miércoles, 27 de abril de 2011

CLASE 27 DE ABRIL DEL 2011

PROCESOS DEL COBIT 

PLANEAR Y ORGANIZAR
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. 
  • PO1 Definir un Plan Estratégico de TI
  • PO2 Definir la Arquitectura de la Información
  • PO3 Determinar la Dirección Tecnológica
  • PO4 Definir los Procesos, Organización y Relaciones de TI
  • PO5 Administrar la Inversión en TI
  • PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
  • PO7 Administrar Recursos Humanos de TI
  • PO8 Administrar la Calidad
  • PO9 Evaluar y Administrar los Riesgos de TI
  • PO10 Administrar Proyectos
ADQUIRIR E IMPLEMENTAR 
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. 
  • AI1 Identificar soluciones de automatización
  • AI2 Adquirir y mantener software de aplicación
  • AI3 Adquirir y mantener la infraestructura tecnológica
  • AI4 Habilitar la operación y uso
  • AI5 Adquirir recursos TI
  • AI6 Administrar cambios
  • AI7 Instalar y acreditar soluciones y cambios




ENTREGA Y SOPORTE 
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios.
  • DS1 Definir y administrar los niveles de servicio
  • DS2 Administrar los servicios de terceros
  • DS3 Administrar el desempeño y la capacidad
  • DS4 Garantizar la continuidad del servicio
  • DS5 Garantizar la seguridad de los sistemas
  • DS7 Educar y entrenar a los usuarios
  • DS6 Identificar y asignar costos
  • DS8 Administrar la mesa de servicio y los incidentes
  • DS9 Administrar la configuración
  • DS10 Administrar los problemas
  • DS11 Administrar los datos
  • DS12 Administrar el ambiente físico
  • DS13 Administrar las operaciones
MNITOREAR Y EVALUAR
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

  •  M1 Monitorear y evaluar el rendimiento TI
  •  M2 Monitorear y Evaluar el control Interno
  •  M3 Garantizar el Cumplimiento Regulatorio
  •  M4 Proporcionar Gobierno TI

lunes, 25 de abril de 2011

CLASE 25 DE ABRIL (COBIT)


principio básico de cobit



El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la Tecnología de Información que deben ser administrados por procesos de TI.

Definiendo los objetivos de la empresa y la arquitectura de ti 


Administrando los recursos de ti para entregar los objetivos de ti 



Recursos y criterios de información del negocio 

Recursos de las tecnologías de información
  • Información: Los elementos de información en su más amplio sentido (por ejemplo, externos e internos), estructurados y no estructurados gráficos, sonido, etc.
  • Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.
  • Infraestructura: Recursos para alojar y dar soporte a los sistemas de información, las instalaciones, la tecnología para soporte TI. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.
  • Recurso Humano: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información.

 Criterios de información del negocio
  • Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta,consistente y de manera utilizable.
  • Eficiencia: Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.
  • Confidencialidad:Se refiere a la protección de información sensible contra divulgación no autorizada.
  • Integridad Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.
  • Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
  • Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo,criterios de negocio impuestos externamente.
  • Confiabilidad de la Información:Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Dominios del cobit 




Objetivos de ti


  1. Dar respuesta a los requerimientos de negocio de manera alineada con la 
    estrategia de negocio.
  2. Dar respuesta a los requerimientos de Gobierno (Governance) en línea con 
    la dirección del Consejo.
  3. Asegurar la satisfacción de usuarios finales con oferta de servicios y 
    niveles de servicio
  4. Optimizar el uso de la información
  5. Crear agilidad de TI
  6. Definir cómo los requerimientos funcionales y de control del negocio son 
    traducidos a soluciones automatizadas efectivas y eficientes
  7. Adquirir y mantener sistemas de aplicación integrados y estandarizados
  8. Adquirir y mantener una infraestructura de TI integrada y estandarizada
  9. Adquirir y mantener habilidades que respondan a la estrategia de TI.
  10. Asegurar satisfacción mutua de relaciones con terceras partes
  11. Integrar sin problemas (seamlessly) aplicaciones y soluciones de 
    tecnología en los procesos de negocio
  12. Asegurar transparencia y entendimiento de costos, beneficios, 
    estrategia, políticas y niveles de servicio de TI.
  13. Asegurar uso y desempeño adecuados de las aplicaciones y soluciones 
    de tecnología
  14. Registrar (account for) y proteger todos los activos de IT.
  15. Optimizar los recursos y capacidades de la infraestructura de TI
  16. Reducir defectos y retrabajo de soluciones y entrega de servicio
  17. Proteger el logro de los objetivos de TI
  18. Establecer claridad en el impacto al negocio derivado de riesgos en 
    objetivos y recursos de TI
  19. Asegurar que la información crítica y confidencial es protegida (withheld) 
    contra aquellos que no deben tener acceso a ella
  20. Asegurar que las transacciones de negocio y el intercambio de 
    información automatizados son confiables.
  21. Asegurar que los servicios e infraestructura de TI pueden resistir y 
    recuperarse de manera apropiada de fallas debidas a errores, ataques 
    deliberados o desastres
  22. Asegurar un mínimo impacto al negocio en caso de una interrupción o un 
    cambio en los servicios de TI
  23. Asegurar que los servicios de TI están disponibles como son requeridos
  24. Mejorar la eficiencia de costos de TI y su contribución a la rentabilidad 
    del negocio
  25. Entregar proyectos en tiempo, en presupuesto y de logrando estándares 
    de calidad
  26. Mantener la integridad de la información y la infraestructura de 
    procesamiento
  27. Asegurar el cumplimiento de leyes y regulaciones relacionadas con TI
  28. Asegurar que TI demuestra calidad de servicio con eficiencia de costos, 
    mejoramiento continuo y capacidad (readiness) para cambios futuros.

Modelo de control 




Las politicas, procedimientos, practicas y estructuras organizacionales diseñadas para proporcionar un aseguramiento razonable del cumplimiento de los objetivos del negocio y prevenir o detectar la ocurrencia de eventos indeseables.

lunes, 11 de abril de 2011

CLASE 11 DE ABRIL

COBIT DE ITGI



COBIT ( Control Objectives for Information and related Technology, Objetivos de Control para la Información y la Tecnología relacionada) es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización.

COBIT está orientado a los objetivos y al alcance del gobierno de TI,  asegurando que su marco de control sea integral, que esté alineado con  los principios de gobierno empresariales y, por lo tanto, que sea aceptable 
para los consejos directivos, para la dirección ejecutiva, para los auditores  y reguladores.

COBIT 5.0 DE ITGI



POR QUE COBIT?




Áreas de focalización del gobierno TI



El alineamiento estratégico se centra en asegurar el enlace entre el plan del negocio y los planes de TI; al definir, mantener y validar la proposición de valor de TI; al alinear las operaciones TI con las operaciones de la empresa.

• La entrega de valor tiene que ver con la ejecución de la propuesta de valor a través del ciclo de entrega, asegurando que las TI entregan los beneficios prometidos con respecto a la estrategia, concentrándose en la optimización de costos y la provisión del valor intrínseco de las TI.

• La administración de recursos tiene que ver con la inversión optima en, y la adecuada administración de los recursos críticos TI: aplicaciones, información, infraestructura y recurso humano. Aspectos claves que están relacionados con la optimización del conocimiento y la infraestructura.

• La gestión del riesgo requiere conciencia del riesgo por parte de los ejecutivos corporativos senior, un claro entendimiento del apetito de la empresa por el riesgo, entendiendo el cumplimiento de los requerimientos, la transparencia acerca de riesgos significativos para la empresa y el encajamiento de las responsabilidades de administración del riesgo en la organización.

• La medida del rendimiento traza la pista y monitorea la implementación de estrategias, culminación de proyectos, uso de recursos, rendimiento de procesos y entrega de servicios, usando, por ejemplo, cuadros
de mando integral que traducen las estrategias en acciones para alcanzar objetivos medibles mas allá de la contabilidad convencional.







ESTUDIO DE CASO DE NOMINAS UNIVERSIDAD DE CALDAS

1.    Su opinión general acerca del comunicado

En el momento que se quiere adquirir un sistema de este tipo es muy importante realizar  una investigación sobre el  proceso de implantación de la tecnología, desde su adquisición hasta su puesta en marcha.
El informe  indica que no hubo algún tipo de investigación sobre la implementación del sistema, ya que se genero un 20%  de inconsistencias una vez implantado; un porcentaje tan comprometedor en cuanto al riesgo ocurrido no es admisible para informar la eliminación de un 100% de los errores sin antes haber indicado que se realizo para subsanar este inconveniente, en nuestra opinión se debió de mencionar el proceso correspondiente seguido después del inconveniente. 

Es claro que el proceso de implantación de la tecnología en mención no estuvo acompañado de una auditoría seria o simplemente no existió. Una adecuada auditoria podría haber detectado anomalías en cualquier fase del proyecto previendo y corrigiendo aquellas actividades que causaron las consecuencias negativas expresadas en el documento.

2.    Evaluación del caso

La implementación del sistema de información SARA no tuvo un continuo seguimiento en sus procesos de implementación, puesto que no se hicieron las respectivas pruebas y controles, lo cual género esta inconsistencia.
Es importante tener en cuenta como ha funcionado el sistemas en las demás entidades que lo manejan, pero cabe resaltar que son entidades totalmente diferentes a la de la universidad de caldas, pues aunque tengan enfoques y procesos parecidos no se puede asegurar que el sistema funcionara correctamente sin antes haber planificado y adaptado el sistema la universidad.



3.    Establecer presuntas responsabilidades

El encargado del departamento de TI de la universidad, debido a su falta de acompañamiento con respecto a la implantación y revisión del sistema adquirido.  Ya que ellos  deben mantener un control ejecutivo de los proyectos, sus avances, logros, cumplimiento, retrasos y eventos que lo colocan en situación de riesgo.
Los usuarios también podrían formar parte de los responsables, puesto que estos debieron reportar las anomalías del sistema en el momento del pago de la primera nomina.

4.    Enuncie algunas recomendaciones al respecto

·         Se deben tomar acciones correctivas inmediatamente para que  las fallas no se presenten en el siguiente pago de la nomina y se pierda la confiabilidad de la universidad en cuanto a los pagos de esta.
·         El área de sistemas de la universidad debe revisar los procesos de planeación e implementación  de los proyectos de TI.
·         Las directivas de la universidad deben estar comprometidas con los proyectos, sus procesos y el control ejecutivo de los mismos.
·         Las directivas no deben tomar posiciones parcializadas justificando vagamente las anomalías presentadas en la ejecución de un proyecto, sin conocer a profundidad el área en la que se desenvuelve.
·         Realizar las respectivas auditorias para continuar con la implementación del sistema SARA ya que este es exitoso en otras entidades y puede funcionar de la misma forma en la universidad claro está si se hace correctamente.

5.    En caso de haber sido usted el gerente de sistemas como procedería al respecto y como hubiese procedido para evitar este resultado.
El gerente de sistemas debe realizar la adecuada formulación y evaluación de los proyectos a implementar en la universidad, realizando una adecuada planeación, realizando los planes de mitigación de riesgos correspondientes.

Es importante  presentar informes ejecutivos periódicos a la alta gerencia (rector o su delegado) con los avances logrados, cumplimientos, incumplimientos, acciones correctivas, reprogramaciones de cronograma.



Tener en cuenta el tiempo para pruebas en la planificación
Trabajar en paralelo hasta que el sistema actual demuestre que es igual o mejor que el anterior.
Contar con un personal capacitado.
Aceptar la responsabilidad en caso de presentarse un problema como el mencionado


ELABORE UNA GUÍA DE AUDITORÍA EN LA CUAL UTILICE POR LO MENOS 3 INSTRUMENTOS Y 3 TÉCNICAS
La guía de auditoría se realizará con dos fines específicos, tanto de revisión que permitan encontrar falencias e identificar factores de riesgo, como de corrección, en el cual se formulan varios puntos a tener en cuenta para correr  y mejora el sistema SARA.
Instrumentos:
Checklist del funcionamiento del sistema: Aquí se formularán las preguntas necesarias que permitan calificar todos y cada uno de los componentes, funciones, módulos, responsabilidades y aspectos relevantes en el funcionamiento del sistema; esto con el fin de identificar los puntos de falla, débiles o no considerados en todas las etapas del proyecto de implementación del sistema SARA.
Encuestas: Estas encuestas estarán orientadas a los desarrolladores y algunos usuarios del sistema para verificar que requerimiento y expectativas sobre el sistema SARA; también se realizaran de manera periódica para verificar el avance y el cumplimiento de las recomendaciones.
Pruebas: Aunque es difícil y costoso realizar todos los tipos de pruebas, se deberán diseñar unos planes de pruebas que permitan verificar que el sistema es integro, seguro, escalable y otras propias que debe cumplir el sistema.
Técnicas:
Operación en paralelo: Para verificar el correcto funcionamiento del nuevo sistema durante las primeras semanas del proceso de puesta en marcha se considera necesario que tanto el sistema antiguo como el nuevo funcionen en paralelo para corroborar la consistencia de los datos y los tiempos de respuesta.
Verificación de funcionamiento e integración: Dado que es un sistema integrado y que además se realiza en módulos, sería conveniente que al tener uno de estos componentes listos se le realice una verificación de requerimiento que determine si funciona o no de manera efectiva y que además se comunique e interrelacione correctamente con otros módulos o componentes del sistema; todo esto para identificar módulos problemáticos y dedicar más recursos a estos.
Verificación del trabajo del equipo: Dado que todos los errores, inconsistencias y fallas se deben de cierta manera a errores humanos, se considera prudente que se le realice un seguimiento a cada una de las personas que laboran en el proyecto, no solo para determinar que esté trabajando, si no para hacer el acompañamiento necesario para que el sistema de los resultados esperados y más si es posible.