Proceso de la administracin basada en ITIL / CobIT Tal vez encuentre su entorno de la tecnologa de la informacin (TI) difcil de controlar y costoso

de administrar. La infraestructura Bsica de TI se caracteriza por procesos manuales y localizados; un mnimo control central; y polticas y estndares de TI inexistentes o no aplicados respecto a la seguridad, el respaldo, la administracin e implementacin de imgenes, el cumplimiento y otras prcticas de TI comunes. Al cambiar de una infraestructura Estandarizada de TI, su organizacin se puede beneficiar al contar con personal de TI capacitado sobre las mejores prcticas tales como Microsoft Operations Framework (MOF), la Biblioteca de infraestructura de TI (ITIL), la administracin y configuracin centrales de seguridad, la definicin de imgenes estndar de escritorio, as como diversos directorios para una fcil autenticacin. El siguiente grfico describe parar usted el entorno del cliente y qu beneficios y acciones realizar al ayudar al cliente a cambiar de un estado de madurez al siguiente incluyendo la siguiente informacin:

Descripcin del entorno del cliente Problemas/Desafos Problemas Beneficios de pasar al siguiente nivel Proyectos posibles con un cliente (plan de accin)

Mapeando ITIL v.3 y Cobit 4.1 ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante complicado de hacer, ya que como en los dems documentos de mapeo, se intenta realizar un anlisis de cmo se referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de trabajo debe tener grandes conocimientos de ambos extremos de la comparacin. En este estudio ha habido varias cosas que me han llamado la atencin: lo primero es la evolucin que ha habido en la metodologa de realizacin de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo anlisis es mucho mayor y que ya no es tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin embargo, ahora hay una escala en la que se habla de cubrir mucho, poco o nada un objetivo de control. Otro de los detalles que me ha parecido interesante es ver de forma grfica la evolucin de ITIL en cuanto al nivel de cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubra una pequea parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de V3 es mucho ms amplia. Por ltimo, me llam la atencin ese agujero que quedaba en DS qu pasaba con DS7, que no estaba cubierto?; as que me fui al manual de Cobit a buscar qu era el DS7 y me encontr con una gran sorpresa: DS7 Educate and Train Users Impresionante! Segn este anlisis, ITIL V3 no cubre en ningn aspecto la formacin del usuario final. Y al menos por lo que yo he ledo, es prcticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los usuarios y en V2, en alguna parte de la Gestin de Versiones tambin se habla de la formacin de usuarios. Pero desde luego no es algo a lo que se le preste una atencin especial sino que se menciona de pasada. Qu gran carencia!! Visin de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios? Aqu me viene a la cabeza la definicin de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500: Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cmo, cundo, dnde y porqu utilizar la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades. Pero no slo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que tambin hemos de garantizar que quien ha de usar la herramienta sabr sacar el mximo partido de ella; y no ya slo por una visin egosta del tema, en cuanto a que a medida que los usuarios estn ms y mejor formados, menos problemas tendremos en IT (en soporte funcional, tcnico o en peticiones, por ejemplo) sino que cuanto ms y mejor estn formados los usuarios ms

partido podrn sacar de las herramientas que les proporcionemos y podrn aportar mayores eficiencias gracias al uso adecuado de las TIC. Formar a los usuarios es una gran inversin, pero ITIL V3 se olvid de ello. Fuente: www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html https://www.isaca.org/Template.cfm? Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999 El Marco de Trabajo de COBIT En mayo 2007, se pblico la versin 4.1 de COBIT*1, Objetivos de Control para Tecnologas de la Informacin y Relacionadas, que es un conjunto de mejores prcticas para en la seguridad de la Informacin creado por la Asociacin para la Auditora y Control de Sistemas de Informacin. ISACA*2, y el Instituto de Administracin de las Tecnologas de la Informacin, ITGI*3. Proporciona un estndar internacional de prcticas aprobadas mundialmente que ayudan a la alta direccin, ejecutivos y administradores a incrementar el valor de las Tecnologas de la Informacin, TI, y a reducir los riesgos del negocio. Facilita un conjunto de buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. COBIT 4.1 es una actualizacin significativa del marco que asegura que las TI estn alineadas con los objetivos de negocio, sus recursos sean usados responsablemente y sus riesgos administrados de forma apropiada. COBIT 4.1 representa una mejora indiscutible de la versin COBIT 4.0 del estndar. La nueva versin incluye la medicin del desempeo, mejores objetivos de control y mejor alineacin con las metas de negocios y TI. Muchas son las razones para la adopcin de de un marco de trabajo para el control del Gobierno de las TI en las organizaciones, independientemente de su actividad y el tamao. Cada vez ms, la alta direccin se est dando cuenta del impacto significativo que la informacin puede tener en el xito de una empresa. La direccin espera de las TI contribuyan al xito del negocio y se pueda obtener una ventaja competitiva de su buen uso. Las Organizaciones necesitan saber si con la informacin administrada es posible garantizar:

El logro de sus objetivos La flexibilidad suficiente para aprender y adaptarse El manejo juicioso de los riesgos a enfrenta la Organizacin El anlisis de las oportunidades de negocio y actuar de acuerdo a ellas

El xito de la Organizacin depende en gran medida de que se entienden los riesgos y se aprovechan los beneficios de las TI, para ello, se necesita:

Alinear la estrategia de las TI con la estrategia del negocio Lograr que toda la estrategia de las TI, as como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizativas que faciliten la implementacin de las metas del negocio Crear las comunicaciones efectivas entre el negocio y las TI, y con los socios externos Medir el desempeo de las TI.

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para las TI, de manera que:

Se alinee con los requerimientos del negocio El desempeo real con respecto a los requerimientos sea transparente y gil Organice todas sus actividades en un modelo de procesos generalmente aceptados Identifique los principales recursos que son necesarios Se definan los objetivos de control que son necesarios

El gobierno y los marcos de trabajo de control son parte de las mejores prcticas de la administracin de las TI y facilitan su Gobierno, adems de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prcticas de las TI se han vuelto significativas debido a un nmero de factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en las TI Preocupacin por el creciente nivel de gasto en las TI La necesidad de cumplir con requerimientos regulatorios para controles de las TI en reas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores especficos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacutico, etc La seleccin de proveedores de servicio y el manejo del Outsourcing y de la Adquisicin de servicios Riesgos cada vez ms complejos de las TI La conectividad entre las redes y su seguridad Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas para ayudar a monitorear y mejorar las actividades crticas de las TI, aumentar el valor del negocio y reducir sus riesgos La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados La madurez y concienciacin creciente y la aceptacin de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc. La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia

COBIT define las actividades de TI de una organizacin, en un modelo genrico de procesos en cuatro dominios. Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para todos los implicados en los trabajos de la organizacin, con el fin de que visualicen y administren las actividades de TI. La incorporacin de un modelo y un lenguaje comn para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales ms importantes hacia un buen gobierno. Brinda un marco de trabajo para la medicin y monitoreo del desempeo de las Tecnologas de Informacin, e integra las mejores prcticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados. El alcance de los cuatro dominios es: PLANEAR Y ORGANIZAR. Cubre las estrategias y de la organizacin, identificando la manera en que las TI pueda contribuir al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. Este dominio y sus controles cubren los siguientes requerimientos del negocio:

Estn alineadas las estrategias de las TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de las TI? Se entienden y administran los riesgos de las TI? Es apropiada la calidad de los sistemas de las TI para las necesidades del negocio?

ADQUIRIR E IMPLEMENTAR. Las soluciones de las TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes son necesarios para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio contesta a las siguientes cuestiones:

Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?

ENTREGAR Y DAR SOPORTE. Se preocupa de la entrega de los servicios requeridos, la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales. Este dominio trata de garantizar:

Se estn entregando los servicios de las TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de las TI? Es capaz la fuerza de trabajo de utilizar los sistemas de las TI de manera productiva y segura?

Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

MONITOREAR Y EVALUAR. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del Gobierno. Contesta a las siguientes preguntas:

Se mide el desempeo de las TI para detectar los problemas antes de que sea demasiado tarde? La Alta Direccin garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que las TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

*1. COBIT, Control Objectives for Information and related Technology *2. ISACA, Information Systems Audit and Control Association. *3. ITGI, IT Governance Institute. Control Interno (COBIT vs COSO) El control interno es uno de los elementos de gestin empresarial que ms cambios ha sufrido en los ltimos aos. En sus comienzos fue un concepto prcticamente exclusivo de las reas financieras de las grandes corporaciones. Ms adelante se fue extendiendo gracias a que los auditores internos lo heredaron y desarrollaron, aunque en gran medida sigui bastante ligado a los entornos econmicos. Y en los ltimos aos el concepto se ampli y extendi a otros mbitos, siendo poco a poco utilizado por responsables de calidad, seguridad o tecnologa informtica. En la actualidad existen una gran cantidad de modelos de control interno, pero en muchas ocasiones es difcil distinguir entre unos y otros y apreciar claramente sus diferencias y similitudes. Y ms si tenemos en cuenta que entre unos y otros existen muchas influencias y puntos comunes. Por eso, creo que este documento puede ser bastante til para todo aqul que quiera adentrarse en estos temas. En el documento se comparan tres modelos de control interno: Cobit, SAC y COSO. Inicialmente se lleva a cabo una presentacin de cada uno de los tres modelos, y posteriormente se comparan distintos atributos de cada uno de ellos, analizando a quin va dirigido, la forma de ver el control interno de cada modelo, los objetivos organizacionales que persiguen, los componentes del modelo, el mbito de aplicacin y el alcance, entre otros. Sin pararme a resumir el contenido del documento completo, s que quiero destacar algunas diferencias que me parecen significativas, sobre todo entre COSO y COBIT, que son los dos modelos ms difundidos en la actualidad. La primera gran diferencia es que COSO est enfocado a toda la organizacin, mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito, que el de COSO, ya que contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno. Como nica pega que se le puede poner al documento, y a falta de una referencia clara sobre su fecha de realizacin, es que tengo la sensacin de que el artculo no es demasiado actual, y no utiliza ni la referencia de COBIT v4 para analizar este modelo ni las aportaciones del informe COSO II para completar este otro. De todos modos, creo que la referencia es bastante til para adentrarse en el mundillo del control interno. Fuente: http://secugest.blogspot.com/2007/04/control-interno.html