NORMAS DE GESTIÓN AVANZADA 2011
La Norma ISO/IEC 38500-Buen Gobierno de las
Tecnologías de la Información.
“La Norma ISO/IEC 38500. Aspectos básicos”
Carlos Manuel FERNANDEZ
Ing. en Informática, CISA, CISM.
Coordinador de TICs./ Jefe Certificaciones TICs
Índice
• Qué son las Normas vs Google.
• Teoría del caos vs AENOR-Desarrollo Estratégico
• Gestión de las TICs : Gestión del CITI (incluyendo PDCA)
• Gobierno de TI – ISO/IEC 38500 Aspectos básicos
• Certificación de conformidad según ISO 17021
• Certificación de conformidad según ISO 17021
• Futuro de las TICs con ISO
Asociación privada Sin ánimo de lucro
Constitución
: 1986 Real decreto 2200/95 AENOR CorporaciónAENOR INTERNACIONAL (+ 12 filiales)
AENOR 25 años
AENOR INTERNACIONAL (+ 12 filiales)
AENOR México ( + 10 años en México DF y Delegaciones)
Multisectorial Normalización
Certificación productos, servicios, sistemas de gestión y personal
ISO 27002 ISO 27002 ISO 27002 ISO 27002 Guía de controles ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. Seguridad de la BS25999 (1 y 2) BS25999 (1 y 2)BS25999 (1 y 2) BS25999 (1 y 2) Gestión de continuidad de negocio ISO 15504 ISO 15504 ISO 15504 ISO 15504 IT Governance IT Governance IT Governance IT Governance
Normas con relación con TICs / Google
TICs
ISO 20000 ISO 20000ISO 20000 ISO 20000----2 2 2 2 Guía de buenas prácticas ISO 19770 ISO 19770 ISO 19770 ISO 19770 SAM ISO 20001 ISO 20001 ISO 20001 ISO 20001----1 1 1 1 S.G. STI Seguridad de laInformación ISO 15504 ISO 15504 ISO 15504 ISO 15504 SPiCE ISO 12207 ISO 12207 ISO 12207 ISO 12207 Ciclo de vida de desarrollo de software
TICs
• Informe Penteo:
– Sólo un 21% de las cías gestionan el dpto. de SI con criterios de negocio – 31 % gestionan el dpto. de SI sólo con criterios tecnológicos
– 48 % gestionan con criterios híbridos
• Conclusiones:
– La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores
Gestión de las TICs con criterios de Negocio
que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%
– La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO
– En un futuro los CIOS más gestores y menos tecnólogos
La Norma ISO/IEC 38500.
“Aspectos básicos”
Definiciones Básicas
•
Gobierno Corporativo de TI
(Corporate governance of IT)El sistema mediante el cual se
dirige y controla
el uso actual y
futuro de las TI. (Plan de negocio
Plan de TI)
•
Gestión de las TI
(IT Management)El sistema de procesos y/o controles requeridos para lograr los
El sistema de procesos y/o controles requeridos para lograr los
objetivos establecidos por la Dirección. (Negocio).
La dirección, planificación, diseño, desarrollo, implantación,
operación y mantenimiento de las TI para satisfacer las
necesidades de la empresa.
6 Principios de Buen Gobierno
(1 de 2)
Principio 1. Responsabilidad
Los individuos y grupos dentro de la organización deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI.
Las personas con responsabilidad de las acciones también tienen la autoridad para llevar a cabo esas acciones.
Principio 2: Estrategia
Se consideran los planes estratégicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio.
futuras derivadas de la estrategia de negocio.
La estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de las TI.
Principio 3: Adquisición
Las adquisiciones de TI se hacen por razones válidas, sobre la base de adecuada y análisis en curso, con la decisión clara y transparente de decisiones.
Hay equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en a corto y largo plazo.
6 Principios de Buen Gobierno
(2 de 2)
Principio 4: Rendimiento
Las TI debe estar dimensionada para dar soporte a la organización, proporcionando lo servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
Principio 5: Conformidad
Cumple con todas las legislaciones y normas obligatorias.
Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas. Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas.
Principio 6: Factor Humano
Las políticas de TI, las prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y futuras de todas las personas involucradas.
Modelo de Gobierno Corporativo de TI
•
La dirección
ha de gobernar las TI mediante 3 tareas principales:
– Evaluar – Dirigir
Modelo de Gobierno Corporativo de TI
•
Evaluar
: La dirección debe examinar y juzgar sobre el uso actual y
futuro de las TI, incluyendo estrategias, propuestas y acuerdos de
suministro (ya sea interno, externas, o ambas cosas).
Modelo de Gobierno Corporativo de TI
•
Dirigir
:
La dirección debe asignar la responsabilidad, y la preparación directa y aplicación de planes y políticas.Asegurar la correcta transición de los proyectos a la producción considerando los impactos en la operación, el negocio y la infraestructura.
Impulsar una cultura de buen
gobierno de TI en la
organización. organización.
Modelo de Gobierno Corporativo de TI
•
Monitorizar
:
La dirección debe vigilar, a través de sistemas de medición adecuados, el rendimiento de las TI. Deben convencerse que el rendimiento está en conformidad con los planes, en particular con respecto a los objetivos de negocio.Guía orientativa para el Gobierno de las TI
Principios Dirigir Monitorizar Evaluar
Responsabilidad - Planes con Responsabilidad Asignada - Recibir información y rendir cuentas
-Mecanismos establecidos Gobierno TI - Asignación Responsabilidades (entendimiento)
- Desempeño responsables Gobierno de TI
- Asignación Responsabilidades - Competencias responsables
Estrategia - Creación y uso de planes y políticas - Asegurarse beneficios TI en el negocio
- Alentar propuestas innovadoras
- Supervisar el progreso de las propuestas aprobadas
- Alcanzar objetivos en plazos establecidos - Utilizar recursos asignados
- Uso de TI, alcanzando beneficios esperados
- Evaluar el progreso propuestas aprobadas - Evaluar actividades TI y alineamiento - Mejores practicas
- Satisfacción interesados
- Valoración y evaluación de Riesgos
Adquisición -Activos de TI se adquieren de manera apropiada
-Documentos Capacidad Requerida - Acuerdos de Suministro respalden necesidades negocio
- Inversiones y capacidades requeridas - Entendimiento Interno/Externo necesidades Negocio
- Alternativas propuestas - Propuestas aprobadas - Análisis de riesgo / valor - Inversiones
Rendimiento - Asignación Recursos Suficientes - Asignar prioridades y Restricciones - Satisfacer Necesidades de Negocio - Datos correctos, actualizados, protegidos
- Grado TI Sustenta Negocio - Recursos e Inversiones Priorizados Necesidades Negocio
- Política Precisión Datos (fiabilidad, exactitud e integridad)
- Política uso eficiente TI
-TI sustenta procesos de negocio. Dimensionado y Capacidad - Riesgos: continuidad operaciones
-Riesgos: integridad información, protección activos -Decisiones uso TI. Apoyo al negocio
-Eficacia y desempeño Gobierno TI
Cumplimiento -TI cumple obligaciones, normas y directrices
-Establecer y aplicar políticas (uso TI interno)
- Personal TI cumple directrices, desarrollo y conducta
-Ética rige acciones relacionadas TI
-Cumplimiento y Conformidad (Auditorias/Informes)
-Oportunos, Completo, Adecuados (Necesidades Negocio)
-Actividades TI
-TI cumple Obligaciones, Normas y Directrices -Conformidad Gobierno TI
Factor Humano -Actividades TI compatibles con Factor Humano
-Informar por cualquier individuo (riesgos, problemas)
-Administración riesgos según políticas y procedimientos
- Escalado a los decisores
-Identificar, prestar atención a las actividades TI
-Practicas de trabajo son consistentes con el uso apropiado de TI
- Se identifican actividades TI, que aseguran que los RRHH están identificados y considerados adecuadamente.
Beneficios del Gobierno de TI
• Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y Evaluar.
• Este estándar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI.
• Este estándar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI.
• Este estándar fomenta el uso de otros estándares para apuntalar la gestión de las TI (CITI – Control Interno Tecnologías Información)
• Este estándar deja claro que se debe cumplir con la legislación vigente
• Este estándar es un subconjunto del Gobierno Corporativo de las empresas / instituciones.
Proceso de Certificación de Conformidad ISO 38500
FASE 2 REALIZACIÓN DE LA AUDITORÍA (presencial) FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) CUESTIONARIO PRELIMINAR Y SOLICITUD –AUDITORÍAS DE –RENOVACIÓN Auditoría de certificación de Conformidad A ud ito rí as d e m ant eni m ie n to d e la c er tif ic ac ió n d e co nf or m id ad Informe fase 1 Informe finalELABORACIÓN DEL INFORME DE EVALUACIÓN Y DECISIÓN
–RENOVACIÓN
–(AL TERCER AÑO)
REGISTRAR LOS RESULTADOS CONCESIÓN DEL CERTIFICADO DE CONFORMIDAD –AUDITORÍAS DE –SEGUIMIENTO
–(AL PRIMER AÑO)
–AUDITORÍAS DE
–SEGUIMIENTO
–(AL SEGUNDO AÑO)
Conformidad (ISO 17021) A ud ito rí as d e m ant eni m ie n to d e la c er tif ic ac ió n d e co nf or m id ad Informe de Evaluación y Decisión
El tiempo de los Procesos en las TICs
• 80´s (mecanizar operaciones)
• 90´s (Help Desk y control presupuestario)
• Finales 90´s (E-Commerce y marketplace)
• XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora
Continua. Los procesos en TICs: incrementando el desarrollo de productos e
innovación) innovación)
• CIOs se convierten en CPOs (Chief Process Officers) integrados con los
objetivos del negocio.
» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).
Algunos Datos de AENOR en TICs
• Certificaciones en SGSI (UNE ISO 27001): más de 250 empresas certificadas
(Diciembre 2010). Desde PYMES hasta grandes Corporaciones. (INDRA,
British Telecom, Buro de Crédito (Mexico), Movistar Argentina, Hospital Juan Pablo II – Polonia, IECISA, GMV, Start-Up, Intermark, Telecable, IBERIA,
Ministerio de Sanidad, Organización Nacional de Transplantes, CajaAstur, Cluster TIC de Asturias, etc.)
• Certificaciones en SGSTI (UNE ISO 2000-1): + 70 empresas certificadas (El
Corte Inglés CPD, Telefónica Soluciones, SIA, Tecnocom, Xunta de Galicia, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, etc. ).
• Certificación de Conformidad –Gobierno de TI (ISO/IEC 38500): 1 empresa
con certificado de conformidad (Rural de Servicios Informáticos – RSI)
• Otras Certificaciones en TICs : Spice-ISO 1554 ( + 20 empresas Nivel 2), BCM
(2 empresas – SANITAS y pdte. Buró Crédito-México) SAM, (1 empresa -Tecnofor) etc.
Sistemas de Gestión en las TICs. Una historia reciente
“La simplicidad es la mayor de las sofisticaciones”
“La simplicidad es la mayor de las sofisticaciones”
“La simplicidad es la mayor de las sofisticaciones”
“La simplicidad es la mayor de las sofisticaciones”
Leonardo Da Vinci
Leonardo Da Vinci
Leonardo Da Vinci
Leonardo Da Vinci
Un Nuevo Reto en las TICs:
Un Nuevo Reto en las TICs:
Un Nuevo Reto en las TICs:
Un Nuevo Reto en las TICs:
“El Gobierno de TI y la Gestión
“El Gobierno de TI y la Gestión
“El Gobierno de TI y la Gestión
“El Gobierno de TI y la Gestión
Integrada (PDCA) de las TICs
Integrada (PDCA) de las TICs
Integrada (PDCA) de las TICs
Integrada (PDCA) de las TICs
alineadas con el Negocio”.
alineadas con el Negocio”.
alineadas con el Negocio”.
alineadas con el Negocio”.
Muchas Gracias
Carlos Manuel FERNANDEZ Carlos Manuel FERNANDEZ
cmfernandez@aenor.es
AENOR Asturias
PCT de Gijón. Edificio FADE Profesor Potter, 51. Cabueñes
33203 GIJÓN Tel.: 985 196 011 Fax: 985 373 722 dpa@aenor.es