UNIDAD 3 "MARCOS DE REFERENCIA DEL GOBIERNO DE T.I."

16.11.2013 15:07

MARCO DE REFERENCIA

Es un conjunto de métodos y prácticas que permiten establecer:

  • Criterios de información exigidos por los requisitos de negocio.
  • Procesos de negocio.
  • Recursos a utilizar.

Sus características son:

Está orientado a procesos, tanto de TI como del negocio. Se debe definir el propietario del proceso, la responsabilidad sobre el proceso y la criticidad del mismo.
Basado en prácticas comúnmente aceptadas para aprovechar la experiencia del mercado y ofrecer un conjunto de medidas de control multinacional, hecho especialmente importante para la auditoría.

 

MARCO COBIT

Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) es un marco creado por  ISACA para la Tecnología de Información  (TI) y el gobierno de TI.

COBIT es un marco de gobierno de TI y herramientas de apoyo que permite a los administradores para cerrar la brecha entre las necesidades de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo de políticas claras y buenas prácticas para el control de TI en las organizaciones. COBIT enfatiza el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor obtenido de TI, permite la alineación y simplifica la implementación del marco COBIT.

El marco proporciona buenas prácticas a través de un marco de dominio y proceso.

La orientación empresarial de COBIT consiste en vincular los objetivos de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de negocios y propietarios de los procesos de TI.

El enfoque hacia procesos de COBIT 4.1 se ilustra con un modelo de proceso que se subdivide en cuatro dominios (Planificar y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar) y 34 procesos de acuerdo con las áreas de responsabilidad de planear, construir, ejecutar y controlar. Se coloca en un alto nivel y se ha alineado y armonizado con otros estándares, tecnologias mas detalladas y buenas prácticas, tales como COSO, ISO 27000, CMMI, TOGAF, Y PMBOK. COBIT actúa como un integrador de estos materiales guia, resumiendo los objetivos clave bajo un mismo marco general que enlazan los modelos de buenas prácticas del gobierno corporativo y los requerimientos del negocio.

La especificación del marco COBIT 4.1 se puede obtener en formato PDF gratuito en el sitio web de descarga de ISACA . (Gratuito por cuenta del registro puede ser requerido.)

COBIT 5 fue lanzado en abril de 2012. [4] COBIT 5 se consolida e integra el COBIT 4.1, Val IT 2.0 y marcos de Riesgos de TI, y se nutre de ISACA de IT Assurance Framework (ITAF) y el modelo de negocio para la Seguridad de la Información (BMIS). Se alinea con los marcos y estándares tales como Information Technology Infrastructure Library (ITIL), la Organización Internacional de Normalización (ISO), Project Management Body of Knowledge (PMBOK), PRINCE2 y The Open Group Architecture Framework (TOGAF).

 

Componentes

Los componentes COBIT incluyen:

  • Marco: Organizar IT objetivos de la gobernanza y las buenas prácticas de TI de dominios y procesos, y los vincula a los requisitos empresariales
  • Descripciones de procesos: Un modelo de procesos de referencia y un lenguaje común para todos los miembros de una organización. El mapa de procesos de las áreas de responsabilidad de planear, construir, ejecutar y monitorear.
  • Los objetivos de control: Proporcionar un conjunto completo de requisitos de alto nivel que deben ser considerados por la administración para el control efectivo de cada proceso de TI.
  • Directrices de gestión: Ayuda responsabilidad de asignación, de acuerdo en los objetivos, medir el desempeño, e ilustrar la interrelación con otros procesos
  • Los modelos de madurez: Evaluar la madurez y la capacidad de cada proceso y ayuda a subsanar las deficiencias.

 

MARCO CMM

El Modelo de Madurez de Capacidad (CMM)  es un modelo de desarrollo creado tras el estudio de los datos recogidos de las organizaciones que contratan con el Departamento de Defensa de EE.UU.,  que financió la investigación. Este modelo se convirtió en la base sobre la que Carnegie Mellon creó el Software Engineering Institute  SEI). El término "madurez" se relaciona con el grado de formalidad y la optimización de los procesos, desde puntuales prácticas, a pasos definidos formalmente, a las métricas de resultado logrado, a la optimización de los procesos activos.

El objetivo del modelo es mejorar existentes de desarrollo de software  los procesos, sino que también se puede aplicar a otros procesos.

El CMM fue desarrollado originalmente como una herramienta para la evaluación objetiva de la capacidad de los procesos de contratistas del gobierno "para llevar a cabo un proyecto de software contratado. El modelo se basa en el marco de la madurez del proceso descrito por primera vez en el libro de 1989 Gestión del Proceso Software por Watts Humphrey.  Aunque el modelo proviene del ámbito de desarrollo de software , sino que también se utiliza como un modelo general para ayudar en los procesos de negocio en general, y se ha utilizado ampliamente en todo el mundo en las oficinas gubernamentales, el comercio, la industria y las organizaciones de desarrollo de software.

 

Estructura 

El modelo consta de cinco aspectos:

  1. Niveles de madurez: un continuo proceso de maduración de 5 niveles - en la parte más alta (5 º) Nivel es un estado ideal teórico donde los procesos se gestionan de manera sistemática por una combinación de optimización de procesos y la mejora continua del proceso.
  2. Áreas clave del proceso: un área de proceso clave identifica un conjunto de actividades relacionadas que, cuando se realiza en conjunto, logran una serie de objetivos que se consideran importantes.
  3. Objetivos: Los objetivos de un área clave de proceso se resumen los estados que deben existir para que la zona de proceso clave que se han implementado de manera eficaz y duradera. La medida en que se han logrado los objetivos es un indicador de la cantidad de capacidad de la organización ha establecido en ese nivel de madurez. Los goles significan el alcance, límites, y la intención de cada área clave de proceso.
  4. Características comunes: características comunes incluyen prácticas que implementan e institucionalizar un área clave de proceso. Hay cinco tipos de características comunes: el compromiso para llevar a cabo, la implementación capacidad para realizar las actividades realizadas, la medición y el análisis y verificación.
  5. Prácticas clave: Las prácticas claves describen los elementos de la infraestructura y la práctica que más contribuyen eficazmente a la aplicación e institucionalización de la zona.

 

Niveles

Hay cinco niveles definidos a lo largo del continuum del modelo y, de acuerdo con el SEI: "La previsibilidad, la eficacia y el control de los procesos de software de una organización se cree que mejorará a medida que la organización se mueve hacia arriba estos cinco niveles bien no rigurosa, la evidencia empírica. hasta la fecha apoya esta creencia”.

1.   Inicial (caóticos, ad hoc, heroicidades individuales) - el punto de partida para el uso de un nuevo o indocumentados repita el proceso.

2.   Repetible - el proceso es al menos suficientemente documentado de tal manera que repitiendo los mismos pasos se puede intentar.

3.   Definido - el proceso es definido / confirmado como un proceso de negocio estándar, y se descompone a los niveles 0, 1 y 2 (los últimos son instrucciones de trabajo).

4.   Gestionado - el proceso es gestionado cuantitativamente de acuerdo con parámetros acordados.

5.   Optimización - gestión de procesos incluye deliberada optimización de procesos / mejora.

Dentro de cada uno de estos niveles de madurez son áreas clave del proceso que caracterizan a ese nivel, y para cada una de estas áreas hay cinco factores: objetivos, el compromiso, la capacidad, medición y verificación. Estos no son necesariamente exclusivos de CMM, que representa -como lo hacen- las etapas por las que las organizaciones deben pasar por el camino de convertirse en madura.

El modelo proporciona un continuo teórico a lo largo de la cual la madurez del proceso puede ser desarrollado gradualmente desde un nivel al siguiente. Niveles Saltarse No se permite / factible.

 

 

MARCO ITIL

La Tecnología de la Información Biblioteca de Infraestructura de TI (ITIL) es un conjunto de prácticas para la gestión de servicios de TI (ITSM) que se centra en la adaptación de los servicios de TI con las necesidades del negocio. En su forma actual (conocido como ITIL edición 2011), ITIL se publica en una serie de cinco publicaciones principales, cada uno de los cuales cubre una etapa del ciclo de vida de ITSM. ITIL sustenta la norma ISO/ IEC 20000  (anteriormente BS15000), la Norma Internacional de Gestión de Servicios para la gestión de servicios de TI, aunque las diferencias entre los dos marcos existen.

ITIL describe los procesos, procedimientos, tareas y listas de control que no son específicos de cada organización, utilizados por una organización para establecer la integración con la estrategia de la organización, la entrega de valor y el mantenimiento de un nivel mínimo de competencia. Esto permite a la organización para establecer una línea de base desde la que se puede planificar, implementar y medir. Se utiliza para demostrar el cumplimiento y para medir la mejora.

En respuesta a la creciente dependencia de TI, el Gobierno del Reino Unido Central de Informatica y Telecomunicaciones Agencia  (CCTA) en la década de 1980 desarrolló una serie de recomendaciones. Reconoció que sin prácticas estándar, los organismos gubernamentales y de los contratos del sector privado han comenzado a crear de forma independiente sus propias prácticas de gestión de TI.

La Biblioteca de Infraestructura de TI se originó como una colección de libros, cada uno cubriendo una práctica específica dentro de la gestión de servicios de TI.  ITIL fue construido alrededor de una visión basada en los procesos del modelo de control y gestión de las operaciones a menudo acreditado a W. Edwards Deming y su plan-do-check actuar (PDCA) ciclo.

 

Estrategia de servicio

El centro y el punto de origen del ciclo de vida del servicio de ITIL, el volumen de la Estrategia del Servicio ITIL (SS) proporciona orientación sobre la aclaración y la priorización de las inversiones de proveedores de servicios en los servicios. En términos más generales, la Estrategia del Servicio se centra en ayudar a las organizaciones de TI mejorar y desarrollar a largo plazo. En ambos casos, la Estrategia del Servicio se basa en gran medida en un enfoque impulsado por el mercado. Los principales temas cubiertos incluyen la definición de servicio de valor, de los casos de negocios  de desarrollo, los activos del servicio, análisis de mercado y los tipos de proveedores de servicios. Lista de los procesos cubiertos:

1.    La gestión de servicios

2.    Gestión de la cartera de servicios

3.    La gestión financiera de los servicios de TI

4.    Gestión de la demanda

5.    Gestión de las relaciones de negocios

 

La administración de disponibilidad

La administración de disponibilidad se dirige a permitir a las organizaciones a mantener el servicio de TI de disponibilidad para apoyar el negocio a un costo justificable. Las actividades de alto nivel se dan cuenta de los requisitos de disponibilidad, compilar plan de disponibilidad, monitor de disponibilidad, y supervisar las obligaciones de alimentos.

 

La administración de disponibilidad se refiere a la capacidad de un componente de TI para llevar a cabo a un nivel convenido durante un período de tiempo.

  • Fiabilidad: Habilidad de un componente de TI para llevar a cabo a un nivel acordado en las condiciones descritas.
  • Capacidad de mantenimiento: Es la capacidad de un componente de TI a permanecer en o ser restaurado a un estado de funcionamiento.
  • Facilidad de servicio: La capacidad de un proveedor externo para mantener la disponibilidad del componente o función en virtud de un contrato de terceros.
  • Resiliencia: Una medida de la ausencia de fracaso operativos y un método para mantener los servicios fiables. Un método popular de la resiliencia es la redundancia.
  • Seguridad: Un servicio puede tener asociados datos. La seguridad se refiere a la confidencialidad, integridad y disponibilidad de los datos. Disponibilidad da una visión clara de la disponibilidad de extremo a extremo del sistema.

 

 

Volver