Aplicabilidad de estándares internacionales y mejores prácticas: CobiT®, ITIL®, Serie ISO /...

8/7/2019 Aplicabilidad de estndares internacionales y mejores prcticas: CobiT, ITIL, Serie ISO / IEC 27000 | PwC Venezuela

1/18

Espieira, Sheldon y Asociados

No. 3 - 2009

Boletn de Asesora Gerencial*Aplicabilidad de estndares internacionales y mejores prcticas:CobiT, ITIL, Serie ISO / IEC 27000

*connectedthinking
http://close/http://print/http://print/http://close/


2/18

Boletn Digital // No. 23 - 2009

ContenidoHaga click en los enlaces para navegar

a travs del documento

4 Introduccin

4 Conceptos

4 Las mejores prcticas y la Organizacin

4 Importancia de las mejores prcticas en el Gobierno de TI

4 Algunos estndares y mejores prcticas

4 Alineando ISO 27001:2005 e ITIL con CobiT

4 Conclusin

4 Crditos / Suscribirse

Haga click en los enlaces para llegar directamente a cada seccin
http://close/http://print/http://prevpage/http://prevpage/http://prevpage/http://print/http://close/


3/18

Introduccin

El Gobierno de TI es parte integral del xitode la gestin empresarial, al asegurar mejoras

en la efciencia y eectividad de los procesos

relacionados. El Gobierno de TI provee las

estructuras que unen los procesos y los recursosde TI con las estrategias y los objetivos de la

organizacin tomando como base el marco deprocesos CobIT, las mejores prcticas de ITIL

y los estndares en materia de seguridad deinormacin que orece la Serie ISO/IEC 27000. En

la Figura N 1 se observa marco de estndares y

reerencias internacionales que apoyan la gestin

de TI en pro de dirigir y controlar a la empresa conel fn que sta pueda cumplir sus metas.


Las organizaciones deben delimitar las reas a

optimizar, y en ellas, identifcar los procesos de TI

que son crticos para administrar adecuadamente

los dierentes riesgos y analizar la capacidadactual de prestacin de servicios de TI respecto a

las necesidades del negocio, usando como base

el marco de Procesos de CobiT, en ITIL para el

apoyo en la defnicin de procesos de entrega de

servicios crticos y en el estndar ISO 27001 paralos objetivos de seguridad. Ver Figura N 2

Conceptos

Las mejores prcticas y la Organizacin

Las mejores prcticas son directrices que permiten

a las empresas modelar sus procesos en la procura

de un ajuste a sus necesidades y una adopcinde esquemas que han demostrado ser efcientes

en otras organizaciones, proporcionando mtodosestndares y administrar de una mejor manera los

entornos de TI.

Los benefcios de implementar mejores prcticas

de seguridad son:

- Incrementar la productividad y la efciencia

- Incrementar la rentabilidad

- Incrementar la concientizacin del empleado

- Mitigar riesgos innecesarios de activos

- Incrementar la confanza del cliente- Asegurar el cumplimiento de regulaciones

- Reduccin de la dependencia en el experto

Boletn de Asesora GerencialAplicabilidad de estndares internacionales y mejores prcticas:

CobiT, ITIL, Serie ISO / IEC 27000

Para visualizar la Figura No. 1

haga click en el icono.Figura N1 Marco de estndares y reerencias

internacionales relacionadas con Gobernabilidad de TI Figura N 2. Marco de procesos de CobiT

Operaciones deTecnologa:

ITIL (ISO/IEC20000)

Gobierno, Control yAuditabilidad:

COBIT

Seguridad,Continuidad de Negocio,

Administracin de Riesgos:ISO/IEC17799 (ISO/IEC 27001

Para ampliar: haga click sobre la imagen qRetorno


4/18

Conceptos (continuacin)

Importancia de las mejores prcticas en elGobierno de TI

El uso de mejores prcticas permite a las

organizaciones mantener un gobierno eectivo delas actividades de TI, adems permiten crear un

marco de gestin el cual es necesario para quecada parte de la organizacin est en conocimiento

de como hacer sus actividades mediante el uso depolticas, control interno y prcticas defnidas. Por

ejemplo, CobiT, ITIL e ISO 27001 son marcos

de trabajos basados en la administracin de los

recursos de TI y proporcionan:

- Orientacin de estrategias

- Valor en la entrega de servicios

- Administracin de riesgos

- Administracin de recursos- Medicin de desempeo

Algunos estndares y mejores prcticas

ITIL : Las siglas ITIL signifcan: InormationTechnology Inrastructure Library lo que podra

traducirse como biblioteca de inraestructuras de

tecnologas de la inormacin. ITIL es un modelo

para gestionar servicios de TI, desarrollado afnales de los aos 80 por la administracin del

Reino Unido. En la Figura N 3 se puede observarla evolucin de ITIL hasta su versin actual.

Es un conjunto de procesos que se enmarcan

en la provisin, entrega y gestin de servicios

a una organizacin, con sus inraestructuras y

actividades correspondientes. En su ms recienteversin, ITIL V3, presenta el concepto de gestin

del ciclo de vida del servicio. Con este enoque,

se abarca la gestin del servicio desde la solicitud

hasta la liberacin del servicio.

Esta versin contempla cinco ciclos de vida para

los servicios de TI:

Estrategias: El alcance del ciclo de vida de la

Estrategia del Servicio considera aspectos de

cultura y procesos de negocio, cultura y procesosde TI, entendiendo al cliente, cambios uturos en

requerimientos, entendiendo a la competencia y

sus dierencias y entendiendo el valor.




Para visualizar la Figura No. 3haga click en el icono.

Figura N 3: Evolucin ITIL


5/18


Diseo: Existen cinco aspectos individuales delDiseo del Servicio que son considerados en este

ciclo de vida, siendo estos los servicios nuevos o

modifcados, sistemas y herramientas de gestin

de servicios, portaolio, arquitecturas de tecnologay sistemas de gestin, los procesos requeridos y

las mtricas y mtodos de medicin.

Transicin: El alcance de la Transicin del Servicioincluye la gestin y coordinacin de los procesos,

sistemas y unciones a empaquetar, construir,

probar e implementar un desarrollo en produccin

y establecer el servicio especifcado.

Operaciones: Es el responsable por todas las

actividades requeridas para soportar y orecer los

servicios. Esto incluye a los servicios como tal, el

proceso de gestin de los servicios, la tecnologa yla misma gente.

Mejora continua: La mejora continua del negocio

abarca la salud general de la administracin de

servicios de TI como una disciplina, la alineacin

continua del portaolio de servicios de TI con lasnecesidades actuales y uturas del negocio as

como la madurez de los procesos de TI por cada

servicio en un modelo de ciclo de vida de servicio

continuo.

El ciclo de vida del servicio de ITIL V3 puede ser

observado en la Figura N4.

CobIT:

CobIT es un conjunto de mejores prcticas parala gestin de Tecnologa de Inormacin creada

por la Asociacin para la Auditora y Control de

Sistemas de Inormacin (ISACA Inormation

Systems Audit and Control Association) y elInstituto de Gobernabilidad de la Tecnologa de

Inormacin (ITGI IT Governance Institute) conel fn de proveer a Gerentes, Auditores y usuarios

de TI un grupo de objetivos, controles, procesose indicadores que apoyen en la maximizacin

de benefcios derivados del uso de la Tecnologa

de Inormacin y el apropiado control y

Gobernabilidad de TI





Figura N 4: Ciclo de Vida del Servicio de ITIL


6/18


Presentado en 1996, CobIT es una herramientapara la gobernabilidad de TI que ha sentado

bases importantes sobre los conceptos de control

CobIT establece un marco de reerencia que

permite defnir metas desde el punto de vista

de seguridad y control que sern de utilidad a la

organizacin para establecer un plan de acciny lograr mejoras, y posteriormente identifcar

los lineamientos para sustentar un proceso de

monitoreo y mejora continua sobre las soluciones

implementadas.

En la Figura N 6 se puede observar la estructura

de cubo de CobIT, donde se muestra su capacidad

para enocar sus objetivos de control desde trespuntos de vista dierentes: los procesos, los

recursos de TI y las caractersticas que debe reunir

la inormacin para ser considerada adecuada a

las necesidades de la organizacin.


Figura N 6: Componentes tres vistas de CobIT




Figura N 5: Evolucin de COBIT

CobiT 1 CobiT 2 CobiT 3 CobiT 4.0 CobiT 4.1

1996 1998 2000 2005 2007

Auditora

Control

Gestin

Gobernabilidad

ActualizacinPara ampliar: haga

click sobre la imagenqRetorno

y gestin en las operaciones de TI, el cual haevolucionado de una herramienta de auditora a un

marco de Gobernabilidad de TI, atendiendo a las

demandas actuales. Ver fgura N 5.,


7/18


Esta estructura permite vincular las expectativasde la Direccin con las de la Gerencia de TI,

manejando lineamientos compresibles por

las Gerencias de negocio y los dueos de los

procesos.

CobIT permite agrupar los objetivos de control endistintas reas de actividad de la organizacin. Los

cuatro dominios principales son: Planifcacin yorganizacin, Adquisicin e implantacin, Soporte

y servicios, y Monitoreo.

Como su nombre indica, cada uno de estosdominios se dividen en procesos que estn

enocados a los dierentes niveles y departamentos

que pueden existir en una organizacin:

Planeacin y Organizacin- Defnir plan estratgico de TI

- Defnir arquitectura de inormacin

- Determinar la direccin tecnolgica

- Defnir la organizacin de las relaciones de TI

- Manejar la inversin en TI

- Comunicar la direccin y aspiraciones de lagerencia

- Administrar recurso humano

- Asegurar el cumplimiento de requerimientos

externos- Evaluar riesgos

- Administrar proyectos

- Administrar calidad

Adquisicin e implementacin

- Identifcar Soluciones

- Adquirir y mantener sotware de aplicacin

- Adquirir y mantener arquitectura de tecnologa- Desarrollar y mantener procedimientos

relacionados con TI

- Instalar y acreditar sistemas

- Administrar cambios

Entrega y soporte

- Defnir Nivel de Servicio- Administrar servicios prestados por terceros

- Administrar desempeo y capacidad

- Asegurar servicio continuo

- Garantizar seguridad de sistemas- Identifcar y asignar costos

- Educar y ormar a los usuarios

- Apoyar y asistir a los clientes de TI- Administrar la confguracin- Administrar problemas e incidentes

- Administrar datos

- Administrar instalaciones

- Administrar operaciones

Monitoreo

- Monitorear los procesos

- Evaluar lo adecuado del control interno- Obtener aseguramiento independiente

- Proporcionar auditora independiente





8/18


Serie ISO/IEC 27000

ISO/ IEC 27000 se defne como el conjunto de

estndares desarrollados por ISO (International

Organization or Standardization) e IEC

(International Electrotechnical Commision) que

proporcionan un marco para la gestin de laseguridad de la inormacin en las organizaciones.

La serie contiene las mejores prcticas

recomendadas para establecer, implantar,mantener y mejorar un Sistema de Gestin de la

Seguridad de la Inormacin. (Ver Figura No. 7)

ISO 27001 siendo el estndar principal de la serie,publicado en Octubre de 2005 y especifca los

requisitos para la implantacin de un Sistema

de Gestin de la Seguridad de la Inormacin,

siguiendo los principios de calidad continuapropuestos en el PDCA -acrnimo de Plan, Do,

Check, Act (Planifcar, Hacer, Verifcar, Actuar).

Ver Figura N 7. Es consistente con las mejores

prcticas descritas en ISO/IEC 27002 y tiene suorigen en la revisin de la norma britnica British

Standard BS 7799-2:2002 de 2002.

El ISO 27001:2005, al defnirse como una gua

en la implementacin, operacin, monitoreo,

revisin, mantenimiento y mejora de un Sistema de

Gestin de la Seguridad de la Inormacin (SGSI)para cualquier tipo de organizacin, mientras

que ISO 27002 representa la gua de buenas

prcticas que describe los objetivos de control y

controles ptimos en el marco de la Seguridadde la Inormacin, en conjunto se orientan a

preservar los siguientes principios de la seguridad

inormtica:

Confdencialidad. Asegurar que nicamente

personal autorizado tenga acceso a la inormacin.

Integridad. Garantizar que la inormacin no ser

alterada, eliminada o destruida por entidades noautorizadas.

Disponibilidad. Asegurar que los usuarios

autorizados tendrn acceso a la inormacincuando la requieran.





Figura N 7. Defnicin de estndares ISO 27000

CHECKMonitorear,

Medir y Veriicar

PLANPlaniicar la Gestin de

Servicios

ACTMejora

continua

DOImplementar la Gestin

de Servicios

Figura N 8: Ciclo PDCA

Para ampliar: haga click sobre la imagen qRetorno


9/18


El primer paso es defnir el mbito de aplicacinde la poltica del SGSI. Este paso es crtico para

identifcar los peligros potenciales a los que se

enrenta y decidir una metodologa sistemtica

para evaluar esos riesgos. Un SGSI apropiadoincluye los pasos de implantacin, puesta en

uncionamiento, revisin, mantenimiento y mejoradel sistema y que estn descritos en el estndar.

La certifcacin del estndar internacional ISO

27001:2005 incrementa el prestigio de una

organizacin, considerando que la norma indica

la obligacin general de mantener, monitorear,revisar y mejorar la seguridad de la inormacin lo

que demuestra la validez de sta, creando nuevas

oportunidades de negocio con partes conscientes

de la importancia de la seguridad y la tica.

Asimismo, permite reducir el posible riesgo deraude, prdida de inormacin y revelacin.

Cada una de las reas de la normativa establece

una serie de controles que sern seleccionados

dependiendo de los resultados obtenidos en el

anlisis de riesgos, adems, existen controlesobligatorios para toda organizacin, como es el de

las polticas de seguridad cuyo nmero depender

ms de la organizacin que del estndar, el cual no

establece este nivel de detalle.

Alineando ISO 27001:2005 e ITIL con

CobiT

Las organizaciones de TI, apoyadas en estndares

y mejores prcticas, deben estar orientadas a

satisacer las necesidades del negocio, en laFigura N 9, se observa esquemticamente como

las estrategias de las organizaciones y la directriz

de TI deben estar alineadas, considerando quelos procesos internos contemplen como base losestndares y mejores prcticas de TI.





Figura N 9: Alineacin del negocio con los estndares ymejores prcticas.


10/18

Alineando ISO 27001:2005 e ITIL con

CobiT (Continuacin)

Para llevar a cabo la implantacin de las mejores

prcticas de seguridad en su empresa se debe

tomar en cuenta las siguientes etapas:

Anlisis:

Seleccionarelmarcoomarcosdereferencia,segn las unciones a optimizar

Realizarevaluacionesen:

- Controles en la plataorma tecnolgica y

aplicaciones- Nivel de concientizacin de los usuarios

- Servicios de outsourcing y contratos con

terceros

- Controles sicos en las instalaciones- Nivel de documentacin existente (polticas y

procedimientos)

Herramientas:

SelfAssesment

Evaluacinporterceros

Planifcacin:

Obtenerunacomparacindelprogramadeseguridad de la organizacin contra el estndar

seleccionado o contra reerencias en el mercado

Prepararladeclaracindeaplicabilidaddel

estndar

Herramientas:

BenchmarkingGapAnalysis

Diseo e implantacin:

Seleccionarlosobjetivosdecontrolycontroles

a ser implantadosEstablecerunplandeaccinparaimplantarlos

controles seleccionados

Desarrollarladocumentacin(excepcionesy

controles aplicables)

Evaluarhastadondesequierellegar(uncumplimiento total, parcial, etc.)

Medicin:

Establecermtricaseindicadores(Ej.KPIs,

KGIs)

Considerarloscambiosdetecnologa,deprocesos y de estructura organizacional

Deniryaplicarrevisionesperidicasdel

cumplimiento del estndar seleccionado





11/18

Conclusin

La aplicacin de mejores prcticas de TI, as comoel uso de estndares internacionales, permite que

las organizaciones puedan incrementar sus niveles

de confanza en la obtencin de un marco de

operatividad de servicios, estable y continuo.

La efcacia de la aplicacin de normas ymejores prcticas depende de cmo han sido

implementadas y sustentadas, tomando encuenta que son el punto de partida para adaptar

procedimientos especfcos de la gestin de TI.

CobIT y los estndares de la serie ISO/IEC 27000

representan herramientas bsicas que permitena las organizaciones de TI defnir que estrategias

deben seguir para garantizar la satisaccin de

las necesidades del negocio, en tanto que ITIL

proporciona un marco reerencial sobre la efciencia

y calidad de la gestin de los servicios de TI a laorganizacin.

Sin embargo, es undamental que su adopcin

est alineado a los requerimientos del negocio

y se adapten, sin alterar sus undamentos, a losrequerimientos de la organizacin. El crecimiento

en la adopcin de los reeridos estndares, debe

ser orquestados en la atencin de las exigencias

segn su prioridad y manteniendo los principiosde calidad de sus procesos, y debe mantener

consistencia con las iniciativas de gobernabilidad y

gestin de riesgos.





12/18

2009 . Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se

refere a la frma venezolana Espieira, Sheldon y Asociados, o segn el contexto, a la red de frmas

miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal

separada e independiente. RIF: J-00029997-3

El Boletn Asesora Gerencial es publicado por la

Lnea de Servicios de Asesora Gerencial (Advisory)

de Espieira, Sheldon y Asociados, Firma miembro

de PricewaterhouseCoopers.

El presente boletn es de carcter inormativo y no

expresa opinin de la Firma. Si bien se han tomado

todas las precauciones del caso en la preparacin

de este material, Espieira, Sheldon y Asociados noasume ninguna responsabilidad por errores u

omisiones; tampoco asume ninguna responsabilidad

por daos y perjuicios resultantes del uso de la

inormacin contenida en el presente documento.

*connectedthinking es una marca registrada de

PricewaterhouseCoopers. Todas las otras marcas

mencionadas son propiedad de sus respectivos

dueos. PricewaterhouseCoopers niega cualquier

derecho sobre estas marcas

Editado por Espieira, Sheldon y Asociados

Depsito Legal pp 1999-03CS141

Telono master: (58-212) 700 6666

Si desea suscribirse haga click en la barra



http://close/http://print/http://prevpage/http://prevpage/mailto:[email protected]:[email protected]://prevpage/http://print/http://close/


13/18


Figura N 7. Defnicin de estndares ISO 27000

Aumentar ImprimirRegresaral boletn

Objetivo de control

ISO/IEC 27001

ISO/IEC 27002

ISO/IEC 27003

ISO/IEC 27004

ISO/IEC 27005

ISO/IEC 27006

Descripcin

Estndar principal de la serie, que especifca los requisitos para la implantacin del

Sistema de Gestin de Seguridad de la Inormacin (SGSI) (Publicacin: Oct 2005)

Anteriormente ISO/IEC 17799, representa el cdigo de buenas prcticas para laGestin de Seguridad de la Inormacin (Publicacin: Julio 2007)

Directrices para la implementacin de un sistema de Gestin de Seguridad de la

Inormacin. Es el soporte de la norma ISO/IEC 27001 (An no ha sido publicada)

Mtricas para le gestin de la Seguridad de la Inormacin (An no ha sido publicada)

Gestin de Riesgos de la Seguridad de la Inormacin. Proporciona lineamientos para

la evaluacin de riesgos de Seguridad de la Inormacin (Publicacin: Junio de 2008)

Requisitos para la acreditacin de las organizaciones que proporcionan lacertifcacin de los Sistemas de Gestin de la Seguridad de la Inormacin

(Publicacin: Febrero de 2007)
http://print/http://print/


14/18


Figura N 9: Alineacin del negocio conlos estndares y mejores prcticas.


Entorno

SLA

COSO COBIT ITIL ISO 27001ISO 90016 SIGMA

Organizacin

Tecnologa

Estrategia de T.I.

Servicios del rea deTecnologa de Informacin

Administracin de ServiciosAprovisionamiento

Administracin deInfraestructura

Administracin deAplicaciones

Administracin deActivos de Software

Soporte

Usuarios

Clientes

Estrategia de la Organizacin

DirectrizEstratgica

SeguridaddelaInformacin

Organizacin rea de T.I.

Control y Auditora Procesos y Calidad


15/18


Figura N1: Marco de estndares y referenciasinternacionales relacionadas con Gobernabilidad de TI


CobiT

Normas Generalesde Negocio

Normas detalladas de Tecnologa

CoCo - CanadCadbury - UK

SIAS

BS 7799 SPICE

IEEE CMM

ITIL ISO

GAAP GAAS SISA

COSO


16/18


Figura N 3: Evolucin ITIL



17/18


Figura N 4: Ciclo de Vida del Servicio de ITIL



18/18


Figura N 6: Componentes tres vistas de CobIT


Requerimientos del Negocio

Criterio

sdeI

nform

acin

Efectiv

idad

Eficie

ncia

Confide

nciali

dad

Integ

ridad

Dispo

nibilid

ad

Compli

mien

to

Confia

bilida

d

Dominios

Procesos

Actividades

Aplicac

iones

Informacin P

ersonas

Infraestructura

Aplicabilidad de estándares internacionales y mejores prácticas: CobiT®, ITIL®, Serie ISO /...

Documents

Transcript of Aplicabilidad de estándares internacionales y mejores prácticas: CobiT®, ITIL®, Serie ISO /...