• No se han encontrado resultados

NORMAS DE GESTIÓN AVANZADA 2011 La Norma ISO/IEC Buen Gobierno de las Tecnologías de la Información. La Norma ISO/IEC

N/A
N/A
Protected

Academic year: 2021

Share "NORMAS DE GESTIÓN AVANZADA 2011 La Norma ISO/IEC Buen Gobierno de las Tecnologías de la Información. La Norma ISO/IEC"

Copied!
21
0
0

Texto completo

(1)

NORMAS DE GESTIÓN AVANZADA 2011

La Norma ISO/IEC 38500-Buen Gobierno de las

Tecnologías de la Información.

“La Norma ISO/IEC 38500. Aspectos básicos”

Carlos Manuel FERNANDEZ

Ing. en Informática, CISA, CISM.

Coordinador de TICs./ Jefe Certificaciones TICs

(2)

Índice

• Qué son las Normas vs Google.

• Teoría del caos vs AENOR-Desarrollo Estratégico

• Gestión de las TICs : Gestión del CITI (incluyendo PDCA)

• Gobierno de TI – ISO/IEC 38500 Aspectos básicos

• Certificación de conformidad según ISO 17021

• Certificación de conformidad según ISO 17021

• Futuro de las TICs con ISO

(3)

Asociación privada Sin ánimo de lucro

Constitución

: 1986 Real decreto 2200/95 AENOR Corporación

AENOR INTERNACIONAL (+ 12 filiales)

AENOR 25 años

AENOR INTERNACIONAL (+ 12 filiales)

AENOR México ( + 10 años en México DF y Delegaciones)

Multisectorial Normalización

Certificación productos, servicios, sistemas de gestión y personal

(4)

ISO 27002 ISO 27002 ISO 27002 ISO 27002 Guía de controles ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. ISO 27001 S.G. Seguridad de la BS25999 (1 y 2) BS25999 (1 y 2)BS25999 (1 y 2) BS25999 (1 y 2) Gestión de continuidad de negocio ISO 15504 ISO 15504 ISO 15504 ISO 15504 IT Governance IT Governance IT Governance IT Governance

Normas con relación con TICs / Google

TICs

ISO 20000 ISO 20000ISO 20000 ISO 20000----2 2 2 2 Guía de buenas prácticas ISO 19770 ISO 19770 ISO 19770 ISO 19770 SAM ISO 20001 ISO 20001 ISO 20001 ISO 20001----1 1 1 1 S.G. STI Seguridad de la

Información ISO 15504 ISO 15504 ISO 15504 ISO 15504 SPiCE ISO 12207 ISO 12207 ISO 12207 ISO 12207 Ciclo de vida de desarrollo de software

TICs

(5)
(6)

• Informe Penteo:

– Sólo un 21% de las cías gestionan el dpto. de SI con criterios de negocio – 31 % gestionan el dpto. de SI sólo con criterios tecnológicos

– 48 % gestionan con criterios híbridos

• Conclusiones:

– La Dirección de las cías. Tiene una percepción más positiva de los CIOs que siguen criterios de Negocio. Les dan el rol de líderes contribuidores

Gestión de las TICs con criterios de Negocio

que siguen criterios de Negocio. Les dan el rol de líderes contribuidores de negocio en un 58%

– La Gestión de las TICs mejora el posicionamiento del dpto. de SI y del CIO

– En un futuro los CIOS más gestores y menos tecnólogos

(7)

La Norma ISO/IEC 38500.

“Aspectos básicos”

(8)

Definiciones Básicas

Gobierno Corporativo de TI

(Corporate governance of IT)

El sistema mediante el cual se

dirige y controla

el uso actual y

futuro de las TI. (Plan de negocio

Plan de TI)

Gestión de las TI

(IT Management)

El sistema de procesos y/o controles requeridos para lograr los

El sistema de procesos y/o controles requeridos para lograr los

objetivos establecidos por la Dirección. (Negocio).

La dirección, planificación, diseño, desarrollo, implantación,

operación y mantenimiento de las TI para satisfacer las

necesidades de la empresa.

(9)

6 Principios de Buen Gobierno

(1 de 2)

Principio 1. Responsabilidad

Los individuos y grupos dentro de la organización deben comprender y aceptar su responsabilidades con respecto a la oferta y la demanda de TI.

Las personas con responsabilidad de las acciones también tienen la autoridad para llevar a cabo esas acciones.

Principio 2: Estrategia

Se consideran los planes estratégicos de TI para satisfacer las necesidades actuales y futuras derivadas de la estrategia de negocio.

futuras derivadas de la estrategia de negocio.

La estrategia de negocio de la organización tiene en cuenta las actuales y futuras capacidades de las TI.

Principio 3: Adquisición

Las adquisiciones de TI se hacen por razones válidas, sobre la base de adecuada y análisis en curso, con la decisión clara y transparente de decisiones.

Hay equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en a corto y largo plazo.

(10)

6 Principios de Buen Gobierno

(2 de 2)

Principio 4: Rendimiento

Las TI debe estar dimensionada para dar soporte a la organización, proporcionando lo servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

Principio 5: Conformidad

Cumple con todas las legislaciones y normas obligatorias.

Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas. Las políticas y prácticas están claramente definidas, aplicadas y ejecutadas.

Principio 6: Factor Humano

Las políticas de TI, las prácticas y decisiones demuestran respeto al factor humano, incluyendo las necesidades actuales y futuras de todas las personas involucradas.

(11)

Modelo de Gobierno Corporativo de TI

La dirección

ha de gobernar las TI mediante 3 tareas principales:

– Evaluar – Dirigir

(12)

Modelo de Gobierno Corporativo de TI

Evaluar

: La dirección debe examinar y juzgar sobre el uso actual y

futuro de las TI, incluyendo estrategias, propuestas y acuerdos de

suministro (ya sea interno, externas, o ambas cosas).

(13)

Modelo de Gobierno Corporativo de TI

Dirigir

:

La dirección debe asignar la responsabilidad, y la preparación directa y aplicación de planes y políticas.

Asegurar la correcta transición de los proyectos a la producción considerando los impactos en la operación, el negocio y la infraestructura.

Impulsar una cultura de buen

gobierno de TI en la

organización. organización.

(14)

Modelo de Gobierno Corporativo de TI

Monitorizar

:

La dirección debe vigilar, a través de sistemas de medición adecuados, el rendimiento de las TI. Deben convencerse que el rendimiento está en conformidad con los planes, en particular con respecto a los objetivos de negocio.

(15)

Guía orientativa para el Gobierno de las TI

Principios Dirigir Monitorizar Evaluar

Responsabilidad - Planes con Responsabilidad Asignada - Recibir información y rendir cuentas

-Mecanismos establecidos Gobierno TI - Asignación Responsabilidades (entendimiento)

- Desempeño responsables Gobierno de TI

- Asignación Responsabilidades - Competencias responsables

Estrategia - Creación y uso de planes y políticas - Asegurarse beneficios TI en el negocio

- Alentar propuestas innovadoras

- Supervisar el progreso de las propuestas aprobadas

- Alcanzar objetivos en plazos establecidos - Utilizar recursos asignados

- Uso de TI, alcanzando beneficios esperados

- Evaluar el progreso propuestas aprobadas - Evaluar actividades TI y alineamiento - Mejores practicas

- Satisfacción interesados

- Valoración y evaluación de Riesgos

Adquisición -Activos de TI se adquieren de manera apropiada

-Documentos Capacidad Requerida - Acuerdos de Suministro respalden necesidades negocio

- Inversiones y capacidades requeridas - Entendimiento Interno/Externo necesidades Negocio

- Alternativas propuestas - Propuestas aprobadas - Análisis de riesgo / valor - Inversiones

Rendimiento - Asignación Recursos Suficientes - Asignar prioridades y Restricciones - Satisfacer Necesidades de Negocio - Datos correctos, actualizados, protegidos

- Grado TI Sustenta Negocio - Recursos e Inversiones Priorizados Necesidades Negocio

- Política Precisión Datos (fiabilidad, exactitud e integridad)

- Política uso eficiente TI

-TI sustenta procesos de negocio. Dimensionado y Capacidad - Riesgos: continuidad operaciones

-Riesgos: integridad información, protección activos -Decisiones uso TI. Apoyo al negocio

-Eficacia y desempeño Gobierno TI

Cumplimiento -TI cumple obligaciones, normas y directrices

-Establecer y aplicar políticas (uso TI interno)

- Personal TI cumple directrices, desarrollo y conducta

-Ética rige acciones relacionadas TI

-Cumplimiento y Conformidad (Auditorias/Informes)

-Oportunos, Completo, Adecuados (Necesidades Negocio)

-Actividades TI

-TI cumple Obligaciones, Normas y Directrices -Conformidad Gobierno TI

Factor Humano -Actividades TI compatibles con Factor Humano

-Informar por cualquier individuo (riesgos, problemas)

-Administración riesgos según políticas y procedimientos

- Escalado a los decisores

-Identificar, prestar atención a las actividades TI

-Practicas de trabajo son consistentes con el uso apropiado de TI

- Se identifican actividades TI, que aseguran que los RRHH están identificados y considerados adecuadamente.

(16)

Beneficios del Gobierno de TI

• Establece un modelo para el Gobierno de TI, basado en Dirigir, Monitorizar y Evaluar.

• Este estándar establece 6 principios para la eficacia, eficiencia y uso aceptable de las TI.

• Este estándar asegura que las organizaciones realizan un adecuado estudio de riesgos y evalúan nuevas oportunidades en el uso de las TI.

• Este estándar fomenta el uso de otros estándares para apuntalar la gestión de las TI (CITI – Control Interno Tecnologías Información)

• Este estándar deja claro que se debe cumplir con la legislación vigente

• Este estándar es un subconjunto del Gobierno Corporativo de las empresas / instituciones.

(17)

Proceso de Certificación de Conformidad ISO 38500

FASE 2 REALIZACIÓN DE LA AUDITORÍA (presencial) FASE 1: PLANIFICACIÓN DE LA AUDITORÍA Y ESTUDIO DE DOCUMENTACIÓN (presencial) CUESTIONARIO PRELIMINAR Y SOLICITUD –AUDITORÍAS DE –RENOVACIÓN Auditoría de certificación de Conformidad A ud ito rí as d e m ant eni m ie n to d e la c er tif ic ac ió n d e co nf or m id ad Informe fase 1 Informe final

ELABORACIÓN DEL INFORME DE EVALUACIÓN Y DECISIÓN

–RENOVACIÓN

–(AL TERCER AÑO)

REGISTRAR LOS RESULTADOS CONCESIÓN DEL CERTIFICADO DE CONFORMIDAD –AUDITORÍAS DE –SEGUIMIENTO

–(AL PRIMER AÑO)

–AUDITORÍAS DE

–SEGUIMIENTO

–(AL SEGUNDO AÑO)

Conformidad (ISO 17021) A ud ito rí as d e m ant eni m ie n to d e la c er tif ic ac ió n d e co nf or m id ad Informe de Evaluación y Decisión

(18)

El tiempo de los Procesos en las TICs

• 80´s (mecanizar operaciones)

• 90´s (Help Desk y control presupuestario)

• Finales 90´s (E-Commerce y marketplace)

• XXI- (ITIL, CMMI, COBIT, ISO, etc..) : definir, medir y analizar: Ciclo Mejora

Continua. Los procesos en TICs: incrementando el desarrollo de productos e

innovación) innovación)

• CIOs se convierten en CPOs (Chief Process Officers) integrados con los

objetivos del negocio.

» Fuente: David Flint. Vice President de Gartner. Research. (Junio -2008).

(19)

Algunos Datos de AENOR en TICs

• Certificaciones en SGSI (UNE ISO 27001): más de 250 empresas certificadas

(Diciembre 2010). Desde PYMES hasta grandes Corporaciones. (INDRA,

British Telecom, Buro de Crédito (Mexico), Movistar Argentina, Hospital Juan Pablo II – Polonia, IECISA, GMV, Start-Up, Intermark, Telecable, IBERIA,

Ministerio de Sanidad, Organización Nacional de Transplantes, CajaAstur, Cluster TIC de Asturias, etc.)

• Certificaciones en SGSTI (UNE ISO 2000-1): + 70 empresas certificadas (El

Corte Inglés CPD, Telefónica Soluciones, SIA, Tecnocom, Xunta de Galicia, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, HUNOSA, IECISA, Caixa Galicia, Cepsa, Caja Madrid, Cluster TIC de Asturias, etc. ).

• Certificación de Conformidad –Gobierno de TI (ISO/IEC 38500): 1 empresa

con certificado de conformidad (Rural de Servicios Informáticos – RSI)

• Otras Certificaciones en TICs : Spice-ISO 1554 ( + 20 empresas Nivel 2), BCM

(2 empresas – SANITAS y pdte. Buró Crédito-México) SAM, (1 empresa -Tecnofor) etc.

(20)

Sistemas de Gestión en las TICs. Una historia reciente

“La simplicidad es la mayor de las sofisticaciones”

“La simplicidad es la mayor de las sofisticaciones”

“La simplicidad es la mayor de las sofisticaciones”

“La simplicidad es la mayor de las sofisticaciones”

Leonardo Da Vinci

Leonardo Da Vinci

Leonardo Da Vinci

Leonardo Da Vinci

(21)

Un Nuevo Reto en las TICs:

Un Nuevo Reto en las TICs:

Un Nuevo Reto en las TICs:

Un Nuevo Reto en las TICs:

“El Gobierno de TI y la Gestión

“El Gobierno de TI y la Gestión

“El Gobierno de TI y la Gestión

“El Gobierno de TI y la Gestión

Integrada (PDCA) de las TICs

Integrada (PDCA) de las TICs

Integrada (PDCA) de las TICs

Integrada (PDCA) de las TICs

alineadas con el Negocio”.

alineadas con el Negocio”.

alineadas con el Negocio”.

alineadas con el Negocio”.

Muchas Gracias

Carlos Manuel FERNANDEZ Carlos Manuel FERNANDEZ

cmfernandez@aenor.es

AENOR Asturias

PCT de Gijón. Edificio FADE Profesor Potter, 51. Cabueñes

33203 GIJÓN Tel.: 985 196 011 Fax: 985 373 722 dpa@aenor.es

Referencias

Documento similar

En este capítulo se describe como llevar a cabo un proceso de evaluación definiendo las entradas, salidas, roles y el modelo de evaluación de procesos, además del marco de trabajo

El desarrollo del proyecto de investigación tiene como título “SISTEMA WEB E INTRANET BAJO LA NORMA ISO/IEC 25000 PARA LA MEJORA DE GESTIÓN DE LOS PROCESOS DE

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

“Desarrollar un modelo de gestión de la seguridad de la información, basado en las normas ISO/IEC 27000 y en la metodología Magerit, que ayude a mitigar los riesgos de TI en

grupos de interés ... La información sobre las actuaciones administrativas automatizadas y los algoritmos utilizados por las Ad- ministraciones públicas ... Fortalecer la calidad

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

Mediante este proyecto vamos a numerar y desarrollar cada uno de los requisitos necesarios para la implantación de la norma ISO/IEC 17025 en un laboratorio de calidad

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la