Anda di halaman 1dari 29

COBIT 5

EDWIN MAMANI TARQUI


IVAN APAZA CHIRI
RODOLFO SIRPA CALDERON

© 2018. La Paz — Bolivia.


Introducción

 Se constituye un recurso clave


para cualquier organización.
 Se crea, se usa, se retiene, se
divulga y se destruye.
 La tecnología juega un papel
clave en dichas actividades.
 La tecnología se está
convirtiendo en parte integral de
todos los aspectos de la vida
personal y comercial.
COBIT

Control Objectives for Information and Related Technology (Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas).
 Es un marco de control interno de Tecnologías de Información.
 Parte de la premisa de que las tecnologías de información requieren proporcionar
información para lograr los objetivos de la organización.
 Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
 La Tecnología de Información (TI) esté alineada con la misión y visión.
 La TI capacite y maximice los beneficios.
 Los recursos de TI sean usados responsablemente.
 Los riesgos de TI sean manejados apropiadamente.
COBIT (cont.)

Beneficios para las organizaciones


 Mantener información de calidad para apoyar las decisiones de la organización.
 Generar un valor comercial de las inversiones habilitadas por la Tecnología de la
Información (TI).
 Uso eficiente y fiable de la tecnología.
 Mantener el riesgo relacionado con TI a niveles aceptables.
 Optimizar el costo de la tecnología y los servicios de TI.
Evolución

Gobernanza TI de la empresa

BMIS
Gobernanza IT
Evolución del alcance

(2010)

Administración Val IT 2.0


(2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012


Principios
Principios (cont.)

1 Satisfacción de las necesidades de las partes interesadas


 Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad.
 Filtran la base de conocimiento de COBIT, en base de las metas
corporativas para extraer una orientación relevante para la inclusión en
los proyectos específicos de implementación, mejora o aseguramiento.
 Claramente identifican y comunican qué importancia tienen los
habilitadores (algunas veces muy operacionales) para lograr las metas
corporativas.
Principios (cont.)

2 Cubrir la organización de forma integral


 Integra el gobierno de la TI corporativa en el gobierno corporativo, es
decir, el sistema de gobierno para la TI corporativa propuesto por COBIT 5
se integra, de una manera fluida, en cualquier sistema de gobierno, toda
vez que COBIT 5 está alineado a los últimos desarrollos en gobierno
corporativo.
 Cubre todas las funciones y los procesos dentro de la organización; COBIT
5 no solamente se concentra en la ‘Función de la TI’, sino trata la
tecnología de la información y relacionadas como activos que necesitan
ser manejados como cualquier otro activo, por todos en la Organización.
Principios (cont.)

3 Aplicar un solo marco integrado


 Permite a la organización utilizar COBIT 5 como integrador macro en el
marco de gobierno y administración.
 ISACA está desarrollando el modelo de capacidad de los procesos para
facilitar al usuario de COBIT el mapeo de las prácticas y actividades
contra los marcos y normas de terceros.
Principios (cont.)

4 Posibilitar un enfoque holístico


 Factores que, individual y colectivamente, influyen sobre si algo
funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI
corporativa.
 Impulsados por las metas en cascada, es decir, las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes
habilitadores.
 Descritos por el marco de COBIT 5 en siete categorías.
Principios (cont.)

5 Separar el gobierno de la gestión


 El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y
la Administración.
 Gobierno. En la mayoría de las organizaciones el Gobierno es
responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.
 Administración. En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente
General.
Modelo de Referencia de Procesos de
COBIT 5
Procesos de Gobierno de TI
Empresarial
DOMINIO PROCESOS

Analizar y articular los requerimientos para el gobierno de las TI de la


EDM01. Asegurar el establecimiento y empresa y pone en marcha y mantiene efectivas las estructuras, procesos y
mantenimiento del marco de referencia de gobierno: prácticas facilitadoras, con claridad de las responsabilidades y la autoridad
para alcanzar la misión, las metas y objetivos de la empresa.

Optimizar la contribución al valor del negocio desde los procesos de


EDM02. Asegurar la entrega de beneficios: negocios, los de servicios TI y activos de las TI resultado de la inversión
DOMINIO DE GOBIERNO: hecha por TI a unos costos aceptables.
Evaluar, Orientar y Supervisar
(EDM): Asegura que los objetivos Asegurar que el apetito y la tolerancia al riesgo de la empresa son
de la empresa sean logrados, EDM03. Asegurar la optimización del riesgo: entendidos, articulados y comunicados y que el riesgo para el valor de la
evaluando las necesidades de los empresa relacionado con el uso de las TI es identificado y gestionado.
interesados.
Asegurar que las adecuadas y suficientes capacidades relacionadas con las
EDM04. Asegurar la optimización de recursos: TI (personas, procesos y tecnologías) están disponibles para soportar
eficazmente los objetivos de la empresa a un coste óptimo.
Asegurar que la medición y la elaboración de informes en cuanto a
EDM05. Asegurar la transparencia hacia las partes conformidad y desempeño de las TI de la empresa son transparentes, con
interesadas: aprobación por las partes interesadas de las metas, las métricas y las
acciones correctivas necesarias.
Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS
APO01. Gestionar el Marco de Gestión de TI:
APO02. Gestionar la Estrategia:
DOMINIOS DE GESTION: Alinear, Planear y Organizar APO03. Gestionar la Arquitectura Empresarial:
(APO): Este dominio cubre las estrategias y las tácticas, APO04. Gestionar la Innovación:
y tiene que ver con identificar la manera en que TI puede
APO05. Gestionar el Portafolio:
contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión APO06. Gestionar el Presupuesto y los Costes:
estratégica requiere ser planeada, comunicada y APO07. Gestionar los Recursos Humanos:
administrada desde diferentes perspectivas; y finalmente, AP008. Gestionar las relaciones:
la implementación de una estructura organizacional y
AP009. Gestionar los acuerdos de servicio:
tecnológica apropiada. Este dominio proporciona la
dirección para la entrega de soluciones y la entrega de APO10. Gestionar los Proveedores:
servicios. APO11. Gestionar la Calidad:
APO12. Gestionar el Riesgo:
APO13. Gestionar la Seguridad:
Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS
BAI01. Gestión de Programas y Proyectos:
BAI02. Gestionar la Definición de Requisitos:
Construir, Adquirir e Implementar (BAI): La gerencia con este BAI03. Gestionar la Identificación y Construcción de Soluciones:
dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del negocio, que sean BAI04. Gestionar la Disponibilidad y la Capacidad:
entregados en tiempo y dentro del presupuesto, que los nuevos BAI05. Gestionar la Facilitación del Cambio Organizativo:
sistemas una vez implementados trabajen adecuadamente y que
los cambios no afecten las operaciones actuales del negocio. Con BAI06. Gestionar los Cambios:
el fin de cumplir una estrategia de TI, las soluciones de TI BAI07. Gestionar la Aceptación del Cambio y la Transición:
necesitan ser identificadas, desarrolladas o adquiridas, como
también implementadas e integradas en los procesos del negocio. BAI08. Gestionar el Conocimiento:
BAI09. Gestionar los Activos:
BAI10. Gestionar la Configuración:
Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS

DSS01. Gestionar Operaciones:

Entregar, Dar Servicio y Soporte (DSS): Involucra la entrega en sí de los servicios DSS02. Gestionar Peticiones e Incidentes de Servicio:
requeridos, incluyendo la prestación del servicio, la administración de la seguridad y
de la continuidad, el soporte a los usuarios del servicio, la administración de los DSS03. Gestionar Problemas:
datos y de las instalaciones operativas. El objetivo es lograr que los servicios de TI
se entreguen de acuerdo con las prioridades del negocio, la optimización de costos, DSS04. Gestionar la Continuidad:
asegurar que la fuerza de trabajo utilice los sistemas de modo productivo y seguro,
implantar de forma correcta la confidencialidad, la integridad y la disponibilidad. DSS05. Gestionar Servicios de Seguridad:

DSS06. Gestionar Controles de Proceso de Negocio:


Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS

Supervisar, Evaluar y Valorar (MEA): La totalidad de los procesos de TI MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la
deben de ser evaluados regularmente en el tiempo, para conocer su calidad y Conformidad.
cumplimiento de los requerimientos de control. Este dominio incluye la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno. Con esto se obtendrá de MEA02. Supervisar, Evaluar y Valorar el Sistema de
manera oportuna la detección de problemas por medio de la medición del Control Interno.
desempeño, se garantiza que los controles internos sean efectivos y
eficientes, la vinculación del desempeño de TI con las metas del negocio así
como la medición y reporte de riesgos, además del control, cumplimiento y MEA03. Supervisar, Evaluar y Valorar la Conformidad con
desempeño. los Requerimientos Externos:
COBIT 5 y la Seguridad de la
Información
Análisis de Madurez y Capacidad de
Procesos

COBIT propone el Modelo de


Evaluación de Procesos, para evaluar
procesos de forma fiable, consistente y
repetible.
 Dimensión del Proceso: Define un
conjunto de procesos
característicos con declaraciones
de propósitos y resultado de cada
proceso.
 Dimensión de la Capacidad del
Proceso: Es el marco de medición
que abarca los seis niveles de
capacidad de proceso y sus
atributos de proceso.
Análisis de Madurez y Capacidad de
Procesos (cont.)

El proceso no está implementado o no alcanza su propósito. A este nivel hay muy poca
NIVELES DE CAPACIDAD DE LOS

Nivel 0: Incompleto o ninguna evidencia de algún logro sistemático del propósito del proceso.

Nivel 1: Ejecutado El proceso implementado alcanza su propósito.


PROCESOS

El proceso ejecutado está implementado de forma gestionada y los resultados de su


Nivel 2: Gestionado
ejecución están establecidos, controlados y mantenidos apropiadamente.

El proceso gestionado ahora está implementado usando un proceso definido que es


Nivel 3: Establecido
capaz de alcanzar sus resultados de proceso..

El proceso establecido ahora se ejecuta dentro de límites definido para alcanzar sus
Nivel 4: Predecible
resultados de proceso.

El proceso predecible es mejorado de forma continua para cumplir con las metas
Nivel 5: Optimizado
empresariales presente y futuras.
Análisis de Madurez y Capacidad de
Procesos (cont.)

La organización no tiene una implementación efectiva de los


Nivel 0: Org. Inmadura
procesos.
NIVELES DE MADUREZ DE LA

La organización implementa y alcanza los objetivos de los


Nivel 1: Org. Básica
procesos.
ORGANIZACION

La organización gestiona los procesos y los productos de


Nivel 2: Org. Gestionada
trabajo se establecen, controlan y mantienen.

La organización utiliza procesos adaptados y basados en


Nivel 3: Org. Establecida
estándares..

Nivel 4: Org. Predecible La organización gestiona cuantitativamente los procesos.

La organización mejora continuamente los procesos para


Nivel 5: Org. Optimizado
cumplir los objetivos del negocio.
Análisis de Madurez y Capacidad de
Procesos (cont.)
Procesos habilitadores (catalizadores)

El Modelo de Referencia de Procesos de


COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas
con la TI en dos áreas principales –
Gobierno y Administración – con la
Administración a su vez dividida en
dominios de procesos:
 El dominio de Gobierno contiene cinco
procesos de gobierno; dentro de cada
proceso se definen las prácticas para
Evaluar, Dirigir y Monitorear (EDM).
 Los cuatro dominios de la Administración
están alineados con las áreas de
responsabilidad de Planificar, Construir,
Operar y Monitorear (PBRM por su sigla
en inglés).
Implementación

1. ¿Cuáles son los impulsores?. Porqué lo estamos


haciendo. Factores pueden ser la regulación, cuestión
de marca.
2. ¿Dónde estamos ahora?. Saber donde está parada la
organización. Esto permite saber hasta donde puedo
llegar de acuerdo a los recursos y tiempos. TI debe
evaluarse de forma justa, transparente y correcta.
3. ¿Dónde queremos estar?. Establecer el nivel objetivo. A la
medida que se va trabajando, esta se debe llevar por
etapas semejante al de una rueda. Visión de largo, pero
se debe analizar donde se quiere estar a corto plazo
para evaluar beneficios y resultados.
4. ¿Qué se necesita hacer?. Enfocado a la planeación, a
las personas que van a trabajar, tener claro lo que se va
a desarrollar.
Implementación (cont.)

5. ¿Cómo vamos a llegar allá?. Corresponde a la


implementación y las acciones. Realizar la medición
correspondiente.
6. ¿Llegamos donde queríamos estar?. Las fases 5 y 6 se
ejecutan de forma paralela para realizar la medición y
evaluación día a día para posibilitar una mejora
continua. También se deben de realizar evaluaciones
periódicas que permitan tomar acciones de mejora.
7. ¿Cómo logramos que el impulso continúe?. Volver a
iterar. Que vaya mejorando. Establecer objetivos
periódicos y nuevas iniciativas. La organización va
mejorando.
Familia de Productos
Productos Futuros de Apoyo

 Guías Profesionales de Orientación:


 COBIT 5 para la Seguridad de Información
 COBIT 5 para el Aseguramiento
 COBIT 5 para Riesgos
 Guías de Orientación de los Habilitadores:
 COBIT 5: Información Habilitadora
 COBIT En Línea Reemplazo
 COBIT Programa de Evaluación:
 Modelo de Evaluación de Procesos (PAM): Usando COBIT 5
 Guía para Asesores: Usando COBIT 5
 Guía de Auto-Evaluación: Usando COBIT 5
Conclusiones

 COBIT es un marco de negocio De lo General a lo Particular


para gobierno de gestión de TI.

OTROS MARCOS: COMO


 Exitoso e implementado por

COBIT 5: QUE HACER


muchas empresas.
 Basado en 5 principios:

HACERLO
1. Satisfacer las necesidades de las
partes interesadas.
2. Cubrir la empresa de extremo a
extremo.
3. Aplicar un marco de referencia
único integrado.
4. Hacer posible un enfoque holístico.
5. Separar el gobierno de la gestión.
Gracias por la
atención
dispensada.