Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Caso de Ingenieria de Est and Ares

    Enviado por

    Jorge Ivan Guillen Amado
    66 visualizações27 páginas

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    66 visualizações27 páginas

    Caso de Ingenieria de Est and Ares

    Enviado por

    Jorge Ivan Guillen Amado

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 27

    Un caso de ingeniería de estándares

    utilizando COBIT e ISO 27001

    Marcelo Jenkins Adrián Lara


    Maestría en Ciencias de la Computación e Informática
    Universidad de Costa Rica
    marcelo.jenkins@ecci.ucr.ac.cr
    adrian.lara@ecci.ucr.ac.cr
    1
    Introducción

    • Existen muchos estándares y marcos de


    trabajo a nivel internacional
    • Establecen buenas prácticas de administración
    de Tecnologías de Información y
    Comunicaciones (TIC)

    2
    El caso de Costa Rica

    Normas Técnicas de la
    Gestión y el Control de las
    Contraloría Tecnologías de Información
    General de la de la Contraloría General de
    República la República (Normas)
    (CGR) 3
    Las Normas de la CGR

    • Capítulo 1: Normas de aplicación general


    • Capítulo 2: Planificación y organización
    • Capítulo 3: Implementación de tecnologías de
    información
    • Capítulo 4: Prestación de servicios y
    mantenimiento
    • Capítulo 5: Seguimiento

    Cumplimiento obligatorio desde julio 2009 4


    El aporte de estas Normas

    • Aplicación obligatoria para todas las entidades


    públicas
    • Estandarizar la administración de TIC en
    múltiples instituciones
    • Las Normas rescatan lo más relevante de
    COBIT que aplica para todo el sector público
    de Costa Rica

    5
    Descripción del problema (1/2)
    COBIT NCGR CMMI

    Dominios Dominios Áreas de Proceso

    Objetivos de
    Requerimientos Áreas
    Control

    Objetivos de Control
    Metas

    ?
    Específicos

    Prácticas

    6
    Descripción del problema (2/2)

    ? ?

    Implementador Auditor

    7
    Propuesta de solución

    • Completar las Normas de la CGR


    – Creando una guía de implementación
    – Creando una guía de evaluación

    • Ejecutar la guía de evaluación en una


    organización de TIC

    8
    Metodología

    1. Crear la guía de implementación

    2. Crear la guía de evaluación

    3. Usar la herramienta Appraisal


    Assistant

    4. Implementar la guía de evaluación


    en una organización de TI
    9
    1. Crear la guía de implementación
    Analizar del requerimiento

    Utilizar Mapeo hacia COBIT o ISO 27001 (el mapeo


    ya existe)

    Analizar prácticas del Objetivo de Control de


    COBIT

    Generar prácticas y salidas esperadas

    Realizar revisión preliminar con expertos 10


    Ejemplo

    Requerimiento
    de las Normas

    Prácticas

    Documentar un portafolio de
    Generar un plan estratégico de TI
    servicios y proyectos

    Evidencias
    Propuesta
    Portafolio de servicios
    Plan Estratégico de TI y proyectos
    2. Crear la guía de evaluación
    Clasificar prácticas
    (organización o por proyecto)

    Análisis de evidencias

    Evaluación de las prácticas

    Evaluación del requerimiento

    Revisión preliminar con expertos


    Requerimiento
    satisfecho
    Ejemplo

    Requerimiento
    de las Normas

    Completamente Prácticas Completamente


    implementada implementada
    Documentar un portafolio de
    Generar un plan estratégico de TI
    servicios y proyectos

    Evidencias
    Propuesta
    Portafolio de servicios
    Plan Estratégico de TI y proyectos
    3. Usar la herramienta Appraisal Assistant

    Crear un modelo nuevo

    Agregar todos los


    requerimientos

    Agregar todas las prácticas

    Agregar todas las evidencias


    14
    Ejemplo (1/2)

    Descripción de un
    requerimiento de las Normas
    Estructura de las Normas

    Agregar áreas, requerimientos


    15
    y prácticas
    Ejemplo (2/2)

    Agregar evidencias a las prácticas

    16
    4. Implementar la guía de evaluación en una
    organización de TI

    Planificar la auditoría

    Ejecutar la auditoría

    Redactar el informe final

    17
    Resultados obtenidos

    • Mostramos los resultados de 2 de los


    requerimientos evaluados

    18
    Evaluación del requerimiento 2.4

    Prácticas
    1) Crear un área encargada exclusivamente de la administración de TI
    2) Documentar las responsabilidades de cada funcionario del área de TI
    3) Generar un plan de capacitación para cada área de TI
    4) Evaluar periódicamente el rendimiento del personal
    Evidencias
    1) Evidencia de que existe un área encargada exclusivamente de administrar TI
    2) Documentación de responsabilidades para cada puesto del área de TI
    3) Plan de capacitación para cada área de TI 19
    4) Resultados de las evaluaciones periódicas del rendimiento del personal
    Evaluación del requerimiento 2.4

    20
    Evaluación del requerimiento 4.4

    Prácticas
    1) Adquirir o implementar una herramienta de tipo help desk y utilizarla para la
    atención de requerimientos y solicitudes de los usuarios de TI
    2) Definir y utilizar un procedimiento de atención de requerimientos y solicitudes

    Evidencias
    1) Evidencia del uso de la herramienta help desk
    2) Manuales de uso de la herramienta tipo help desk
    3) Procedimiento de atención de consultas y solicitudes
    4) Evidencia de ejecución del procedimiento de atención de consultas y solicitudes
    21
    Evaluación del requerimiento 4.4

    22
    Visualización de los resultados

    23
    Recolección de evidencias cumple con SCAMPI

    24
    Conclusiones (1/2)

    • Es posible completar las normas de la CGR con


    prácticas y evidencias
    • Algunos requerimientos se completan
    utilizando COBIT
    • Otros requerimientos se completan utilizando
    ISO 27001

    25
    Conclusiones (2/2)

    • Es posible evaluar las normas haciendo una


    recolección según la metodología SCAMPI B

    • El uso de la herramienta Appraisal Assistant


    simplifica la recolección de evidencia y la
    visualización de los resultados

    26
    ¡Muchas gracias!

    Marcelo Jenkins Adrián Lara


    Maestría en Ciencias de la Computación e Informática
    Universidad de Costa Rica
    marcelo.jenkins@ecci.ucr.ac.cr
    adrian.lara@ecci.ucr.ac.cr
    27

    Você também pode gostar