Aplicación de ITIL y COBIT a un Departamento de TI

Presentación

ASIGNATURA:

Auditoria de Sistema

TEMA:

Aplicación de ITIL y COBIT a un Departamento de TI

SUSTENTANTES:

Christopher Ferrera

Julián Fortunato

CARRERA:

Ingeniería en Sistemas

PROFESOR:

Juan José Días Nerio

Fecha:

14/08/2015

COBIT Aplicación a un departamento de TI

Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.

¿Consejos para Implementar COBIT?

Como COBIT está orientado al negocio, se lo puede utilizar directamente para comprender los objetivos de control de TI para administrar los riesgos del negocio relacionados con TI:

• Comience en la Estructura con sus objetivos del negocio.„ 

• Seleccione de los Objetivos de Control, los procesos y objetivos de control de TI apropiados para su empresa.

•  Opere desde su plan de negocios.

•  Evalúe con las guías de Auditoría los procedimientos y resultados.

• Evalúe con las Guías de Administración el estado de su organización, identifique las actividades críticas conducentes al éxito y mida el desempeño para alcanzar los objetivos de la empresa.

Implantación de COBIT 4.0 de Scotiabank

Scotiabank, conocido como BNS (Banco de Nueva Escocia), es uno de los cinco bancos más grandes de Canadá. En existencia desde hace más de 178 años y con una presencia en más de 50 países, cuenta con una red internacional de sucursales y oficinas en América Latina, Canadá, los EE.UU., el Caribe, Europa, Asia y el Pacífico.

En BNS, el proyecto de implementación de COBIT 4.0 comenzó con una encuesta internacional de directores de departamento de TI del banco para averiguar si alguno de ellos se aplica una norma que implica tener procesos basados ​​en COBIT, en cualquiera de sus versiones, de forma obligatoria. Como resultado, se encontró un gran número de "Scotiabank" tener certificaciones de ISACA, pero no hay otras ramas tenido regulaciones similares a los de Costa Rica, como la normativa SUGEF 14-09 1 aprobado por el Consejo Nacional de Supervisión del Sistema Financiero de Costa Rica (SUGEF, en español), ni son las otras ramas sujetas a pautas o lineamientos similares, como las establecidas para los bancos en Costa Rica en el reglamento de gestión de TI incluidos en SUGEF 14-09.

Fondo

SUGEF aprueba el reglamento de gestión de TI aplicables a todas las entidades bancarias y financieras en el país a partir de 2009 y establecer como obligatoria la aplicación del 34 COBIT 4.0 y procesos que llegan al tercer nivel de madurez para cada proceso COBIT identificado dentro de tres años.

El cumplimiento de estas regulaciones se cumple a través de la ejecución de las auditorías externas independientes, dirigido por un profesional CISA-certificado, y enmarcado en las directrices de auditoría externa  y criterios profesionales y éticos  proporcionadas por ISACA, aplicar de forma obligatoria la auditoría de TI S7 y Assurance Standard  y de la Auditoría de TI G20 y Aseguramiento de Orientación. 

Afrontando el reto

Para enfrentar el desafío de la implementación de procesos obligatorias después de los términos y condiciones establecidos por el regulador local, en este caso la SUGEF, BNS diseñado un plan de ruta (un plan diseñado para lograr el cumplimiento lo antes posible con los objetivos de control de COBIT 4.0) para la priorización de las medidas a seguir para afrontar con éxito los requisitos. El plan considera, en primer lugar, la participación del comité de TI con la activa participación de la alta dirección y los principales ejecutivos del banco.

A continuación, la aplicación adecuada de los controles se verificó utilizando documentos existentes y asumir la tarea de actualización, y haciendo referencia a las estandarizaciones necesarias para cumplir con los controles y requisitos de los niveles de madurez de COBIT requeridos por la SUGEF para cada uno de los procesos detallados. Dos empleados fueron asignados sobre una base a tiempo completo al proyecto para garantizar la continuidad y el seguimiento del plan de viaje.

Estrategia de Implementación

La estrategia de implementación define claramente los objetivos generales y específicos, lo que permitiría al equipo de TI para cumplir con los objetivos de manera eficaz, eficiente y económica, y para garantizar la disponibilidad de los recursos necesarios en función de las tareas programadas, la asignación de personal comprometidos y capaces de la ejecución de las tareas asignadas con la excelencia y la búsqueda permanente activo del progreso del proyecto por el comité de TI.

En su primera fase, el plan analiza 17 procesos que requerían alcance niveles de madurez 2 o 3, según sea apropiado para el proceso seleccionado. 6 Los siguientes procesos se incluyeron: PO1, PO3, PO5, PO9, PO10, EA3, EA5, EA6, DS2 , DS3, DS4, DS5, DS9, DS10, DS11, DS12 y ME2. En la segunda fase de implementación, se analizaron los 17 procesos restantes que deben alcanzar el nivel de madurez 1 de alcanzar gradualmente el nivel de madurez 3 en un máximo de tres años, a partir de 2010.

Dentro del proceso, la formación en COBIT y el buen gobierno de las TI, que se centró en el fortalecimiento de los conocimientos del personal que participa en la ejecución, se incluyeron.

Resultados Obtenidos

Los beneficios BNS recibió de utilizar el marco conceptual de COBIT 4.0 incluyen:

• La alineación más fuerte entre las estrategias de negocio y de TI a través de la coherencia de dominios y los procesos de COBIT

• Creación de procesos definidos con internacionalmente aceptadas, estructuras auditables y mensurables que integren las mejores prácticas en el sector bancario

• Identificación de los controles clave que deben reforzarse y aplicarse para garantizar el control interno de TI adecuada

• Procesos mejores y más confiables que fortalezcan la aplicación de las prácticas relacionadas con la gestión de los cinco elementos de control que constituyen el buen gobierno de TI

Lecciones Aprendidas

Esta primera experiencia relacionada con la ejecución simultánea de varios procesos de alto nivel, muchos de los cuales son extremadamente complejo y detallado, así como a la necesidad de crear las condiciones que producirían los beneficios esperados. Se requiere un esfuerzo significativo por la institución, pero con excelentes resultados.

El esfuerzo ha sido sustancial económicamente, así como en la cantidad de tiempo dedicado por los líderes del proceso de BNS exigente y continuo de seguimiento, vigilancia y control, y la participación constante de toda la organización, el Consejo de Administración, la administración, los directivos y el departamento de TI.

A pesar de las dificultades y los riesgos involucrados en la ejecución de un proyecto de estas dimensiones, la estrategia propuesta con anticipación, el seguimiento y las decisiones oportunas y apropiadas hechas a seguir una vez más el curso han dado los resultados esperados, que, aunque que han comenzado a surgir, están seguros de crear un banco más competitivo, ágil con procesos fortalecidos, un mayor enfoque en los negocios y una cultura tecnológica envidiable.

  

ITIL Aplicación a un departamento de TI

Information Technology Infrastructure Library (‘Biblioteca de Infraestructura de
Tecnologías de Información’), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

El concepto de gestión de servicios de TI, aunque relacionado con ITIL, no es idéntico: ITIL contiene una sección específicamente titulada «Gestión de Servicios de TI» (la combinación de los volúmenes de Servicio de Soporte y Prestación de Servicios, que son un ejemplo específico de un marco ITSM), pero sin embargo es importante señalar que existen otros marcos parecidos. La Gestión de Servicio ITIL está actualmente integrada en el estándar ISO 20000 (anterior BS 15000).

ITIL se construye en torno a una vista basada en proceso-modelo del control y gestión de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de ITIL fueron desarrolladas en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno británico como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores costes.

ITIL fue publicado como un conjunto de libros, cada uno dedicado a un área específica
dentro de la Gestión de TI. Los nombres ITIL e IT Infrastructure Library (‘Biblioteca de infraestructura de TI’) son marcas registradas de la Office of Government Commerce (‘Oficina de comercio gubernamental’, OGC), que es una división del Ministerio de Hacienda del Reino Unido.

 Uno de los principales beneficios propugnado por los defensores de ITIL dentro de la comunidad de TI es que proporciona un vocabulario común, consistente en un glosario de término precisamente definidos y ampliamente aceptados.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de las TI para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios TI de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI.

La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a
realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por mantenimiento y operaciones.

Brindar conocimientos fundamentales de ITIL, lograr familiaridad con los procesos y temas organizacionales claves relacionados con la Administración de Servicios de IT, mostrar el vocabulario estandarizado para describir los procesos de Administración de Servicios, lograr un entendimiento de la relevancia de la Administración de Servicios en su Organización y preparar el examen ISEB/EXIN Foundation Certificate in IT Service Management.

Define metas:

Parece un cliché, pero es cierto. No existe el éxito si no podemos medirlo, no podemos medirlo si no hemos planteado objetivos a conseguir. Con ITIL, puedes usar el Process Maturity Framework (PMF) para medir los resultados y conocer los niveles de maduración de la organización.

Identifica Gaps:

Una vez definido los objetivos a perseguir, es hora de determinar la distancia entre el rendimiento actual de la empresa con el ideal que se plantea desde las buenas prácticas empresariales.

Elige el proceso:

Una vez hecho el análisis de Gaps, podrás conocer qué proceso es el que más afecta a tu empresa, cuáles son prioridad y cuáles serán más complicados a la hora de mejorar. Sería realmente costoso (en esfuerzo, tiempo y dinero) tratar de desarrollar todos los procesos del servicio.

Esta decisión es uno de los aspectos más críticos y complicado, es por ello que remarcamos la importancia de estar avalado con los conocimientos de un consultor experto, certificado en ITIL. Este profesional podrá aconsejarte de manera acertada y evitarás volver a empezar desde cero en caso de que se tomen malas decisiones.

Comenzar un proyecto:

Haciendo referencia a los primeros párrafos de la nota, el plan a desarrollar no sólo deberá estar alineado con los objetivos de la organización, sino también con las necesidades del cliente. Desarrolla un proyecto que dé respuesta a lo que los clientes esperan de su servicio, y qué debemos cambiar de nuestra organización en base a los que los marcos y buenas prácticas nos indican. Aquí, además de ITIL, se puede implementar otras metodologías de gestión de proyectos como PRINCE2, que complementa perfectamente dicho marco.

[Nota recomendada: Planificar para lograr el éxito en la gestión de proyectos]

Medición:

Una vez concluido el desarrollo del proyecto y ya se han aplicado los cambios necesarios que  ITIL ayudó a identificar, es hora de tomar nota de los resultados obtenidos con cada acción.

Por ejemplo, puedes sentir la necesidad de medir en porcentajes la reducción de tiempo de respuesta cuando cliente se contactó con usted en busca de una solución a “X” problema. Como se mencionaba en párrafos anteriores, a través de la medición de resultados y la comparación de los mismos con los objetivos de la empresa podrás conocer si los cambios aplicados fueron exitosos o no.

Si no estás satisfecho con los resultados, podrías volver a realizar una auditoría y aplicar los cambios necesarios, una y otra vez, hasta obtener los resultados deseados.

Mejora continua:

Nada es perfecto, mucho menos una empresa inmersa en un entorno cambiante. Obtener buenos resultados seguramente será un buen signo de que se están haciendo las cosas bien, pero el monitoreo y la mejora de procesos debe ser continua, adaptándose a las variables del mercado.

Nuevas sugerencias de mejora se obtendrán de los resultados, las ideas de sus empleados y las críticas de sus clientes.

Implementar ITIL en una organización de manera correcta no es algo que lograrás de la noche a la mañana. Será importante realizar auditorías de la mano de un consultor experto y considerar la posibilidad de realizar algún curso de ITIL (ya sea fundamentos de ITIL o capacitaciones superiores, dependiendo su situación) , con el fin de incorporar los conocimientos y habilidades necesarias para afrontar un cambio radical en el desempeño de tu empresa.

   

Implantación de ITIL a un Centro de Servicios

Visión General

El objetivo primordial, aunque no único, del Centro de Servicios es servir de punto de contacto entre los  usuarios y la Gestión de Servicios TI.

Un Centro de Servicios, en su concepción más moderna, debe funcionar como centro neurálgico de todos los procesos de soporte al servicio:

•  Registrando y monitorizando incidentes.

• Aplicando soluciones temporales a errores conocidos en colaboración con la Gestión de Problemas.

• Colaborando con la Gestión de Configuraciones para asegurar la actualización de las bases de datos correspondientes.

• Gestionando cambios solicitados por los clientes mediante peticiones de servicio en colaboración con la Gestión de Cambios y Versiones

Pero también debe jugar un papel importante dando soporte al negocio identificando nuevas oportunidades en sus contactos con usuarios y clientes.

Introducción y Objetivos

Los clientes cada vez más frecuentemente demandan un soporte al servicio de alta calidad, eficiente y continuo e independiente de su localización geográfica.

Es esencial para el buen desarrollo del negocio que los clientes y usuarios perciban que están recibiendo una atención personalizada y ágil que les ayude a:

•  Resolver rápidamente las interrupciones del servicio.

• Emitir peticiones de servicio.

• Informarse sobre el cumplimiento de los SLAs.

• Recibir información comercial en primera instancia.

El punto de contacto con el cliente puede tomar diversas formas dependiendo de la amplitud y profundidad de los servicios ofrecidos:

•  Call Center: Su objetivo es gestionar un alto volumen de llamadas y redirigir a los usuarios, excepto en los casos más triviales, a otras instancias de soporte y/o comerciales.

• Centro de Soporte (Help Desk): Su principal objetivo es ofrecer una primera línea de soporte técnico que permita resolver en el menor tiempo las interrupciones del servicio.

• Centro de Servicios (Service Desk): representa la interfaz para clientes y usuarios de todos los servicios TI ofrecidos por la organización con un enfoque centrado en los procesos de negocio.

Los principales beneficios de una correcta implementación del Centro de Servicios se resumen en:

•  Reducción de costes mediante una eficiente asignación de recursos.

• Una mejor atención al cliente que repercute en un mayor grado de satisfacción y fidelización del mismo.

• Apertura de nuevas oportunidades de negocio.

• Centralización de procesos que mejoran la gestión de la información y la comunicación.

• Soporte al servicio proactivo.

Implementación

La implementación de un Service Desk requiere una meticulosa planificación. En primera instancia debe establecerse:

•  Cuáles son las necesidades.

• Cuáles han de ser sus funciones.

• Quiénes seran los responsables del mismo.

• Qué cualificaciones profesionales poseeran sus integrantes.

• Si se deben externalizar ciertos servicios, como, por ejemplo, el soporte técnico del hardware.

• Qué estructura de Service Desk: distribuido, central o virtual, se adapta mejor a nuestras necesidades y las de nuestros clientes.

Estructura

Como ya se ha comentado anteriormente el Centro de Servicios es "EL" punto de contacto de toda la organización TI con clientes y usuarios, es por lo tanto imprescindible que:

•  Sea fácilmente accesible.

• Ofrezca un servicio de calidad consistente y homogénea.

• Mantenga puntualmente informados a los usuarios y lleve un registro de toda la interacción con los mismos.

• Sirva de soporte al negocio.

Para cumplir estos objetivos es necesario implementar la adecuada estructura física y lógica.

Estructura lógica

Los integrantes del Centro de Servicios deben:

•  Conocer todos los protocolos de interacción con el cliente: guiones, checklists,...

• Disponer de herramientas de software que les permitan llevar un registro de la interacción con los usuarios.

• Saber cuándo se debe realizar un escalado a instancias superiores o entrar en discusiones sobre cumplimiento de SLAs.

• Tener rápido acceso a las bases de conocimiento para ofrecer un mejor servicio a los usuarios.

• Recibir formación sobre los productos y servicios de la empresa.

Estructura física

Dependiendo de las necesidades de servicio: locales, globales, 24/7,...se debe de optar por una estructura diferente para el Centro de Servicios.

Existen tres formatos básicos:

•  Centralizado

• Distribuido

• Virtual

Actividades y Funciones

Las actividades del Centro de Servicios pueden abarcar de una manera u otra casi todos los aspectos de la Gestión de Servicios TI. Sin embargo, no cabe duda, de que su función principal es gestionar la relación con los clientes y usuarios manteniéndoles puntualmente informado de todos aquellos procesos de su interés.

Equipo y formación

La imagen de marca de una empresa puede depender en gran medida de la calidad del servicio prestado por su Service Desk.

Todos hemos sufrido frustrantes experiencias con grandes empresas que prometen un soporte continuo y de alta calidad y que a la hora de la verdad disponen de un centro de contacto con personal poco preparado, cuando no directamente mal educado.

"El éxito de su Service Desk es el éxito de su empresa" y el mismo depende en gran medida de las personas que lo integren. Es por tanto imprescindible establecer estrictos protocolos de selección y formación de su personal integrante.

Idealmente, el personal del Service Desk debe:

•  Compartir la filosofía de atención al cliente de la organización.

• Comunicarse con corrección y buena educación y de una manera que el cliente pueda comprender.

• Conocer en profundidad los servicios y productos ofrecidos.

• Comprender las necesidades de los clientes y redirigirlos, si fuera necesario, a los expertos en cuestión.

• Controlar todas las herramientas tecnológicas a su disposición para ofrecer un servicio de alta calidad.

• Ser capaz de trabajar en equipo.

La formación impartida debe referirse a todos estos aspectos y no limitarse a la capacitación tecnológica.

También es imprescindible el compromiso de la dirección con:

•  Un seguimiento de cerca de los servicios prestados y su eficacia y rendimiento.

• Un continuo apoyo al equipo en la siempre difícil tarea del trato directo con los clientes.

• El trabajo en equipo.

Y, por último, recordar que sólo tenemos una oportunidad de ofrecer una buena primera impresión.

Bibliografía

Ø http://www.isaca.org/

Ø http://itil.osiatis.es/