- Asignación Responsabilidades- Competencias responsables
Estrategia - Creación y uso de planes y políticas- Asegurarse beneficios TI en el negocio- Alentar propuestas innovadoras
- Supervisar el progreso de las propuestas aprobadas- Alcanzar objetivos en plazos establecidos- Utilizar recursos asignados- Uso de TI, alcanzando beneficios esperados
- Evaluar el progreso propuestas aprobadas- Evaluar actividades TI y alineamiento- Mejores practicas- Satisfacción interesados- Valoración y evaluación de Riesgos
Adquisición -Activos de TI se adquieren de manera apropiada-Documentos Capacidad Requerida- Acuerdos de Suministro respalden necesidades negocio
- Inversiones y capacidades requeridas- Entendimiento Interno/Externo necesidades Negocio
- Alternativas propuestas- Propuestas aprobadas- Análisis de riesgo / valor- Inversiones
Rendimiento - Asignación Recursos Suficientes- Asignar prioridades y Restricciones- Satisfacer Necesidades de Negocio- Datos correctos, actualizados, protegidos
- Grado TI Sustenta Negocio- Recursos e Inversiones Priorizados Necesidades Negocio- Política Precisión Datos (fiabilidad, exactitud e integridad)- Política uso eficiente TI
-TI sustenta procesos de negocio. Dimensionado y Capacidad- Riesgos: continuidad operaciones-Riesgos: integridad información, protección activos-Decisiones uso TI. Apoyo al negocio-Eficacia y desempeño Gobierno TI
Cumplimiento -TI cumple obligaciones, normas y directrices-Establecer y aplicar políticas (uso TI interno)- Personal TI cumple directrices, desarrollo y conducta-Ética rige acciones relacionadas TI
-Cumplimiento y Conformidad (Auditorias/Informes)-Oportunos, Completo, Adecuados(Necesidades Negocio)-Actividades TI
-TI cumple Obligaciones, Normas y Directrices-Conformidad Gobierno TI
Factor Humano -Actividades TI compatibles con Factor Humano-Informar por cualquier individuo(riesgos, problemas)-Administración riesgos según políticas y procedimientos- Escalado a los decisores
-Identificar, prestar atención a las actividades TI-Practicas de trabajo son consistentes con el uso apropiado de TI
- Se identifican actividades TI, que aseguran que los RRHH están identificados y considerados adecuadamente.
Fuente: Manuel Ballester (U. Deusto). Revista Dintel nº 32. Mayo 2009
Beneficios del Gobierno de TI
• Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y Evaluar.
• Este estándar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI.
• Este estándar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI.
• Este estándar fomenta el uso de otros estándares para apuntalar la gestión de las TI (CITI – Control Interno Tecnologías Información)
• Este estándar deja claro que se debe cumplir con la legislación vigente
• Este estándar es un subconjunto del Gobierno Corporativo de las empresas / instituciones.
Proceso de Certificación de Conformidad ISO 38500
FASE 2
REALIZACIÓN DE
LA AUDITORÍA (presencial)
FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE
DOCUMENTACIÓN (presencial)
CUESTIONARIO
PRELIMINAR Y SOLICITUD
–AUDITORÍAS DE
–RENOVACIÓN
Auditoría de certificación de Conformidad
Aud
itorías de man
tenimiento de
la certificac
ión de co
nformidad
Informe
fase 1
Informe
final
ELABORACIÓN DEL INFORME DE EVALUACIÓN Y DECISIÓN
–RENOVACIÓN
–(AL TERCER AÑO)
REGISTRAR LOS
RESULTADOS
CONCESIÓN DEL
CERTIFICADO DE CONFORMIDAD
–AUDITORÍAS DE
–SEGUIMIENTO
–(AL PRIMER AÑO)
–AUDITORÍAS DE
–SEGUIMIENTO
–(AL SEGUNDO AÑO)
Conformidad (ISO 17021)
Aud
itorías de man
tenimiento de
la certificac
ión de co
nformidad
Informe de
Evaluación y
Decisión
El tiempo de los Procesos en las TICs
• 80´s (mecanizar operaciones)
• 90´s (Help Desk y control presupuestario)
• Finales 90´s (E-Commerce y marketplace)
• XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora Continua. Los procesos en TICs: incrementando el desarrollo de productos e innovación)innovación)
• CIOs se convierten en CPOs (Chief Process Officers) integrados con los objetivos del negocio.
» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).
Algunos Datos de AENOR en TICs• Certificaciones en SGSI (UNE ISO 27001): más de 250 empresas certificadas
(Diciembre 2010). Desde PYMES hasta grandes Corporaciones. (INDRA, British Telecom, Buro de Crédito (Mexico), Movistar Argentina, Hospital Juan Pablo II – Polonia, IECISA, GMV, Start-Up, Intermark, Telecable, IBERIA, Ministerio de Sanidad, Organización Nacional de Transplantes, CajaAstur, Cluster TIC de Asturias, etc.)
• Certificaciones en SGSTI (UNE ISO 2000-1): + 70 empresas certificadas (El Corte Inglés CPD, Telefónica Soluciones, SIA, Tecnocom, Xunta de Galicia, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, etc. ).
• Certificación de Conformidad –Gobierno de TI (ISO/IEC 38500): 1 empresa con certificado de conformidad (Rural de Servicios Informáticos – RSI)
• Otras Certificaciones en TICs : Spice-ISO 1554 ( + 20 empresas Nivel 2), BCM(2 empresas – SANITAS y pdte. Buró Crédito-México) SAM, (1 empresa -Tecnofor) etc.
Sistemas de Gestión en las TICs. Una historia reciente
“La simplicidad es la mayor de las sofisticaciones” “La simplicidad es la mayor de las sofisticaciones” “La simplicidad es la mayor de las sofisticaciones” “La simplicidad es la mayor de las sofisticaciones”
Leonardo Da VinciLeonardo Da VinciLeonardo Da VinciLeonardo Da Vinci
Un Nuevo Reto en las TICs:Un Nuevo Reto en las TICs:Un Nuevo Reto en las TICs:Un Nuevo Reto en las TICs:
“El Gobierno de TI y la Gestión “El Gobierno de TI y la Gestión “El Gobierno de TI y la Gestión “El Gobierno de TI y la Gestión Integrada (PDCA) de las TICs Integrada (PDCA) de las TICs Integrada (PDCA) de las TICs Integrada (PDCA) de las TICs alineadas con el Negocio”.alineadas con el Negocio”.alineadas con el Negocio”.alineadas con el Negocio”.
Muchas Gracias
Carlos Manuel FERNANDEZCarlos Manuel FERNANDEZ
AENOR AsturiasPCT de Gijón. Edificio FADE
Profesor Potter, 51. Cabueñes33203 GIJÓN
Tel.: 985 196 011Fax: 985 373 [email protected]
