Aplicación de mejores prácticas
de gestión y auditoría
ITIL, Cobit e ISOs
Ing. Sergio Richetti
IT Governance
El gobierno de IT es el grupo de liderazgo, las estructuras y los
procesos organizacionales que aseguran que las IT´s de la
organización soportan y extienden las estrategias
y los objetivos organizacionales
Fuente: IT Governance Institute
La Gestión de IT
Prestación de Servicios de Tecnología seguros, confiables,
predecibles, sostenibles y de costo efectivo, con un nivel de
servicio adecuado a las necesidades del Negocio y un nivel
de riesgo razonable para el Negocio
Se basa en construir y mantener tres pilares:
– Optimización de Infraestructura
– Operaciones de IT adecuadas
– Seguridad de IT adecuada
Fuente: XXIV Salón de la Informática
Estándares y Mejores Practicas
COBIT
ITIL
COSO
BS 7799
ISO 17799
British Standard BS 15000
MAGERIT
Sarbanes-Oxley (SOX)
Planificación y organización
Adquisición e implantación
Soporte y servicios
Monitoreo
Planeación y Alineamiento Estratégico (ITIL, COBIT)
Operaciones de TI (ITIL, ISO/IEC 27002)
Manejo Financiero (ITIL)
Marcos de Control (COBIT, ISO/IEC 27002)
Fuente: XXIV Salón de la Informática
Mejores Practicas
Las expresiones "buenas/mejores prácticas" son traducciones
demasiado literales de la expresión inglesa ”best practices”.
Por mejores prácticas se entiende un conjunto coherente de acciones
que han rendido buen o incluso excelente servicio en un determinado
contexto y que se espera que, en contextos similares, rindan similares
resultados.
Las mejores prácticas dependen de las épocas,
de las modas y hasta de la empresa consultora
O del autor que las preconiza.
No es de extrañar que algunas sean incluso
contradictorias entre ellas.
Fuente: www.wikipedia.org
Otros, en cambio, reconocen que las mejores prácticas son sólo un
buen comienzo, mejor que una hoja en blanco, pero que no
reemplazan al sentido común y a la reflexión y que, mientras se usen
de manera racional y coherente, pueden acelerar la puesta en servicio
de mejoras en los procesos de las organizaciones.
Fuente: www.wikipedia.org
Mejores Practicas (Mitos y Realidades)
Sus detractores dicen que la mayoría de estos términos son
empleados por “Empresas Consultoras”
Las Consultoras los comercializan y se encargan de
convencer a las empresas para que los pongan en
práctica.
Muchas de estas teorías, afirman los detractores,
resultan ser una moda pasajera que, impulsada por
las grandes empresas consultoras, toma fuerza pero
después de cierto tiempo cae en desuso tras quedar
en evidencia sus limitaciones, o bien ante la aparición
de una nueva moda.
Algunas de esas aseveraciones son en cierto grado ciertas.
Sin embargo, esos mismos detractores reconocen que no todas son un
mero producto de la comercialización de las consultoras.
Aplicadas con sentido común, pueden aportar soluciones a problemas
reales.
Mejores Practicas (Mitos y Realidades)
BuenasPracticas
Requerimientos del Negocio
COBIT (Ver. 4.1)
Es un estándar muy bien construido, ampliamente reconocido y aceptado.
Toda la documentación de COBIT se encuentra en línea
La versión "QuickStart" de COBIT para organizaciones pequeñas y medianas
contiene un subconjunto de COBIT enfocado a los elementos más críticos para
organizaciones que no tienen los recursos para buscar una implementacion
completa del estándar.
COBIT tiene 4 dominios
PO: Planning & Organizing
AI: Acquisition & Implementation
DS: Delivery & Support
M: Monitoring
Compuesto por 34 Objetivos de control de alto nivel y
210 objetivos de control detallados
Están diseñados para ayudar a las organizaciones a
mantener un control efectivo
Fuente: XXIV Salón de la Informática
ITIL / ISO 20000
La Biblioteca de Infraestructura de Tecnologías de Información,
frecuentemente abreviada ITIL (del inglés Information Technology
Infrastructure Library), es un marco de trabajo de las buenas prácticas
destinadas a facilitar la entrega de servicios de tecnologías de la
información (TI).
ITIL resume un extenso conjunto de procedimientos
de gestión ideados para ayudar a las organizaciones
a lograr calidad y eficiencia en las operaciones de TI.
Estos procedimientos son independientes del
proveedor y han sido desarrollados para servir
como guía que abarque toda infraestructura,
desarrollo y operaciones de TI.
Fuente: www.wikipedia.org
ITIL V3
Publicada en Mayo de 2007
Dividida en 5 Libros:1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
ITIL V3 - Ciclo de Vida del Servicio
Estrategia de Diseño
Diseño del Servicio
Transición del
Servicio
Operación del
Servicio
Mejora Continua del Proceso
Informes del Servicio
Procesos de Mejora en 7
pasos
Medición del Servicio
Roles
Procesos
Gente
ITIL V3 - Roles
Estrategia de Diseño
Diseño del Servicio
Transición del
Servicio
Operación del
Servicio
Estrategia de Diseño (3)
IT Steering Group (ISG)
Financial Manager
Service Portfolio Manager
Los Roles corresponden a los
Procesos:
Service Portfolio Management
Demand Management
IT Financial Management
ITIL V3 - Roles
Estrategia de Diseño
Diseño del Servicio
Transición del
Servicio
Operación del
Servicio
Diseño del Servicio (14)
Service Catalogue Manager
Service Level Manager
Service Owner (*)
Service Design Manager
Applications Analyst/ Architect (*)
Technical Analyst/ Architect (*)
Risk Manager
Capacity Manager
Availability Manager
IT Service Continuity Manager
IT Security Manager
Compliance Manager
IT Architect
Supplier Manager
(*) pueden ser requeridos por tipo o clase de
Servicio segun el tamaño de la Organizacion
ITIL V3 - Roles
Estrategia de Diseño
Diseño del Servicio
Transición del
Servicio
Operación del
Servicio
Transicion del Servicio (10)
Change Manager
Change Advisory Board (CAB)
Change Owner
Emergency Change Advisory Board
Project Manager
Application Developer
Release Manager
Configuration Manager
Knowledge Manager
Test Manager
Segun el tamaño de la Organizacion pueden ser
necesarios un Project Manager y un Application
Developer por cada tipo de Servicio
Los roles de Change Advisory Board (CAB) y
Emergency Change Advisory Board requieren
de la participacion de otros Roles del Proceso
ITIL V3 - Roles
Estrategia de Diseño
Diseño del Servicio
Transición del
Servicio
Operación del
Servicio
Operacion del Servicio (11)
1st Level Support
2nd Level Support
3rd Level Support
Major Incident Team
Incident Manager
Problem Manager
Service Request Fulfilment Group
Access Manager
IT Operations Manager
IT Operator
IT Facilities Manager
1st 2nd 3rd Level Support puede ser
requeridos por tipo o clase de Servicio segun
el tamaño de la Organizacion
ITIL V3 - Ciclo de Vida del Servicio
Mejora Continua del Proceso
Informes del Servicio
Procesos de Mejora en 7
pasos
Medición del Servicio
Mejora Continua del Proceso (3)
CSI Manager
Process Manager
Process Owner
Según el tamaño de la Organización puede ser
necesario tener un Process Manager y un
Process Owner por cada tipo de Servicio
ITIL V3ITIL V3
Strategic de Diseño (3)IT Steering Group (ISG)
Financial Manager
Service Portfolio Manager
Diseño del Servicio (14)Service Catalogue Manager
Service Level Manager
Service Owner
Service Design Manager
Applications Analyst/ Architect
Technical Analyst/ Architect
Risk Manager
Capacity Manager
Availability Manager
IT Service Continuity Manager
IT Security Manager
Compliance Manager
IT Architect
Supplier Manager
Transicion del Servicio (10)Change Manager
Change Advisory Board (CAB)
Change Owner
Emergency Change Advisory Board
Project Manager
Application Developer
Release Manager
Configuration Manager
Knowledge Manager
Test Manager
Service Operation (11)1st Level Support
2nd Level Support
3rd Level Support
Major Incident Team
Incident Manager
Problem Manager
Service Request Fulfilment Group
Access Manager
IT Operations Manager
IT Operator
IT Facilities Manager
Mejora continua del Proceso (3)
CSI Manager Process Manager Process Owner
• Cambio en la Cultura de la Empresa
• Bussines Sponsor con autoridad y Decisión
• Comunicación Clara y continua a la Organización
• Análisis y Adaptación de los Procesos
• Implementación por Etapas
• Asignación de Roles según Competencias
• Fuerte inversión en el entrenamiento del Equipo
• Programas de Reconocimiento (RRHH)
• Proceso de Actualización de Competencias
• Programas de Desarrollo de Carrera
• Procesos de Revisión de Remuneraciones
• Programas de Team Building
• Programas de Evaluación 360
Reflexiones
Aplicación de mejores
prácticas de gestión y
auditoría