Anda di halaman 1dari 4

Mejores prcticas de seguridad de la informacin Indicadores del negocio para el uso de las mejores prcticas de TI Las mejores prcticas

de TI son importantes debido a una serie de factores: Los directorios y los gerentes demandan mejores retornos de las inversiones en TI. Por ejemplo, TI, entrega lo que el negocio necesita para incrementar el valor de los accionistas. Preocupacin sobre el creciente nivel de gastos de TI. La necesidad de cumplir los requisitos regulatorios para los controles de TI en reas tales como la privacidad y el reporte financiero (Sarbanes Oxley Act), y en sectores especficos como el financiero, farmacutico y de salud. La seleccin de proveedores de servicios y la gestin de servicios de outsourcing y compras. El incremento de complejidad en riesgos relacionados a TI, como la seguridad de redes. Las iniciativas de gobierno de TI, que incluyen la adopcin de marcos de referencia y mejores prcticas de control para ayudar a supervisar y mejorar las actividades crticas de TI, para incrementar el valor del negocio y reducir sus riesgos. La necesidad de optimizar costos a travs de enfoques estandarizados, hasta donde sea posible, en lugar de enfoques especficamente desarrollados. La creciente madurez y consecuente aceptacin de prestigiosos marcos de referencia, tales como ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and related Technology), ISO/IEC 27002, ISO 9002, CMM (Capability Maturity Model), PRINCE2 (Projects in Controlled Environments), MSP (Managing Successful Programmes), M_o_R (Management of Risk: Guidance for Practitioners) y PMBOK (Project Management Body of Knowledge). La necesidad de las organizaciones por evaluar su desempeo respecto de estndares generalmente aceptados y respecto de sus pares (benchmarking). Declaraciones de analistas que recomiendan la adopcin de mejores prcticas. Por ejemplo: Los marcos de referencia con herramientas slidas son esenciales para asegurar que los recursos de TI estn alineados con los objetivos del negocio, y que los servicios y la informacin satisfagan los requisitos de calidad, financieros y de seguridad COBIT e ITIL no son mutuamente excluyentes y pueden ser combinados para obtener un poderoso marco de referencia de mejores prcticas, control y gobierno en la gestin de servicios de TI. Las empresa que quieren

ubicar sus programas ITIL en el contexto de un amplio marco de referencia de gobierno y control deberan utilizar COBIT.

Por qu son importantes las mejores prcticas para la empresa? El uso efectivo de TI es crtico para el xito de la estrategia de la empresa, como se ilustra en el siguiente comentario: El uso de TI tiene el potencial para ser el mayor impulsor de riqueza econmica en el siglo 21. Adems de que TI ya es crtica para el xito empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad, e incluso har an ms en el futuro. TI tambin implica riesgos. Es evidente que en estos das de negocios globales, la cada de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja competitiva, mientras que en otras, no slo determina la prosperidad sino la supervivencia

Las mejores prcticas y los estndares ayudan a posibilitar un gobierno eficaz de las actividades de TI. Incrementalmente, el uso de estndares y mejores prcticas tales como ITIL, COBIT e ISO/IEC 27002, est siendo conducido por requerimientos de negocio para mejoras de desempeo, transparencia y control sobre actividades de TI. El gobierno britnico reconoci prontamente la importancia de las mejores prcticas de TI, y por muchos aos las desarroll para guiar el uso de TI en las dependencias oficiales. Estas prcticas se han convertido en estndares de facto alrededor del mundo en sectores pblicos y privados. ITIL se desarroll hace ms de 15 aos para documentar las mejores prcticas para la gestin de servicios de TI, a travs del aporte de expertos, consultores y profesionales de la industria. ISO/IEC 20000, que est alineado con ITIL, reemplaz a BS 15000 en 2005 como un nuevo estndar global en gestin de servicios. El marco IT Security Code of Practice, desarrollado inicialmente con la ayuda de la industria, se convirti en BS 7799 y luego en ISO/IEC 17799, y ahora, en ISO/IEC 27002, el primer estndar internacional de gestin de seguridad. PRINCE, y ahora PRINCE2, fue creada por la CCTA (Central Computer and Telecommunications Agency) que ahora es la OGC, para proporcionar mejores prcticas para gestin de proyectos. La ltima actualizacin de PRINCE2 data del ao 2009; sin embargo, los principios y contenidos principales no han variado.

A inicios de la dcada de los 90, ISACA reconoci que los auditores, quienes tenan sus propios checklist para evaluar la efectividad de los controles de TI, hablaban en un lenguaje diferente a los profesionales de TI y a la plana gerencial. En respuesta a esta brecha en la comunicacin, se cre COBIT como un marco de referencia de control de TI para la gerencia funcional, la gerencia de TI y para auditores, basado en un grupo genrico de procesos de TI significativo para la gente de TI y, con el tiempo, para la gerencia. Las mejores prcticas en COBIT representan un enfoque comn para un buen control de TI, a ser implementado por gerentes funcionales y de TI, y a ser evaluadas sobre la misma base por los auditores. A lo largo de los aos, COBIT ha sido desarrollado como un estndar abierto 3, y es cada vez ms utilizado como un modelo de control para implementar y demostrar un gobierno efectivo de TI. En 1998, ISACA cre una institucin afiliada, el IT Governance Institute, para supervisar el mayor desarrollo de COBIT y para mejorar la comunicacin de mensajes relacionados con el gobierno de TI a los gerentes de los negocios, y particularmente, al directorio. Hoy, como cada organizacin trata de entregar valor a travs de TI, a la vez que gestiona un complejo rango de riesgos relacionados a TI, el uso efectivo de las mejores prcticas puede ayudar a evitar la reinvencin de sus propias polticas y procedimientos, optimizando el uso de escasos recursos de TI y reduciendo la incidencia de los mayores riesgos de TI, tales como: Proyectos fallidos. Inversiones perdidas. Brechas de seguridad. Fallas de los sistemas. Fallas de proveedores para entender y satisfacer los requerimientos de los clientes.

La OGC y el ITGI estn a la vanguardia de la difusin y entrega de material sobre mejores prcticas para hacer frente a estos y otros desafos actuales. Los beneficios para la empresa La adopcin eficaz de las mejores prcticas ayudar a obtener valor de las inversiones de TI y los servicios de TI: Mejorando la calidad, la respuesta y la fiabilidad de las soluciones y los servicios de TI. Mejorando la viabilidad, previsibilidad y repetitividad de resultados de negocio exitosos. Ganando la confianza y el creciente involucramiento de usuarios y patrocinadores del negocio. Reduciendo riesgos, incidentes y fallas en los proyectos.

Mejorando la habilidad del negocio para gestionar y supervisar la realizacin de beneficios de TI.

La empresa tambin se beneficia de la mejora de eficiencias y reduccin de costos: Evitando la reinvencin de prcticas probadas. Reduciendo la dependencia de expertos. Incrementando el potencial del staff, menos experto pero correctamente entrenado. Superando silos verticales y comportamientos no deseados. Incrementando la estandarizacin que conduzca a la reduccin de costos. Hacindolo ms fcil para aprovechar la ayuda externa a travs del uso de procesos estandarizados.

En un clima de creciente regulacin y preocupacin sobre los riesgos relacionados a TI, las mejores prcticas ayudarn a minimizar los aspectos de cumplimiento y la preocupacin de los auditores: Logrando el cumplimiento y la aplicacin de controles internos de prctica normal de negocios. Demostrando adherirse a buenas prcticas aceptadas y probadas de la industria. Mejorando la confianza y la seguridad de la direccin y los socios. Generando respecto de los reguladores y otros supervisores externos.

Adoptar las mejores prcticas tambin ayuda a fortalecer las relaciones proveedor/cliente, resultando en obligaciones contractuales ms fciles de supervisar y reforzar, armonizar contratos de outsourcing multi-proveedor y mejorar la posicin de mercado de aquellos proveedores de servicios que cumplen con estndares globalmente aceptados, tales como ISO/IEC 20000 e ISO/IEC 27002.

Anda mungkin juga menyukai