guias

Gerencia de Tecnología de la Información

PhD (c) Manuel Caldas Núñez PMP ® | ITIL ITIL ® Exper Expertt (Life (Lifecy cycle cle Stre Stream) am) | COB COBIT IT ® F

Acerca del Profesor Manuel Caldas Núñez, actualmente desempeña el cargo de Gerente de Consultoría Estratégica en Tecn cnoolo logí gíaa de In Inffor orma maci ción ón;; ha la labo bora raddo en des esta taca caddas empresas de consultoría y de educación espe es peci cial aliz izad adas as en Tec ecno nolo logí gíaa de la In Info form rmac ació ión. n. Así como también cuenta con una Maestría en Ingeniería de Seguridad Informática. Candidato a Doctor (Doctor of Business Administration DBA), adicionalmente ha sido capacitado en Estados Unidos y Ar Arge gent ntin ina. a. PhD (c) Manuel Caldas Nuñez Microsoft Certified Trainer (MCT®) & EXIN Best Practice Accredited Trainer & PECB Accredited Trainer APMG ITIL® Services Manager / APMG ITIL® Practitioner APMG ITIL® Expert / EXIN ITIL® Expert Project Management Professional (PMP®) COBIT 5® Foundations Auditor Líder en ISO 27001:2005 27001:2005 - Seguridad de la Información Información Registro Registro Internacional IRCA* Implementador Lider ISO/IEC 20000* PECB Implementador Lider ISO/IEC 27001* PECB Implementador Lider ISO/IEC 22301* PECB

Presentación de los alumnos Nombre Pro rofe fesi sión ón y es espe peci cial aliz izac ació iónn Expe Ex peri rien enci ciaa año ñoss y la labbor oraal Trab rabajo ajo act actual ual Expe Ex pect ctat ativ ivas as de dell cu curs rsoo

Sesión #1 y #2: Infraestructura TI La Infraestructura de TI en un conjunto de dispositivos y aplicaciones de software requeridas para la operación de la empresa. Sin embargo, esta infraestructura también es un conjunto de servicios a nivel empresarial pre res sup upue uest sta ado po porr la ge gere renc ncia ia,, qu que e ab aba arca la las s ca capa paci cida dade des s ta tant nto o humanas como técnicas. Estos servicios abarcan: 

Plataformas computacionales



Servicios de telecomunicacione telecomunicaciones s



Servicios de gestión de datos



Servicios de software de aplicaciones



Servicios de administración administración de instalaciones físicas



Servicios de gestión de TI



Servicios de estándares de TI



Servicios de educación de TI



Servicios de investigación investigación y desarrollo desarrollo de TI

La per perspe specti ctiva va de   “Plataforma de   Servicios”   facili facilita ta la com compre prensi nsión ón del valor de negocios que proporcionan las inversiones de Infraestructura.

Caso: BART se agiliza con una nueva Infraestructura de TI Transito Rápido del Área de la Bahía (BART) San Francisco Bay Area Lectura: BART se agil agiliiza con una una nue nueva Infr Infrae aesstruc tructu turra de TI (P-1 (P-163 63))

Caso Ca so Lo Loca cal: l: Un Unive ivers rsid idad ad Par arti ticu cula larr

Evolución de la Computadora, Sistemas Operativos, Servicios basados en TI

Más activos en TI o Servicios?

Más activos en TI o Servicios?

Continuidad en Tecnología de la Información!

¿Qué ¿Q ué ad adm min iniist strram amo os y ope perram amo os en Cloud Computing?

Tecnologías Emergentes: Cloud Computing, Mobile, otros

http://www.pcmag.com/article2/0,2817,2372163,00.asp http://www .pcmag.com/article2/0,2817,2372163,00.asp What Is Cloud Computing? Common Cloud Examples and Cloud Hardware Arguments Against the Cloud

Soluciones Enterprise en Cloud Computing

http://www.forbes.com/sites/quickerbettertech/2013/07/01/11-terrible-crm-systems-for-yourcompany/ They are terrible when they are not implemented the right way. They are terrible when companies don’t appreciate that all of these magical applications are nothing but databases and don’t put the right processes in place to ensure that all interactions They are terrible when companies don’t assign strong administrators, or cut corners on training or try to do too much at one time. They are terrible when senior managers don’t pay the attention needed to make these systems successful and instead cave in to the complaints made by lower level employees who don’t want

¿Tecnología x Tecnología Tecnología x Negocio?

Cloud Computing – Implicancias!

Caso: ¿Qué tan segur segura a es la Nube? Lectura: ¿Qué tan segur gura es la Nube? (P-321)

Casoss Lo Caso Local cales: es: - Gobierno Peruano - Sector Financiero

Caso: McAfee Cuando el Software Antivirus inutiliza a sus computadoras Lectura: Cuan Cuando do el Soft Softw ware are Anti Antivi viru russ inut inutil iliz iza a a sus sus comp comput utad ador oras as (P-3 (P-304 04))

Caso Ca so Loc ocal al:: Ba Banc ncoo Per erua uanno

Buenas Prácticas y Estándares en TI •

ITIL® es un compendio de buenas prácticas, lecciones de buenas prácticas, cosas que se hicieron y que son aceptados por todos. No es un ESTÁNDAR, no es una METOLOGÍA

•

Es un conjunto muy grande de consejos y experie experiencias, ncias, de personas de diferentes partes del mundo; es una base de datos de conocimientos muy IMPORTANTE!!!

•

Como son consejos, buenas prácticas; entonces NO SON OBLIGATORIAS!!!

Introducción Práctica •

¿Qué es es un Servicio? Servicio? Son activida actividades des que persig persiguen uen la entrega de valor a través de la satisfacción de una necesidad.

•

El Valor = Utilidad + Garantía (El Servicio que se brinda tenga las características que te pido, y este disponible cuando yo lo necesito)

•

En las Normas ISO 20000 / ISO 27001, el valor se traduce en la calidad del servicio, y la calidad es cumplir con las especificaciones especifica ciones brindadas por el cliente que incluyen la Seguridad de la Información. Por lo tanto se DEBEN CUMPLIR

Mape Ma peo o en entr tre e ITI ITIL® L® y PM PMBO BOK®  K®  ITIL®

PMBOK®

 

Fases del Ciclo de Vida del Servicio

Grupos de Procesos de la Administración Administr ación de Proyectos

Estrategia del Servicio

Iniciación

Estrategia del Servicio

Planeación

Diseño del Servicio Transición del Servicio Operación del Servicio

Ejecución

Mejora Continua del Servicio

Monitoreo y Control

Estrategia del Servicio

Cierre

Mapeo entre PMBOK® y PDCA PMBOK®

PDCA (Ciclo Deming)

Grupos de Procesos de la Administración Administr ación de Proyectos

Método de Mejor Método Mejora a Continua Continua de la calidad en la Administración Administración de una Organización

Iniciación Planeación

Planificar (Plan)

Ejecución

Hacer (Do)

Mon onit ito oreo y Control

Veri rifi ficcar (C (Ch heck) y Actuar (Act)

Cierre

PDCA en ISO 20000 & ISO 27001 Gestión de Servicios de Tecnología Tecnología de la Info Informa rmació ción n - SGS SGSTI TI

Gestión de Seguridad de la Infor In forma maci ción ón - SG SGSI SI

establ blec ecer er lo loss ob obje jeti tivo voss y lo loss Planificar:   esta  procesos necesarios para entregar resultados acordes con los requisitos del cliente y las  políticas de la organización.

Establecer cer pol políti ítica, ca, obj objeti etivos, vos, Planificar:   Estable  procesos y procedimientos SGSI, relevantes  para manejar el riesgo y mejorar la segurid segu ridad ad de la inf inform ormaci ación ón para ent entreg regar  ar  resultados en concordancia con las políticas y  objetivos generales de la Organización

Hacer:  implementar los procesos.

 

Verificar:  monitorear y medir los procesos y  servic ser vicios ios en com compar paraci ación ón con las pol políti íticas, cas, los objetivos y los requisitos, y reportar los resultados.

Impleme ment ntar ar y Ope Opera rarr la po polí líti tica ca,, Hacer:   Imple controles, procesos y procedimientos SGSI Evaluar ar y, do dond nde e sea ap apli licab cable le,, Verificar:   Evalu medir el desempeño del proceso en comp co mpar arac ació ión n co con n la po polí líti tica ca,, ob obje jeti tivo voss y  expe ex peri rien enci cias as pr prac acti tica cass SG SGSI SI y re repo port rtar ar lo loss resultados a la gerencia para su revisión

Tomar accio ion nes correctivas y   Actuar: tomar acciones para mejora continua  Actuar:   To del desempeño de los procesos  preventivas, basadas en los resultados de la auditoria interna SGSI y la revisión gerencial u otra información relevante, para lograr el mejoramiento continuo SGSI

¿Integración ¿Integr ación o Complemento? (PDCA) •

Estos modelos, se basan en el Ciclo de DEMING (PDCA), y la integración es más que una integración, es un complemento.

•

Ya que un producto o proyecto, bien puede ser un servicio; y el ciclo de vida del servicio es igual al del proyecto.

•

Salvo que uno se mantiene hasta que el servicio ya no es necesario, y el proyecto cuando se consigue el servicio.

Integración Integr ación o Complemento? (PDCA) •

Los Procesos: Procesos: Inicio, planificación, ejecución, control, cierre = Sin inicio y cierre, es PDCA.

•

El Ciclo de DEMING es el corazón de todo lo que mueve este mundo: Ciclo Vida del Proyecto: Proyecto: Inicio, planificación, control, seguimiento y cierre Vida del Servici Servicioo - Se basa en el ciclo ciclo de  – Ciclo de Vida DEMING y también lo hace el PMBOK®  –

ITIL® IT IL® y la la ISO ISO 20 2000 000? 0? (PD (PDCA CA)) •

ISO 20000, es un estándar internacional, una NORMA, absolutamente OBLIGATORIA si quieres seguirla.

•

La ISO 20000 – Parte I (que es la versión certificable) son 39 entregables que se tiene que regenerar y entregar.

•

ITIL® y la ISO 20000, se basan en el ciclo de DEMING (PDCA) para mantener lo especificado al inicio y es la base de la Gestión de Servicios y Gestión de Proyectos.

ISO 27001 e ISO 27002? (PDCA) •

ISO 27001, es un estándar internacional, una NORMA, absolutamente OBLIGATORIA si quieres seguirla (que es la versión cert rtif ific icaable le))

•

La ISO 27002 – Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

•

ISO 27001 y la ISO 20000, se basan en el ciclo de DEMING (PDCA) para mantener lo especificado al inicio y es la base de la Gestión de Servicios y Gestión de Seguridad de la Información.

Experiencias Prácticas en SG •

TODO ES GOBERNADO POR PERSONAS - Todos tenemos distintos caracteres, y dentro de una organización si lo que tenemos son personas, entonces hay una gran oportunidad!!!

•

Por lo que los Proyectos de ITIL, ISO/IEC son 80% comportamiento organizacional y 20% Gestión, hay que tene te nerr un unaa GE GEST STIO ION N DE CAM AMBI BIO OS ORG RGAN ANIZ IZAC ACIO IONA NALL IN INM MEN ENSSA! A!!!

•

Para que todo esto funcione, entonces la Organización de TI DEBE ESTAR ORGANIZ IZA ADO!!! !!,, así como también el NEGOCIO

•

Pierd rdee cuidado!! Te encontraras con el  “Efecto Gollum”

Escenario Actual Infraestructura TI Gestión Estratégica Tecnología de la Información Gestión de Seguridad de la Información

Cloud Público

Soluciones Off Premise

Gestión de la Continuidad de Negocio Cloud

Gestión de Servicios de Tecnología de la Información

Objetivos de Control

Windows Azure (IaaS, SaaS, PaaS)

Amazon AWS

Hibrido

Soluciones On Premise Gestión de Infraestructura

Infraestructura Base: Directorio Activo, Base de Datos

Aplicaciones de Negocio: Legacy, CRM, ERP, otros

Cloud Privado

Gestión Estratégica en Tecnología Tecnología de la Información Gestión de Se tiene por objetivo establecer las mejores practicas de Gestión de Servicios y de Seguridad en las Organizaciones de Tecnología de la Información. En la entidades Privadas se manejan las practicas practicas definidas como ITIL, ISO 20000 e ISO 27001 En las entidades Gobierno se manejan las Normas Técnicas Peruanas como NTP ISO 20000, NTP ISO 27001

Controles en TI

Diseño e Implementación de Controles Generales en TI basados en: • COBIT • ISO 27002

Gestión de Servicios en TI

Seguridad de Información

Diseño e Implementación de Procesos de Gestión de Servicios de TI basados en:

Diseño e Implementación del Sistema de Gestión de Seguridad de la Información basados en:

• ISO 20000 • ITIL edición 2011 • MOF

• ISO 27001 • ISO 27017 • ISO 27018 • CSA • EINSA • ISACA

Caso: Uso de COBIT en el Gobierno de TI Lectura: Revisa visarr lect lectur uras as de COBI COBIT T que que se publ public icar aran an por por SkyD SkyDri riv ve

Caso Local: Sarbanes & Oxley en el Perú