Experiencias en la implementación de ITIL en conjunto con ... · Octubre 2006Mayo 2005 Página 1...

Mayo 2005 Página 1Octubre 2006Octubre 2006

Experiencias en la implementación de ITIL en conjunto con CobiT:

El caso de GRUMA

Mayo 2005 Página 2Octubre 2006

•Introducción

•Marco Conceptual

•Procesos de TI “Estableciendo el Trabajo”

•Gente (Organización) “Alineando Roles con el

Trabajo”

•Seguimiento “Identificar Plan de Mejora”

•Control (Riesgos) “Aplicar Gobierno”

Agenda


•GRUMA, S.A. de C.V., es el líder en laproducción de tortillas y harina de maíz a nivelmundial. Actualmente GRUMA tieneoperaciones en Estados Unidos, Europa,México, Centroamérica, Venezuela, Australia yChina.

•Las Acciones de GRUMA Serie B han cotizadoen la Bolsa Mexicana de Valores, S.A. de C.V.,desde 1994. Los ADSs registrados, cada unorepresentando cuatro Acciones Serie B,comenzaron a listarse en la Bolsa de Valores deNueva York en noviembre de 1998.

GRUMA

Introducción


Desde la perspectiva de sistemas y de control interno, la

parte más importante de SOX es la sección 404. Esta

sección requiere que las compañías que cotizan en las

bolsas de valores de EUA, el comprobar la efectividad de

sus controles internos para sus reportes financieros anuales.

La sección 404 también requiere que auditores

independientes prueben y reporten la validez de estos

controles.

Sarbanes-Oxley Act (SOX)

Introducción


Marco Conceptual


Que es el Cumplimiento de una Regulación Externa?

Es la interpretación de lo que la regulación dice, el

entendimiento de donde está tu compañía, el documentar un

plan para lograr el cumplimiento, ejecutar el plan, e idear las

medidas y controles que prueben que se ha implementado el

plan.

Entendimiento

Marco Conceptual


IS organizations are using compliance to reap benefits, such as

creating standard business processes and consolidating applications.

Most enterprises will comply by the deadline but do not aim to be

exceptional.

The compliance effortisn’tleading to big IS budget increases.

The pressure for standardization is increasing. To make compliance

easier, and to lower audit and head count costs, IS organizations are

standardizing IS processes, applications and infrastructure.

Compliance is ushering in a more structured approach to IS processes.

Initially, this is happening around financial reporting, but it will spread to

all IS processes.

Mejores Prácticas

Marco Conceptual


•El utilizar ambientes de control estándar

beneficiará a GRUMA:

–Nos permitirá adaptarnos más rápidamente cuando

se introduzca modificaciones o nuevas regulaciones,

mediante cambios incrementales a los controles

existentes.

–Nos permitirá priorizar el gasto en controles que

logren el mayor impacto.

–Minimiza el duplicar trabajo para el cumplimiento

entre las diferentes áreas de sistemas de GRUMA.

–Establece un entendimiento común entre sistemas y

los auditores internos y externos.

Ambientes Estándares de Control

Marco Conceptual


Regulaciones Externas Estándares de Industria


So

lució

n 1

So

lució

n 2

So

lució

n 3

So

lució

n 4

So

lució

n 5

So

lució

n N……


Marco Conceptual

Cobit,

ISO 17799:2005

ITIL

MOF


Ambientes Estándares de Control GRUMA

Marco Conceptual

Cambio Operación Soporte Optimización

Cambios

Seguridad

Infraestructura

Operación

Soporte

Administración

Comité

Cambios

Comité

Operación

Comité

Servicio

Comité

Proyectos

C O

B I T

Procesos

ITIL

Organización

TI


Arquitectura Tecnológica

Marco Conceptual


Cliente

Proveedor

de Tecnología de IT,

Aplicaciones, etc.

Selección de Tecnología

Esfuerzo del Proveedor

Esfuerzo del Cliente

Coeficiente de Eficiencia del Cliente

Coeficiente de Eficiencia del ProveedorX = Cumplimiento

Marco Conceptual


•Document Management

•Business Process Management

•Project Management

•Risk Assessment

•Change Management

•Network Security

•Host Control

•Malicious Software Prevention

•Application Security

•Messaging and Collaboration

•Data Classification and Protection

•Identity Management

•Authentication, Authorization, and Access Control

•Training

•Physical Security

•Vulnerability Identification

•Monitoring and Reporting

•Disaster Recovery and Failover

•Incident Management and Trouble-Tracking

Tecnología para el Cumplimiento

Marco Conceptual


Procesos de TI“Estableciendo el Trabajo”


Ciclo General de Procesos

Procesos de TI


Grupos de Procesos y sus Revisiones

Procesos de TI


Reactive

ProactiveAnalyze trends

Set thresholds

Predict problems

Measure appli-cation availability

Automate

Mature problem, configuration, change, asset and performance mgmt. processes

Fight firesInventory Desktop SW

distributionInitiate

problem mgmt. processAlert and

event mgmt.Measure component

availability (up/down)

IT as a service providerDefine services,

classes, pricingUnderstand costsGuarantee SLAsMeasure & report

service availabilityIntegrate processesCapacity

mgmt.

Service

ValueIT as strategic

business partnerIT and business

metric linkageIT/business

collaboration improves business process Real-time

infrastructureBusiness planning

Level 1

Level 2

Level 3

Level 4

ChaoticAd hoc

Undocumented

Unpredictable

Multiple help

desks

Minimal IT

operations

User call notification

Level 0

Tool Leverage

Manage IT as a Business

Service Delivery Process Engineering

Operational Process Engineering

Service and Account Management

Procesos de TI

Modelo de Maduración de Procesos


Gente (Organización)“Alinear Roles con el Trabajo”


•Se requirió pasar de una organizaciones central diseñadasen base a silos tecnológicos, al igual que organizacionesdistribuidas diseñadas en base a personal con multi-asignaciones, a un estructura organizacional modular,basada en procesos, apalancando competencias y mejoresprácticas.

Organizaciones Distribuidas

diseñadas en base a Personas

Organizaciones Centrales

Diseñadas en base a Silos

Organizaciones Hibridas

(Centrales/Distribuidas)

Retos del Cambio

Gente (Organización)


Diseño General de la Organización de

Servicios de TI Central de GRUMA



Matriz de Responsabilidades (RACI)


R = Ejecuta

A = Responsable

C = Se Consulta (dos

sentidos)

I = Se Informa


Seguimiento“Identificar Plan de Mejora”


Comités de Seguimiento del Cambio

Seguimiento


Comité Cambios

Seguimiento


Comité Operación

Seguimiento


Riesgos (Control)“Aplicar Gobierno”


Establecer el Contexto

Identificar los Riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

Com

unic

ar

y C

onsultar

Monitore

ar

y R

evis

ar

Establecer el Contexto

Identificar los Riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

Com

unic

ar

y C

onsultar

Mo

nito

rear

y R

evis

ar

Evaluación de Riesgos

7

1

2

3

4

5

6

Riesgos (Control)

Administración de Riesgos


Riesgos (Control)

Tratamiento de Riesgos


•Un control puede ser definido como“undispositivo o

mecanismo usado para regular o guiar la operación de

una máquina, aparato osistema”.

•Las organizaciones usan controles para regular sus

procesos de negocio, de tal forma de restringir o corregir

mal comportamiento, reduciendo o prevenir la

replicación de problemas y errores.

•Las organizaciones implementan normalmente

controles para reducir riesgos de fraude, proteger los

activos de la compañía, prevenir revelación no

autorizada de sus secretos, cumplir con regulaciones,

mejorar su eficiencia.

Controles

Riesgos (Control)


Controles de IT

Controles Generales

Controles de Aplicaciones

Controles

Controles de Negocio

Controles de TI

•Se definieron dos grandes categorías de controles para

TI: Controles generales y controles de aplicaciones.

Controles

Riesgos (Control)


Controles Generales

•Controles Generales aplican a toda la

infraestructura de TI de la compañía. Y son

anteriores a los controles de las aplicaciones.

Los controles generales se clasifican en:

–Organización de sistemas o TI.

–Creación y comunicación de políticas.

–Seguridad de TI.

–Control de cambios.

–Manejo de incidentes y problemas.

–Monitoreo de eventos y rendimiento. Controles de IT

Controles

Generales


Controles


Controles de TI

Riesgos (Control)


•Controles de Aplicaciones son diferentes para

cada aplicación que la compañía usa para

operar el negocio. En este contexto, los

controles de aplicación son componentes de IT

que refuerzan controles de negocio.

•Procedimientos de preparación de datos.

•Chequeo de precisión, completes y autorización.

•Integridad en el procesamiento de datos. (SOD).

•Distribución de Salida.

•Protección de transmisión de información sensitiva.


Controles de IT

Controles

Generales

Controles de

Aplicaciones

Controles


Controles de TI

Riesgos (Control)


Riesgos (Control)

Desarrollo de Controles


Riesgos (Control)

Riesgos SOX - Cobit


Riesgos (Control)

Planeación SOX - Cobit


Maduración de Controles

Riesgos (Control)


Preguntas

Experiencias en la implementación de ITIL en conjunto con ... · Octubre 2006Mayo 2005 Página 1...

Documents

Transcript of Experiencias en la implementación de ITIL en conjunto con ... · Octubre 2006Mayo 2005 Página 1...