098. PLANIFICACIÓN Y CONTROL DE LAS TIC, ITIL (“IT INFRASTRUCTURE LIBRARY”), COBIT (“CONTROL OBJETIVES FOR INFORMATION AND RELATED TECHNOLOGY”), OBJETIVOS DE CONTROL Y MÉTRICAS. GESTIÓN DE SERVICIOS E INFRAESTRUCTURAS TIC, GESTIÓN DEL VALOR DE LAS TIC.

COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] de USA

Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) Security Handbook de NIST (National Institute of Standards and Technology, USA). Seguridad, la norma ISO/IEC 27002:2013, Information technology -- Security techniques -- Code

of practice for information security controls ITIL: Information Technology Infrastructure Library La propiedad intelectual de ITIL recaía sobre OGC (Office of Government Commerce) hasta 2010.

Entre 2010 y 2013 recayó en el Cabinet Office. Actualmente, la propiedad intelectual de ITIL pertenece a AXELOS Limited. ITIL® es una marca registrada de AXELOS Limited.

COBIT: Control Objectives for Information and related technology COBIT: Creado por ISACA (Information Systems Audit and Control Association) y ITGI (IT

Governance Institute) ISO-38500, estándar para el gobierno corporativo de TI.

ITIL v2LibrosLos dedicados a la gestión de servicios de TI:

1. Entrega del servicio (Service Delivery)2. Soporte del servicio (Service Support)

Otros:3. Gestión de infraestructuras TIC (ICT Infrastructure Management)4. Gestión de la seguridad (Security Management), que se basa en ISO/IEC 17799.5. La perspectiva del negocio (The Business Perspectiva)6. Desarrollo de aplicaciones (Application Management)7. Gestión de activos software (Software Asset Management)

Para ayudar con la implantaciónn de las practices de ITIL se añadió un ultimo libro centrado principalmente en SM (Service Management = Service Delivery + Service Suppont):

8. Planificación de la implantación de SM (Planning to Implement Service Management)Y finalmente hubo una última publicación que no estaba incluida en las 8 originales, dirigida a unidades de TI de menor tamaño:

9. Implementación de ITIL a pequeña escala (ITIL Small-Scale Implementation)

ITIL COBIT 1

ITIL v3Formación en ITIL v3

OSA Análisis y soporte de operacionesPPO Planificación Protección OptimizaciónRCV Versionado Control ValidaciónSOA Acuerdos y Ofertas de Servicio

CONCEPTOS CLAVE ITIL V3:ESTRATEGIA

Creación valor= Utilidad + Garantía Activos del servicio: recursos (infraestructuras, información, aplicaciones, financieros) y

capacidades (organización, conocimiento, procesos, gestión) Tipos proveedor servicios: interno, externo, compartido Las 4 P de la estrategia (Mintzberg): Perspectiva (para determinar objetivos, Posición

(debe definir qué servicios se prestarán, cómo serán prestados y a quién, diferenciándolos de los de su competencia), Planificación, Patrón (segura la coherencia en las actividades realizadas y establece reglas procedimentales que aseguran que las actividades necesarias sean realizadas en forma y plazo.)

DISEÑOContempla el diseño de:

Soluciones de servicio Portfolio Arquitectura Procesos Métricas y sistemas de monitorización

Modelos de diseño: tradicional, ágil o RAD, empaquetadoMEJORA

Métricas mejora: tecnológicas, de servicio, de proceso. KPI, CSF DIKW: Data, Information, Knowledge, Wisdom

PROCESOS ITIL V3

ITIL COBIT 3

http://itilv3.osiatis.es/itil.phpESTRATEGIA

Gestión estratégica de servicios TI

(2011)

Gestión relaciones con el negocio

(2011)

Gestión financiera El objetivo de este proceso es proporcionar una estimación precisa de los activos y recursos utilizados para proporcionar los servicios de TI.

Para ello realiza presupuestos, lleva la contabilidad y asigna y distribuye los costes entre los diferentes servicios y usuarios.

Gestión de la demanda

Se encarga de predecir y regular los ciclos de consumo, adaptando la producción a los picos de mayor exigencia para asegurar que el servicio se sigue prestando de acuerdo a los tiempos y niveles de calidad acordados con el cliente.

Gestión del portfolio (cartera de servicios)

Consiste en definir una estrategia de servicio que sirva para generar el máximo valor controlando riesgos y costes. Incluye los servicios que ya no se prestan??? comprobar

DISEÑO

Coordinación del diseño

(2011)

Gestión del catálogo Como el portfolio, pero de cara al exterior. Gestión nivel de Servicio

Se encarga de monitorizar y revisar los niveles de servicio proporcionados por la organización de TI al resto de la organización.

El acuerdo de nivel de servicio o SLA (Service Level Agreement) es el documento que recoge el compromiso de servicio de TI, incluyendo métricas para determinar si ha sido el adecuado o no, e incluso señalando penalizaciones.

Antes de establecerse un SLA, el gestor de nivel de servicio habrá tenido que ponerse de acuerdo con Gestión la Capacidad, Gestión de la Disponibilidad, Gestión de Incidencias y Gestión de Problemas para asegurarse de que un determinado nivel de servicio es alcanzable, y también con Gestión Financiera para acordar el comprometer los recursos necesarios para ello.

También se preocupa de que se establezcan también los necesarios acuerdos de servicio entre los propios proveedores de servicios internos (OLA – Operacional Level Agreement). Y también con proveedores de servicios externos a la organización (UC – Underpinning Contract).

Gestión capacidad Se encarga de que los recursos se utilicen de manera óptima y eficiente, es decir, que la capacidad no esté sobreutilizada o infrautilizada, así como monitorizar y adaptarse a los cambios.Dimensionamiento

Algunas actividades concretas de este proceso pueden ser: hacer sizing de aplicaciones, estimar cargas de trabajo, modelar demandas, planificar la capacidad y los recursos, y monitorizar el rendimiento.

Gestión disponibilidad

Gestionar la disponibilidad es conseguir que los servicios de TI proporcionen el servicio según un SLA acordado a lo largo del tiempo, funcionando de forma ininterrumpida y fiable.

Para ello se preocupa de todo lo que pueda influir en la disponibilidad: fiabilidad, mantenibilidad, disponibillidad de servicios prestados por otras organizaciones, redundancia, seguridad.

Gestión continuidad S e preocupa de impedir que una imprevista y grave interrupción de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastróficas para el negocio.

Procedimientos proactivos y reactivos

Implica análisis y gestión de riesgos, y preparación/prueba/revisión de los planes de contingencia.

Gestión seguridad de la info

La Gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que tienen autorización para hacerlo.

Conceptos: Confidencialidad: la información debe ser sólo accesible a sus destinatarios predeterminados. Integridad: la información debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la información cuando la necesitamos.

Gestión suministradores

UC (underpinning contract).

TRANSICIÓN

Planificación y Soporte de la transición

Encargada de coordinar los recursos de la organización TI para poner en marcha el servicio en el tiempo, calidad y coste definidos previamente.

La Planificación y Soporte de la Transición no podría ejercer su labor sin los inputs provenientes del resto de procesos:

Paquete de diseño del servicio (SDP). Contiene toda la información del servicio registrada en el Catálogo de Servicios, incluyendo los requisitos que éste debe cumplir (SLAs, SLRs, OLAs, etc.).

SLR= requisito de nivel de servicio

La Gestión de Cambios enviará toda la información relacionada con la propuesta de cambio (RFC) que se va a ejecutar durante la transición. Por supuesto, dichos cambios deben contar con la autorización formal del Gestor del Cambio o del Comité de Cambios (CAB). Definición del paquete de entrega y otras especificaciones de diseño.

Gestión de cambios Un cambio es un evento que provoca la modificación de uno o varios CI. Razones para el cambio

Solución de errores conocidos. Desarrollo de nuevos servicios. Mejora de los servicios existentes. Imperativo legal.

El objetivo de este proceso es gestionar el proceso de aprobación de los cambios, de una manera eficiente, con el menor riesgo para la organización y con las menores paradas de servicio posibles.

Gestión de configuración de activos del Servicio

Registrar todos estos elementos de configuración (CI – Configuration Items) ( s w , h w ) en la CMDB (Configuration Management Database).

Llevar el control de todos los elementos de configuración de la infraestructura TI a través de la Base de Datos de Configuración (CMDB).

Proporcionar información precisa sobre la configuración TI a la Planificación y Soporte a la Transición.

Interactuar con la Gestiones de Incidencias, Problemas, Cambios y Entregas y Despliegues de manera que éstas puedan resolver más eficientemente y mantener actualizada en todo momento la CMDB.

Monitorizar periódicamente la configuración de los sistemas en el entorno de producción y contrastarla con la almacenada en la CMDB para subsanar discrepancias.

Gestión de versiones y despliegues

Mantener actualizada la Biblioteca de Medios Definitivos (DML), donde se guardan copias de todo el software en producción, y los Recambios Definitivos (DS).

DML, también versiones anteriores?Se utiliza para distribuir las versiones de software y hardware, así como controlar las licencias. De esta manera se tiene control de las versiones oficialmente probadas y aprobadas de software (ya sea comprado o desarrollado internamente) y que funcionan correctamente con el hardware disponible.

Conceptos: cambios mayores, cambios menores o cambios de emergencia.

Se pueden distribuir como „full‟ (todo el software), „delta‟ (sólo una parte del software), o „packaged‟ (un paquete que incluye varios cambios, quizá varias aplicaciones).

Validación y pruebas de Servicio

Consiste en garantizar que las nuevas versiones cumplen los requisitos mínimos de calidad

Evaluación Encargada de recoger y analizar toda la información disponible sobre el cambio o nuevo servicio y elaborar los informes necesarios para tomar decisiones relacionadas con la

ITIL COBIT 5

incorporación de un nuevo servicioGestión de conocimiento

Se encarga de establecer unos criterios de registro y de acometer labores periódicas de clasificación, evaluación y mejora de los datos disponibles.

KEBD: Base datos errores conocidos

SKMS: centralizar toda esta información en un repositorio denominado Sistema de Gestión del Conocimiento del Servicio

OPERACIÓN

Procesos:Gestión eventos Monitorización activa y pasivaGestión problemas Se encarga de encontrar la causa raíz de las incidencias, y así minimizar su impacto

y su recurrencia. Un problema es la causa desconocida que ha causado una o varias incidencias.

Un error conocido es un problema que ha sido diagnosticado con éxito y para el cuál se ha propuesto un work-around.

Puede ser Activa o ReactivaGestión incidencias Se encarga de tratar de resolver las incidencias lo antes posible, minimizando su

impacto. Para ello realizan una búsqueda de y “errores conocidos” en la base de datos de errores conocidos.

Si existe una solución o un work-around, se aplica. Si no es así, será necesario involucrar a Gestión de Problemas.

Gestión peticiones Atender peticiones de usuarioGestión accesos Permisos a usuarios a aplicaciones

Funciones:Centro Servicio a Usuario Es el punto único de contacto.

INCIDENTE: Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio. El objetivo de ITIL es reiniciar el funcionamiento normal tan rápido como sea posible con el menor impacto para el negocio y el usuario con el menor coste posible

A veces se oyen términos parecidos a Service Desk que no son exactamente lo mismo:

Call Center: gestionar un alto volumen de llamadas telefónicas. Help Desk: su objetivo es coordinar y resolver las incidencias lo antes posible. Service Desk: no sólo gestiona las incidencias, quejas, etc. Sino

que proporciona una interfaz única al negocio acerca de todos los demás procesos de ITIL.

Gestión técnica Conocimiento técnico y recursos para dar soporte a la Operación del servicioGestión Operaciones TI InfraestructuraGestión aplicaciones Soporte y mantenimiento de aplicaciones

MEJORA CONTINUA

Proceso mejora CSI en 7 etapas (Plan mejora Servicio SIP)

Tiene como misión implementar el ciclo Deming (plan do check act)

Conocer en profundidad la calidad y rendimiento de los servicios TI ofrecidos. Detectar oportunidades de mejora. Proponer acciones correctivas. Supervisar su implementación.

7 pasos:

Paso 1: qué debemos medir Paso 2: qué podemos medir Paso 3: recopilar los datos necesarios. Paso 4: procesar los datos (información). Paso 5: analizar los datos (conocimiento).

Paso 6: proponer medidas correctivas (sabiduría). Paso 7: implementar las medidas correctivas.

Informe de Servicio TI proporcionar a todos los agentes implicados en la gestión servicios TI una visión objetiva, basada en datos y métricas, de la calidad y rendimiento de los servicios.

ITIL COBIT 7

COBIT 4.1

210 objetivos de control

ITIL COBIT 9

COBIT 5

EXAMEN DE PRUEBA: http://www.apmg-exams.com/index.aspx?subid=101&#

INFORMACIÓN PRINCIPAL EN COBIT5 FRAMEWORK SPANISH, DOCUMENTO EN PDF

COBIT 5 reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete habilitadores (catalizadores) que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas. COBIT 5 consolidates and integrates the COBIT 4.1, Val IT 2.0 and Risk IT frameworks and also draws significantly from the Business Model for Information Security (BMIS) and ITAF.

Los recursos de TI se clasifican en:

1. Información2. Servicios, infraestructura y aplicaciones3. Personas, habilidades y competencias

COBIT 5 – Integra los anteriores marcos referenciales de ISACA

Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI

Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI.

BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática

ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorias de TI y de tareas de evaluación de cumplimiento.

Principios de COBIT 5

1. Satisfacer las

necesidades de las partes interesadas

2. Cubrir la Organización de

forma integral

3. Aplicar un solo marco integrado

4. Habilitar un enfoque

holistico

5. Separar el Gobierno de la Administración

Principios COBIT 5:

1. Satisfacer necesidades de los interesados

2. Cubrir la organización de forma integral3. Aplicar un único marco de trabajo

integrado4. Permitir un enfoque holístico5. Separar gobernanza de gestión

PRINCIPIO 1: Objetivo gobernanza (gobierno): creación de valor = realización de beneficios+ optimización riesgo+ optimización recursos

PRINCIPIO 2. Cubrir la empresa de extremo a extremo: Esto significa que COBIT 5:Integra el gobierno empresarial de TI en el gobierno corporativo. Cubre todas las funciones y procesos dentro de la empresa;(COBIT 5 does not focus only on the ‘IT function’)

PRINCIPIO 3: Enfoque integrado: alineado con los estándares más usados Empresariales: COSO, COSO ERM, ISO/IEC 9000Relacionados con TI: ISO/IEC 38500, ITIL, serie ISO/IEC 27000, TOGAF, etc

COSO (Committee of Sponsoring Organizations of the Treadway Commission), que ha sido reconocido como un marco apropiado y exhaustivo para el control interno.ISO/IEC 9000, estándar para el control de calidad en procesos empresariales. , estándar de administración de riesgos, principios y directrices, la cual tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar los riesgos empresariales con efectividad.ISO-38500, estándar para el gobierno corporativo de TI.ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI.

The Open Group Architecture Framework (TOGAF), que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información.La familia ISO-27000, enfocada en el tema de seguridad informática con el establecimiento de un sistema de gestión de seguridad de la información (SGSI) y los controles asociados

PRINCIPIO 4: Habilitar un enfoque holístico

PRINCIPIO 5: Separar Gobierno y administración: Gobierno— Responsabilidad de la Junta Directiva.Administración—Responsabilidad de la alta administración, bajo el liderazgo del CEO

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Éticay Comportamiento

5. Información6. Servicios,

Infraestructuray Aplicaciones

7. Personas,Habilidades

y Competencias

RECURSOS

CATALIZADORES (7 enablers) de COBIT 5:

1. Principios, políticas y marcos2. Procesos3. Estructuras organizacionales4. Cultura, ética y comportamiento

RECURSOS:5. Información6. Servicios, infraestructura y

aplicaciones7. Personas, habilidades y

competencias

CONCEPTOS COBIT

MODELO DE MADUREZ COBIT (basado en la ISO/IEC 15504). 5 Niveles y 9 atributos:

ITIL COBIT 11

098.03.03. La familia de productos COBIT

COBIT 5: Framework (marco de referencia)

Resumen ejecutivoOverview de cobit 5Principios /facilitadoresImplementation guidanceModelo madurezAnexos ( mapeo de objetivos de organización, procesos, objetivos TI; necesidades stakeholders; comparación con principales estándares; comparación con cobit 4.1; facilitadores)

COBIT 5: Enabler guides (guías habilitadoras)

Guía de referencia de procesos

Información habilitadora

Otras guías habilitadoras

PROCESOS:(alineamiento con ISO/IEC 38500 al separar procesos de gobierno y gestión)procesos de Gobierno EDM

Evaluar Dirigir Monitorizar

Permite que las múltiples partes interesadas tengan una lectura organizada del análisis de opciones, identificación del norte a seguir y la supervisión del cumplimiento y avance de los planes establecidosProcesos de Gestión PBRM

Planificar Construir Ejecutar (run) Monitorizar

Utilización prudente de medios (recursos, personas, procesos, practicas) para lograr un fin específico

PROCESOS COBIT= 37 procesos; 5 DominiosGobernanza (5)

EDM: Evaluar Dirigir Monitorizar (5)Gestión (32)

APO: Alinear Planificar Organizar (13)BAI: Build Acquire Implement (10)DSS: Deliver Service Support (6)

MEA: Monitor Evaluate Assess (3)COBIT 5 Practice guides (guías prácticas)

Guía de implementación de marco de trabajo (framework implementation guide)

Seguridad de la información

Aseguramiento Riesgos Otras guías

prácticas

*Cobit 5 toolkit

La Guía de Implementación COBIT 5 cubre los siguientes temas:

Posicionar al Gobierno de IT dentro de la organización Tomar los primeros pasos hacia un Gobierno de IT superador Desafíos de implementación y factores de éxitos Facilitar la gestión del cambio Implementar la mejora continua La utilización del COBIT 5 y sus componentes

7 fases implementación:ANILLO EXTERIOR (GESTIÓN DEL PROGRAMA)= programme management

1. Inicial el programa2. Definir los problemas y oportunidades3. Definir la ruta a seguir4. Planificar el programa5. Ejecutar el plan6. Realizar los beneficios7. Revisar la efectividad

ANILLO MEDIO (HABILITACIÓN DEL CAMBIO)= change enablement1. Establecer el deseo de cambiar2. Formar el equipo de implementación3. Comunicar el resultado4. Identificar los roles claves5. Operar y utilizar6. Incorporar nuevos enfoques7. Sostener

ANILLO INTERIOR (MEJORA CONTINUA)= continual improvement life cycle1. Reconocer la necesidad de actuar2. Evaluar la situación actual3. Definir el objetivo meta4. Construir mejoras5. Implementar las mejoras6. Operar y medir7. Monitorear y evaluar

ITIL COBIT 13

SecurityCOBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión

Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información

Establece un lenguaje común para referirse a la protección de la información

Desafía la visión convencional de la inversión en seguridad de la información

Explica en forma detallada el modelo de negocio para gestionar la seguridad de la información, invitando a utilizar una perspectiva sistémica

Información (en inglés) disponible en: www.isaca.org/bmis

Componentes BMIS: Organización Procesos Personas Factores Humanos Tecnología Cultura Habilitación y soporte Gobierno Arquitectura Emergence1. Understand the drivers, benefits and target audiences from an

assurance perspective2. Understand the components of assurance activities.

COMPONENTES Three-party relationship Subject matter Suitable criteria Execution Conclusion The assurance process2 PERSPECTIVAS DE ASEGURAMIENTO: assessment y assurance

3. Comprehend how to use COBIT 5 enablers for governing and managing assurance activities.4. Comprehend how to provide assurance over COBIT 5 enabler use in enterprises.5. Understand how COBIT 5 for Assurance relates to other standards.

COBIT 5 Practice guides (guías prácticas)

Riesgos

RIESGOS

“A risk scenario is a description of a possible event that, when occurring, will have an uncertain impact on the achievement of the enterprise’s objectives. The impact can be positive or negative.”

COBIT 5 Online collaborative environment