Cobit(R) 5 Fundamentos
126
(51) 9‑8935-4789 [email protected] www.jagi.pe COBIT ® 5 Fundamentos Mg. Ing. Jack Daniel Cáceres Meza, PMP ITIL ® EXPERT Gerente de Proyectos [email protected]
-
Upload
jack-daniel-caceres-meza -
Category
Presentations & Public Speaking
-
view
367 -
download
1
Transcript of Cobit(R) 5 Fundamentos
(51) 9 8935-4789‑
www.jagi.pe
COBIT® 5 Fundamentos
Mg. Ing. Jack Daniel Cáceres Meza, PMPITIL® EXPERT
Gerente de [email protected]
(51) 9 8935-4789‑
www.jagi.pe
2
Datos del expositorIngeniero Electrónico
• UNMSM• Reg. CIP Nº 95664• 34 años de vida
profesional
Experiencia
• Gestión de Proyectos / Servicios / Seguridad de información / Calidad (www.jagi.pe)
• Mejora continua / Normalización / Cumplimiento normativo / Re-diseño de procesos
• Consultoría, gestión, instrucción en las TIC
• Jefatura de centros de cómputo – centros de datos
• Planeamiento estratégico de las TIC
• Auditoría informática y de seguridad de información
• Diseño e implementación de redes LAN/WAN/WiFi/WIMAX, VoIP
• Docencia universitaria, ponencias, paneles, capacitación (www.jagitech.pe)
Certificaciones
• ITIL® EXPERT• Project Management
Professional -PMP• ISO/IEC20000• Auditor ISO27001 (IRCA)• Certified Integrator in
Secure Cloud Services• ISO/IEC27002• UNIX / LINUX• Microsoft MCSE, MCP +
Internet• CheckPoint Firewall-1
Otros estudios
• Maestría en Ingeniería de Seguridad Informática
• Maestría en Dirección estratégica de las telecomunicaciones
• Administración de Empresas, IDEA/Universidad Ricardo Palma
• Proyectos de Mejora, Holos TQC
• Diseño de centros de datos
• Planeamiento Estratégico de las Tecnologías de Información, ESAN, Unisys Corp. (USA)
(51) 9 8935-4789‑
www.jagi.pe
Objetivos del curso• COBIT® 5 ayuda a maximizar el valor de la información mediante la
incorporación de las últimas técnicas de Gobierno y Gestión de la empresa.• Así, el curso busca proveer al interesado principios y prácticas
mundialmente aceptados así como herramientas analíticas y modelos para ayudar a incrementar la confianza y el valor de sistemas de información alineados con los objetivos del negocio.
• Por tanto, el curso está dirigido, pero no limitados a, los siguientes interesados:• Ejecutivos de negocios• Dueños de procesos de TI, responsables de la función de TI• Responsables de riesgos y de implementar y asegurar controles, responsables de
evaluar y auditar los controles de TI, responsables del cumplimiento, aseguramiento y control interno de TI, profesionales en aseguramiento de calidad de TI
• Proveedores de servicios de TI, prestadores de servicios de TI, terceros responsables de apoyar la función de TI
• Usuarios de TI• Cualquier interesado en el gobierno corporativo de TI y en la generación de valor
para el negocio.
(51) 9 8935-4789‑
www.jagi.pe
Metodología• El método de transferencia de conocimiento tendrá un
carácter inductivo, lógico y motivador, intuitivo – visual, activo y flexible.
• Se usarán técnicas de exposición participativa, desarrollo de trabajo de grupo aplicando los contenidos teóricos recibidos.
• Se analizarán casos donde se requiera proponer alternativas de solución empleando el conocimiento recibido.
• En general:• Desarrollo de mapas mentales y revisión de conceptos
relacionadas a preguntas tipo examen COBIT® 5 Fundamentos• Consultas atendidas en las sesiones y/o por e-mail, durante todo el
curso (respuestas por las mañanas)• Simulacro de examen tipo COBIT® 5 Fundamentos
(51) 9 8935-4789‑
www.jagi.pe
5
Sílabo resumenSESIÓN CONTENIDO HORARIO
01 • Introducción a COBIT® 5• Características de COBIT® 5 08:00 a 14:00 horas
02 • Principios de COBIT® 5• Catalizadores de COBIT® 5 08:00 a 14:00 horas
03• Introducción a la implementación• Modelo de valoración de la capacidad
de los procesos08:00 a 14:00 horas
04• Propuesta de plan de estudio• Tips• Simulacro de examen
08:00 a 14:00 horas
La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx
(51) 9 8935-4789‑
www.jagi.pe
Antes de empezar: algunas reglas básicas de convivencia• Dentro del salón de clase • No fumar, comer o beber• No utilizar equipos individuales de audio o vídeo –a no ser que se
empleen para fines académicos• Evitar ruidos molestos -apagar el teléfono móvil• Evitar distracciones
• Fuera del salón de clase• Evitar generar ruido• Evitar generar distracciones
• Identificar previamente la logística local (servicios generales)
• Luego de iniciada la clase, no tocar la puerta y esperar a que el docente les permita el ingreso: 5’, 15’, segunda hora
• Educación, respeto, orden …
(51) 9 8935-4789‑
www.jagi.pe
Mg. Ing. Jack Daniel Cáceres Meza, PMP
¿Dudas, Preguntas, Consultas, Aportes?
(51) 9 8935-4789‑
www.jagi.pe
Mg. Ing. Jack Daniel Cáceres Meza, PMP
¿Dudas, Preguntas, Consultas, Aportes?Empecemos entonces
(51) 9 8935-4789‑
www.jagi.pe
9
Primero…
“Ningún viento es favorable para quien no conoce el puerto al que quiere arribar”
Séneca
(51) 9 8935-4789‑
www.jagi.pe
Información y tecnología
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
La Información es un recurso clave para todas las empresas
La Información se crea, usa, retiene, publica y destruye
La tecnología juega un papel clave en todas esas acciones
La tecnología penetra todo los aspectos de la vida personal y los negocios
(51) 9 8935-4789‑
www.jagi.pe
La tecnología ha jugado un papel clave en el éxito de las empresas y, más que nunca, los líderes de TI tienen la presión de ayudar a generar ingresos y brindar una ventaja competitiva.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
¿Cómo pueden darse estos beneficios para crear valor para los interesados?
TI
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
13
Si la junta directiva se preocupa de…
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Fuente Deloite Estudio 180 Empresas España 2012
(51) 9 8935-4789‑
www.jagi.pe
14
¿Valor para los interesados?• La entrega de valor requiere
un buen gobierno y gestión de la información y tecnología
• Empresas, ejecutivos y consejos de administración deben aceptar que TI es tan importante como cualquier otra parte del negocio
• Los requisitos externos del cumplimiento legal, regulatorio y contractual relacionadas con el uso de la información y la tecnología van en aumento, amenazando el valor si no se cumplen
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
15
Gobierno y Gestión
Gobierno• Asegura el cumplimiento
de objetivos empresariales
• Evalúa necesidades, condiciones y opciones de los interesados
• Dirige a través de la priorización y toma de decisiones
• Supervisa (Monitorea) el desempeño y cumplimiento contra la dirección y los objetivos acordados
• Ciclo EDM (Evaluate-Direct-Monitor)
Gestión• Planea,
Construye, Opera y Supervisa (Monitorea):• Las
actividades fijadas y acordadas por el cuerpo de gobierno
• Ciclo PBRM(Plan-Build-Run-Monitor)FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
No se puede gestionar lo que no se comunicaNo se puede comunicar lo que no se mideNo se puede medir lo que no se defineNo se puede definir lo que no se entiende
(51) 9 8935-4789‑
www.jagi.pe
17
Entonces se necesitan estrategias.Pero, ¿quién las hace?
Fuente Deloite Estudio 180 Empresas España 2012
(51) 9 8935-4789‑
www.jagi.pe
¿Y sobre qué se apoyan estas estrategias?en la tecnología claro; entonces…El marco de Gobierno de TI deberá ayudar a la alta dirección a saber si con la información administrada es posible garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y reconocer apropiadamente sus oportunidades actuando acorde a ellas.
FUENTE IT GOVERNANCE INSTITUTE, 2007
(51) 9 8935-4789‑
www.jagi.pe
19
Suficiente introducción…
“Ningún viento es favorable para quien no conoce el puerto al que quiere arribar”
Séneca
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
(51) 9 8935-4789‑
www.jagi.pe
¿Hemos experimentado algo de esto?
Los proyectos de TI se justifican en lenguaje técnico, cuesta entender y justificar sus beneficios
La alta gerencia recibe métricas de TI que no logra entender en términos de negocio
TI se mira como “caja negra”, no se logra determinar el valor estratégico que entrega
Se desarrollan/compran sistemas de información, que no entregan los beneficios esperados
Los contratos con las software factory se encarecen, pero la disponibilidad es baja
Los contratos de servicios TI son administrados por personas que no saben de administración
TI se entera a última hora de que habrá una fusión/cambios estructurales, o que la adopción de estándares, normas y otros le traerá serios cambios radicales
Los usuarios entienden que quien debe proteger la información es TI, no ellos. “Los riesgos sólo vienen de los hackers”
Cada nuevo marco que se quiere implementar tiene su propia terminología
Todo se consolida en Excel
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Aquí falta Gobierno de TI
(51) 9 8935-4789‑
www.jagi.pe
22
Pero…• A fin de poder definir al Gobierno
de TI, debemos iniciar por definir al Gobierno Corporativo:• Conjunto de responsabilidades y
prácticas ejecutadas por la junta directiva y la administración con el fin de proveer dirección estratégica. (ISACA, 2010)
• Pero, ¿de qué manera se provee una correcta dirección estratégica para la organización?• Garantizando que los objetivos
sean alcanzados• Estableciendo que los riesgos son
administrados apropiadamente• Verificando que los recursos de la
empresa son usados de manera responsable
• Dirección y control – hacia donde va TI para apoyar el negocio y asegurar que los objetivos son alcanzables• Responsabilidad
• Rendición de
cuentas• Actividades
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
23
Porque las organizaciones deben …Tratar con la cantidad de información,
que ha crecido significantemente en el tiempo.
Proporcionar orientación adicional en el ámbito de la innovación y las
tecnologías emergentes.
Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los aspectos que llevan a la gestión y el gobierno eficaz
de las TI de la empresa, tales como estructuras organizativas, políticas y
cultura, además de los procesos.
Enlazar y, cuando sea relevante, alinearse con otros marcos y estándares
principales existentes en el mercado.FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
El marco COBIT® 5 es de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector públicoEntra COBIT® 5 en la ecuación• NO es un estándar o una metodología• Es un compendio de mejores prácticas aceptadas internacionalmente• Se enfoca en el control más que en la ejecución • Puede implementarse acorde a las necesidades
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
El marco COBIT® 5Ayuda a crear valor óptimo de TI por
mantener un equilibrio entre la obtención de beneficios y la
optimización de los niveles de riesgo y el uso de los recursos
Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para
toda la empresa, abarcando de principio a fin el negocio y áreas funcionales,
teniendo en cuenta los intereses de las partes interesadas, internas y externas
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
GRC• El ejercicio de la autoridad, control,
gobierno, acuerdo.Gobierno
• Peligro, riesgo de pérdida, daño o destrucción (el acto o arte de la gestión, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propósito, conducta, administración, dirección, control)
Riesgo (Administración)
• El acto de cumplimiento, un rendimiento, en cuanto a su deseo, demanda o propuesta; concesión; presentación
Cumplimiento
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
¿Qué beneficio brindan la información y la tecnología a las empresas?
Mantener la calidad de la información para soportar decisiones de negocio
Generar valor para el negocio desde las inversiones posibilitadas por TI
Lograr metas estratégicas y mejoras al negocio mediante el uso eficaz (excelencia operativa) e innovador de TI
Mantener los riesgos de TI a un nivel aceptable
Optimizar el costo de los servicios entregados por TI (y de la tecnología habilitadora)
(51) 9 8935-4789‑
www.jagi.pe
Así, entender COBIT® 5 permite…
Comprender los niveles riesgos asociados a TI y tomar decisiones informadas para reducir los incidentes de seguridad de la información. Suministrar esta comprensión y la conciencia de los riesgo para mejorar la prevención, detección y recuperación dentro de una organización.
Proporcionar herramientas para que las organizaciones mantengan información de alta calidad para apoyar las decisiones de negocios.
Ayudar a una organización a cumplir con los requisitos reglamentarios y legales o gubernamentales.
Entender el enfoque COBIT de la gobernanza y su relación con otras mejores prácticas de TI.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
Así, implementar COBIT® 5 permite… Lograr los objetivos estratégicos y obtener los
beneficios de negocio a través del uso efectivo e innovador de TI.
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y políticas y ganar ventaja competitiva sobre otras organizaciones.
Reducir la complejidad y aumentar la rentabilidad debido a una mejor y más fácil integración de las normas de seguridad de información, buenas prácticas y / o directrices sectoriales específicas que resultan en la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
Mejora de la integración de seguridad de la información en la empresa, lo que resulta en una mayor satisfacción de los usuarios con las disposiciones de seguridad de la información y los resultados FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Algunas estadísticas• 25% de mejora en la satisfacción de los clientes• 56% de mejora en la gestión de riesgos• 15% de mejora en la cyber seguridad• 14% de protección de la reputación• 28% de reducción de costos de TI
(51) 9 8935-4789‑
www.jagi.pe
32
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Evolución a un marco empresarial
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
2005/720001998
Evo
luci
ón d
el A
lcan
ce
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx
(51) 9 8935-4789‑
www.jagi.pe
33
Cubo de COBIT
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
X COBIT 4.1 COBIT 5
Efectividad Utilidad
Eficiencia Usabilidad
Integridad Libre de error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad
(51) 9 8935-4789‑
www.jagi.pe
34
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Familia de productos COBIT® 5
(51) 9 8935-4789‑
www.jagi.pe
35
Lo que la gente dice conocer de CobiT Entendámonos
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
36
Lo que la gente cree que es CobiT
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Entendámonos
(51) 9 8935-4789‑
www.jagi.pe
37
Lo que la gente ve en CobiT Entendámonos
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
38
Lo que realmente es CobiT
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Entendámonos
(51) 9 8935-4789‑
www.jagi.pe
39
Estructura COBIT
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Procesos de TI
Requerimientos del negocio
Declaraciones de control
Prácticas de control
El control de los
Que satisfacen los
Es facilitado por
Que consideran
(51) 9 8935-4789‑
www.jagi.pe
40
COBIT aporta al Gobierno corporativo…
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Integrando tecnología al Gobierno Corporativo
Definiendo cuál es el rol del directorio en el Gobierno de Tecnología
Separando claramente las actividades de Gestión de las de Gobierno
A comprender que Negocio y Tecnología están fusionadas
Vinculando cada inversión en Tecnología con beneficios, recursos, riesgos, y
transparencia
(51) 9 8935-4789‑
www.jagi.pe
41
COBIT aporta al Gobierno corporativo…
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
¿Estamos haciendo lo correcto?• La pregunta estratégica:
¿Está la inversión:• De acuerdo con nuestra visión• Coherente con nuestros objetivos de negocio• Contribuyendo a nuestros objetivos
estratégicos• Proporcionando valor a un costo económico y
niveles de riesgo aceptable?
¿Estamos obteniendo los beneficios?• La pregunta de valor:
¿Tenemos:• Un conocimiento claro y compartido de los
beneficios esperados• Una responsabilidad clara para realizar los
beneficios• Una métrica relevante• Un proceso eficaz de realización de beneficios?
¿Lo estamos logrando bien?• La pregunta de arquitectura:
¿Está la inversión:• De acuerdo con nuestra arquitectura• Coherente con nuestros principios
arquitectónicos• Contribuyendo a la población de nuestra
arquitectura• En línea con otras iniciativas?
¿Lo estamos haciendo correctamente?• La pregunta de entrega:
¿Tenemos:• Procesos eficaces y disciplinados de dirección,
entrega y gestión de cambios• Recursos técnicos y de negocio competentes y
disponibles para entregar:• Las capacidades necesarias• Los cambios de organización necesarios para
potenciar las capacidades?
COBIT
DECISIONES
(51) 9 8935-4789‑
www.jagi.pe
En resumen…Es un marco de gestión cuyos principios rectores y procesos facilitadores optimizan la información y la inversión en tecnología y el uso de TI para el beneficio de las partes interesadas
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
44
Principios de COBIT® 5Conductores de valor para los Interesados
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
45
1. Satisfacer las necesidades de las partes interesadas
• Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas.• En el Gobierno se trata
de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
1. Satisfacer las necesidades de las partes interesadas
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.
Para cada decisión se puede, y se debe, hacer las siguientes preguntas: • ¿Quién recibe
los beneficios? • ¿Quién asume
el riesgo? • ¿Qué recursos
se necesitan?
(51) 9 8935-4789‑
www.jagi.pe
47
Cascada de metas de COBIT® 5
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
• Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización.
• Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.
desencadenanDesarrolladas utilizando dimensiones del BSC/CMI
¿Resultados?
Los catalizadores incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse un conjunto de metas relevantes en apoyo de las metas relacionadas con la TI
Necesidades de las Partes Interesadas (Socios, Accionistas, etc.) y Metas Empresariales
Mapeo Detallado de las Metas de Empresa y las Metas Relacionadas con las TI
Mapeo Detallado de las Metas Relacionadas con las TI y los Procesos Relacionados con las TI
Metas Corporativas de COBIT 5
Metas relacionadas con las TI
(51) 9 8935-4789‑
www.jagi.pe
Cascada de metas de COBIT® 5Beneficios
• Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad.
• Filtra la base de conocimiento de COBIT® 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento.
Consideraciones• Cada empresa
establece sus objetivos con distintas prioridades, y estas prioridades pueden cambiar con el tiempo.
• La asignación de relevancia se acercará a un continuo de diversos grados de correspondencia.
Personalización• Cada empresa debe
construir su propia cascada de metas, compararla con COBIT y luego refinarla.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
49
2. Cubrir la compañía extremo-a-extremo (de forma integral)
• Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser procesada.
• Dado este alcance corporativo amplio, COBIT® 5 contempla todos los servicios TI internos y externos relevantes, así como los procesos de negocio internos y externos.
• La información es una de las categorías de catalizadores de COBIT.
• El modelo mediante el que COBIT® 5 define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de contexto.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
50• Recursos organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados.
• Recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e información.
Catalizadores de gobierno
• Puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc.
• Es esencial definir bien este alcance del sistema de gobierno.
Alcance de gobierno
• Definen quién está involucrado en el gobierno, cómo se involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema de gobierno.
Roles, actividades y relaciones
Enfoque de gobierno
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
3. Aplicar un marco de referencia único integrado
COBIT® 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones
Corporativo COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI
ISO/IEC 38500, ITIL®, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
Entre otros
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.peFuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
• Un marco general único sirve como una fuente consistente e integrada de guía en un lenguaje común, no-técnico y tecnológicamente agnóstico.
• Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto consistente.
• Integra todo el conocimiento disperso previamente en los diferentes marcos de ISACA.
• Poblar una base de conocimiento COBIT® 5 que contiene todas las guías y contenido producido hasta ahora y que proporcionará una estructura para contenidos futuros adicionales.
• Proporciona una referencia base de buenas prácticas exhaustiva y sólida.
(51) 9 8935-4789‑
www.jagi.pe
4. Habilitar/facilitar (hacer posible) un enfoque holístico
Catalizadores
Factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el gobierno y la gestión de la empresa TI.
Son guiados por la cascada de metas, es
decir, objetivos de alto nivel relacionados con TI definen lo que los
diferentes catalizadores deberían conseguir.
Algunos son también recursos corporativos que también necesitan ser gestionados y gobernados:• La información, que
necesita ser gestionada como un recurso.
• Servicios, infraestructura y aplicaciones.
• Personas, habilidades y competencias.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Gobierno y Gestión Sistémicos Mediante Catalizadores Interconectados
Cada catalizador necesita del resultado de otros catalizadores para ser completamente efectivo, por ejemplo, los procesos necesitaninformación, las estructuras organizativas necesitan habilidades y comportamiento.
Cada catalizador proporciona una salida para beneficio de otros catalizadores, por ejemplo, los procesos proporcionan información,habilidades y el comportamiento hace los procesos eficientes.
Para una buen toma de decisiones
(51) 9 8935-4789‑
www.jagi.pe
Breve descripción de los catalizadoresPrincipios, Políticas y
Marcos
• Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
Procesos• Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.
Estructuras Organizativas
• Constituyen las entidades claves para la toma de decisiones en una organización.
Cultura, Ética y Comportamiento
• De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
Breve descripción de los catalizadores
Información
• Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización.
• La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.
Servicios, Infraestructura y Aplicaciones
• Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
Personas, Habilidades y
Competencias
• Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Dimensiones (comunes) de los Catalizadores de COBIT® 5Conjunto de dimensiones comunes (genéricos)
Proporcionan una manera común, simple y estructurada de tratar con los catalizadores
Permiten a una entidad manejar sus complejas interacciones
Facilitan resultados exitosos de los catalizadores
(51) 9 8935-4789‑
www.jagi.pe
58
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Dimensiones comunes
(51) 9 8935-4789‑
www.jagi.pe
59
Buenas prácticasBuenas prácticas significa que se está de acuerdo, en general, en que la aplicación de estas habilidades, herramientas y técnicas puede aumentar las posibilidades de éxito de una amplia variedad de proyectos.
Buenas prácticas no significa que el conocimiento descrito deba aplicarse siempre de la misma manera en todos los proyectos; la organización y/o el equipo de dirección del proyecto son responsables de establecer lo que es apropiado para un proyecto determinado.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
60
5. Separar el Gobierno de la Gestión
Gobierno• Asegura que se evalúan las
necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
• En la mayoría de las empresas, el gobierno es responsabilidad del consejo de administración bajo la dirección de su presidente.
Gestión• La gestión planifica, construye,
ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
• En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo la dirección del CEO.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
La posición de COBIT® 5 sobre esta fundamental distinción entre gobierno y
gestión es:
(51) 9 8935-4789‑
www.jagi.pe
61
Modelo de Referencia de Procesos de COBIT® 5
Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestiónqueden cubiertas.
EDM
PBRM
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
37 procesos de gobierno y gestión
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Habiltiadores/Catalizadores COBIT® 5
(51) 9 8935-4789‑
www.jagi.pe
Categorías de catalizadores
Son el vehículo para traducir el comportamiento deseado en guías prácticas para la gestión del día a día.
Principios, políticas y marcos de referencia
Describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI.
Procesos
Son las entidades de toma de decisiones clave en una organización.
Estructuras organizativas
De los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión.
Cultura, ética y comportamiento
Impregna toda la organización e incluye toda la información producida y utilizada por la empresa. A nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma.
Información
Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información.
Servicios, infraestructuras y
aplicacionesEstán relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas.
Las personas, habilidades y competencias
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
(51) 9 8935-4789‑
www.jagi.pe
66
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Dimensiones comunesProporcionan una manera común, simple y estructurada de tratar con los catalizadores
Las empresas esperan resultados positivos de la aplicación y uso de los catalizadores
(51) 9 8935-4789‑
www.jagi.pe
67
Partes interesadas
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Participantes que juegan un papelactivo y/o tienen un interés en el mismo.
(51) 9 8935-4789‑
www.jagi.pe
68
Partes interesadas
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Todas las cuestiones mencionadas se pueden relacionar con las metas corporativas y servir como entradasa la cascada de metas, lo que permite que puedan ser resueltas con efectividad.
Las necesidades de las partes interesadas se traducen en metas para la empresa, las cuales se traducen, a su vez, enmetas TI para ésta.
(51) 9 8935-4789‑
www.jagi.pe
69
Se pueden definir en términos de:Las metas• Resultados esperados del catalizador• Aplicación u operativa del propio catalizador
Calidad IntrínsecaCategoría:• Medida en la que los catalizadores trabajan de forma precisa,
objetiva y proporcionan unos resultados precisos, objetivos y de confianza.
Calidad ContextualCategoría:• Medida en la que los catalizadores y sus resultados, en el
contexto en el que operan, se ajustan a un propósito (los resultados deberían ser relevantes, completos, estar actualizados, ser apropiados, consistentes, comprensibles y fáciles de usar).
Accesibilidad y SeguridadCategoría:• Medida en la que los catalizadores y sus resultados son
accesibles y están protegidos:• Los catalizadores están disponibles cuando, y si, se necesitan.• Sus resultados están protegidos, es decir, el acceso está
restringido a quiénes están autorizados y los necesitan.Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
70
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Algunas partes interesadas definen y establecen las políticas mientras que las otras tienen que alinearse y cumplir con ellas.
Los principios, políticas y marcos de referencia son los instrumentos para comunicar las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los define el Consejo y el comité ejecutivo de dirección.Los principios han de ser:• Limitados en número• Redactados en un lenguaje sencillo, expresando de la forma
más clara posible, los valores fundamentales de la empresa.
(51) 9 8935-4789‑
www.jagi.pe
71
Las políticas tienen un ciclo de vida que ha de apoyar la consecución de las metas definidas. Los marcos de referencias son clave porque proporcionan la estructura para definir una directriz coherente
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
• Las buenas prácticas requieren que las políticas formen parte del marco de gobierno y de gestión general, proporcionando una estructura (jerárquica) a la que deberían ceñirse todas las políticas y actuando de enlace con los principios subyacentes.
• Las políticas deberían estar alineadas con el umbral de riesgo de la empresa.
• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos regulares.
(51) 9 8935-4789‑
www.jagi.pe
72
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las partes interesadas y sus niveles de responsabilidad están documentadas en las matrices RACI.
Las métricas se pueden definir como ‘una entidad cuantificable que permite medir la consecución de las metas de un proceso. Las métricas deberían ser – específicas, medibles, practicables (permitan tomar decisiones), relevantes y oportunas– (SMART)
(51) 9 8935-4789‑
www.jagi.pe
73
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Modelo RACI COBIT® 5
(51) 9 8935-4789‑
www.jagi.pe
74
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Un estructura organizativa tiene un ciclo de vida. Es creada, existe y es ajustada y, finalmente, puede ser disuelta. Durante su creación, se debe definir un mandato –una razón y un propósito para su existencia.
(51) 9 8935-4789‑
www.jagi.pe
75
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Se pueden distinguir varias buenas prácticas para las estructuras organizativas como:
Principios operativos
Las modalidades prácticas respecto a cómo la estructura operará, como frecuencia de reuniones, documentación y reglas de mantenimiento.
Composición Las estructuras tienen miembros, los cuales son partes interesadas internas o externas.
Ámbito de control
Los límites de los derechos de decisión de la estructura organizativa.
Niveles de autorización/derechos de decisión
Las decisiones que la estructura está autorizada a tomar.
Delegación de autoridad
La estructura puede delegar (un subconjunto de) sus derechos de decisión a otras estructuras dependientes que le reportan.Procedimiento
de escaladoLa ruta de escalado para una estructura organizativa describe las acciones requeridas en caso de problemas en la toma de decisiones.
(51) 9 8935-4789‑
www.jagi.pe
Conjunto de conductas individuales y colectivas dentro de una empresa
Ética organizativa, éticas individuales, comportamientos individuales
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Una empresa puede identificar cambios necesarios y trabajar orientada hacia su implementación.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El alcance del catalizador información se refiere principalmente a la fase de “información” dentro del ciclo de la información, pero también se cubren los aspectos de datos y conocimientos en COBIT® 5.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
• Las inversiones en información y tecnologías relacionadas se basan en los casos de negocio, que incluyen análisis costo-beneficio.
• El costo y beneficio no se refiere sólo a factores tangibles y medibles, sino que también tiene en cuenta factores intangibles tales como la ventaja competitiva, la satisfacción del cliente y la incertidumbre de la tecnología.
• Sólo cuando se aplica o se utiliza el recurso de la información es cuando una empresa genera beneficios de la misma, por lo que el valor de la información está determinado únicamente a través de su uso (internamente o mediante su venta), ya que la información no tiene valor intrínseco.
• Es sólo cuando se pone la información en acción cuando se puede generar ese valor.
(51) 9 8935-4789‑
www.jagi.pe
79
El grado en que los valores de los datos están en conformidad con los valores reales o verdaderos.
Calidad intrínseca
• Precisión El grado en que la información es correcta y confiable
• Objetividad El grado en que la información es objetiva, sin prejuicios e imparcial
• Credibilidad El grado en que la información es considerada como verdadera y creíble
• Reputación El grado en que la información está altamente considerada en términos de su origen o contenido
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las metas para la información están divididas en tres sub-dimensiones de calidad:
(51) 9 8935-4789‑
www.jagi.pe
80
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El grado en que la información es aplicable a la tarea del usuario de la información y es presentada en una manera clara e inteligible, reconociendo que la calidad de la información depende del contexto de su uso.
Calidad contextual y
de representativ
idad• Relevancia: El grado en que la información es aplicable y útil para la
tarea a realizar• Completitud: El grado en que la información no tiene carencias y es
de la suficiente profundidad y amplitud para la tarea a realizar• Vigencia: El grado en que la información está lo suficientemente
actualizada para la tarea a realizar• La cantidad apropiada de información: El grado en que el volumen
de información es adecuado para la tarea a realizar• Representación concisa: El grado en que la información se
representa de forma compacta• Representación consistente: El grado en que la información se
presenta en el mismo formato• Interpretabilidad: El grado en que la información está expresada en
los idiomas, símbolos y unidades apropiados, con definiciones claras• Comprensibilidad: El grado en que la información sea fácil de
comprender• Facilidad de manipulación: El grado en que la información es fácil de
manipular y de aplicar a diferentes tareas
Las metas para la información están divididas en tres sub-dimensiones de calidad:
(51) 9 8935-4789‑
www.jagi.pe
81
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El grado en que la información está disponible o que puede obtenerse.
Accesibilidad y
seguridad:• Disponibilidad/ oportunidad: El grado en que la información
está disponible cuando se requiera, o que es rápida y fácilmente recuperable
• Acceso restringido: El grado en que el acceso a la información se restringe adecuadamente a las partes autorizadas
Las metas para la información están divididas en tres sub-dimensiones de calidad:
(51) 9 8935-4789‑
www.jagi.pe
82
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las metas de la capacidad de nivel de servicio se expresan en términos de servicio — aplicaciones,infraestructura, tecnología — y de niveles de servicio, teniendo en cuenta que los servicios y niveles de servicio son más económicos para la empresa.
Las capacidades de servicio en el futuro o en proyecto se describen normalmente mediante una arquitectura objetivo. Dicha arquitectura cubre los bloques constituyentes, tales como futuras aplicaciones y el modelo de infraestructura objetivo y también describe los vínculos y las relaciones entre estos bloques de construcción.
(51) 9 8935-4789‑
www.jagi.pe
83
Principios de arquitectura
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
• Los componentes comunes de la arquitectura deberían ser utilizados en el diseño e implementación de soluciones como parte de las arquitecturas objetivo o de transición.
Reutilización
• Las soluciones deberían ser adquiridas a menos que exista una razón para aprobar su desarrollo interno.
Comprar frente a construir
• La arquitectura de la empresa debería ser diseñada y mantenida para ser tan simple como sea posible sin dejar de cumplir con los requisitos de la empresa.
Simplicidad
• La arquitectura de la empresa debería incorporar agilidad para satisfacer las cambiantes necesidades de negocio de una manera eficaz y eficiente.
Agilidad
• La arquitectura de la empresa debería aprovechar los estándares abiertos de la industria.
Apertura
(51) 9 8935-4789‑
www.jagi.pe
84
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
85
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
(51) 9 8935-4789‑
www.jagi.pe
87
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Governance of Enterprise IT (GEIT)• Actualmente la GEIT (Gobierno
corporativo de TI) se basa en 3 pilares:• Garantizar la realización de
beneficios• Optimizar los recursos• Optimizar Riesgos
• Esta visión integral de las iniciativas de TI asegura que todos los proyectos de TI aprobados traerá un poco de valor a la empresa, a un costo aceptable y bajo riesgos comprendidos y aceptados con un ROI conocido (Retorno sobre la Inversión) o un VOI estimado (Valor sobre la inversión).
• Las iniciativas GEIT deben tomar una visión equilibrada y holísticade las cinco áreas de interés de GEIT: • Alineación estratégica• El riesgo de la gestión• La entrega de valor• La gestión de recursos• La medición del
desempeño
(51) 9 8935-4789‑
www.jagi.pe
88
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Algunas reflexiones…• Podemos obtener un valor
óptimo aprovechando COBIT como marco para construir sobre las iniciativas GEIT solo si es adoptado y adaptado de manera eficaz para ajustarse al entorno único de cada empresa.
• Cada enfoque de implementación también necesitará resolver desafíos específicos, incluyendo la gestión de cambios a la cultura y el comportamiento.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Usualmente padecemos de… (pain points)
(51) 9 8935-4789‑
www.jagi.pe
Veamos…
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Así, esta parte tratará el tema de implementación desde un punto de vista de alto nivel
ISACA proporciona amplias y prácticas guías de implementación en su publicación COBIT 5 Implementación, que está basada en un ciclo de vida de mejora continua.
Pero… no está pensada con un enfoque prescriptivo ni como una solución completa, sino más bien como una guía para evitar los obstáculos más comunes, aprovechar las mejores prácticas y ayudar en la creación de resultados satisfactorios.
(51) 9 8935-4789‑
www.jagi.pe
92
Mapa de implementación de Gobierno de TI en las organizaciones
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Entonces… debemos considerar el contexto empresarial
Contexto empresarial
El gobierno y la gestión de la TI empresarial no
suceden de manera aislada.
Cada empresa necesita diseñar su
propio plan de implantación,
atendiendo a los factores específicos del entorno interno
y externo de la empresa
Recordemos, el enfoque óptimo
para el gobierno y gestión de la TI
empresarial será distinto para cada empresa, siendo
necesario entender y considerar el contexto para
adoptar y adaptar COBIT de modo efectivo en la
implementación de los catalizadores de gobierno y gestión de TI empresarial.
(51) 9 8935-4789‑
www.jagi.pe
95
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Y… debemos crear el entorno apropiadoLa mayoría de las iniciativas relacionadas con TI fracasan a
menudo por una dirección, soporte y supervisión inadecuados por las distintas partes interesadas necesarias.
El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras sean adoptadas y mantenidas.
Los requerimientos basados en aspectos sensibles y factores actuales deberían ser identificados por la dirección como áreas que tienen que ser consideradas.
Desde el inicio se debe solicitar el compromiso e interiorización de las partes interesadas más relevantes.
Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser claramente expresados en términos de negocio y resumidos en un caso de negocio.
Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos adecuados para apoyar el programa.
Los roles y responsabilidades esenciales del programa deberían ser definidos y asignados.
(51) 9 8935-4789‑
www.jagi.pe
96
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Además… debemos reconocer los puntos débiles y sus eventos desencadenantes… aquí algunos solamente
• Frustración a nivel de negocio con iniciativas fallidas, incrementando los costos de TI y la percepción de bajo valor de negocio.
• Incidentes significativos relativos al riesgo de TI, como pérdida de datos y fallos en proyectos.
• Problemas en la externalización de la entrega del servicio, como por ejemplo el fallo sistemático al mantener los niveles de servicio acordados.
• Incapacidad de cumplir con requerimientos regulatorios o contractuales.
• Limitación por TI de las capacidades de innovación de la compañía y la agilidad de negocio.
• Hallazgos periódicos de auditoría en relación al bajo rendimiento de TI o notificación de problemas de calidad de servicio de TI.
• Gastos de TI ocultos o malintencionados.• Duplicación o superposición entre iniciativas,
o despilfarro de recursos, como la cancelación prematura de un proyecto.
• Insuficientes recursos de TI, personal con habilidades inadecuadas, agotado o insatisfecho.
• Fallos en los cambios de TI a la hora de alcanzar las necesidades de negocio y entregados tarde o con sobre costo.
(51) 9 8935-4789‑
www.jagi.pe
97
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Y… facilitar el cambio… y no negar o minimizar lo evidente
• Miembros del consejo, altos directivos y ejecutivos de alto nivel que son reticentes en implicarse con las TI o una ausencia de patrocinadores de las TI comprometidos y satisfechos.
• Modelos operativos de TI complejos.• Fusiones, adquisiciones o desinversiones.• Un movimiento en el mercado, la
economía o en una posición competitiva.• Un cambio en el modelo operativo de
negocio o en el modelo de dotación de recursos.
• Nuevos requerimientos regulatorios y legales.
• Un cambio tecnológico significativo o un nuevo paradigma.
• Un proyecto de ámbito corporativo.• Un nuevo CEO, CFO, CIO, etc.• Auditorías externas o revisiones de
consultores.• Una nueva estrategia o prioridad de
negocio.
•…
(51) 9 8935-4789‑
www.jagi.pe
98
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Un enfoque de ciclo de vida
A lo largo del tiempo, el ciclo de vida debería seguirse de modo iterativo, al tiempo que se construye un modelo sostenible de gobierno y gestión de TI corporativa.
GEIT se enfoca en la Mejora continua, Gestión del cambio (cambio organizacional - comportamientos y cultura), y en la Gestión de la cartera y del portafolio, para asegurarse de que TI no está cegado en un mundo aparte, sino integrado de forma que el negocio puede confiar en él como un aliado importante y uno de los facilitadores del éxito de las organizaciones.
(51) 9 8935-4789‑
www.jagi.pe
99
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
ResumamosFase
1• Identifica los puntos débiles actuales y desencadena y crea
el ánimo de cambio a un nivel de dirección ejecutiva.
Fase 2
• Define el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de revisión de capacidad.
Fase 3
• Establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras actividades de largo plazo.
Fase 4
• Planifica soluciones prácticas y desarrolla un plan de cambios para la implementación.
Fase 5
• Las soluciones propuestas son implementadas. Se pueden definir las mediciones y establecer la supervisión empleando las metas y métricas de COBIT.
Fase 6
• Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión de la consecución de los beneficios esperados.
Fase 7
• Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial.
(51) 9 8935-4789‑
www.jagi.pe
100
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Caso de negocio
(51) 9 8935-4789‑
www.jagi.pe
101
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El caso de negocio no es un documento estático puntual, sino una herramienta dinámica y operativa que debe ser continuamente actualizada para reflejar las previsiones actuales, de manera que se pueda mantener una perspectiva de la viabilidad del programa.
(51) 9 8935-4789‑
www.jagi.pe
102
Bueno, el caso de negocio debería incluir
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Los objetivos de beneficio de negocio, su alineación con la estrategia de negocio y los propietarios asociados del beneficio (quién dentro del negocio será responsable de asegurarlos).
Los cambios de negocio requeridos para crear el valor previsto. Esto podría basarse en comprobaciones y análisis de deficiencias de capacidad y deberían indicar claramente qué está dentro del ámbito y qué está fuera de él.
Las inversiones precisas para realizar los cambios de gobierno y gestión de TI corporativa (basado en estimaciones de proyectos necesarios).
Los costos ordinarios de TI y de negocio.
Los beneficios esperados de operar en el nuevo modo.
El riesgo inherente en los puntos anteriores, incluyendo cualquier restricción o dependencia (basado en los desafíos y factores de éxito).
Roles, responsabilidades y obligaciones relativas a la iniciativa.
Cómo la inversión y la creación de valor serán supervisadas a través del ciclo de vida económico y cómo se usarán las métricas (basado en metas y métricas).
(51) 9 8935-4789‑
www.jagi.pe
103
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Un ejemploFortalezas y debilidadesAm
enaz
as y
O
port
unid
ades
ANÁLISISEXTERNO
Factores regulatoriosEconómicosTecnológicosMarco Presupuestario. . .
¿dónde estamos?
VISIÓNMISIÓN
OBJETIVOSESTRATÉGICOS
(¿a dónde queremos
llegar?
METAS
INDICADORES
ÁREAS CLAVES DEDESEMPEÑO
PROGRAMAS, PLANESTÁCTICOS Y OPERATIVOS,
PROYECTOS
DIAGNÓSTICO INTERNO
Unidades estratégicasEstructuraProcesosFuncionesRecursos. . .
¿quiénes somos y por qué estamos aquí?
¿dónde estamos?
¿cómo lo hacemos y cómo sabemos si hemos llegado? (seguimiento, re-planificación, procesos, mejora continua, seguridad…)
JUNTO A TU EMPRESA APOYANDO LAS GRANDES INNOVACIONES
¿cómo mantenemos el impulso?
(51) 9 8935-4789‑
www.jagi.pe
104
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
105
Trabajemos un poco…
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
Tell me and I will forgetShow me and I will rememberInvolve me and I will understand
-Lao Tse
La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
(51) 9 8935-4789‑
www.jagi.pe
Veamos…• COBIT® 5 incluye un modelo de capacidad de
procesos, basado en la norma ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos.• Un modelo de procesos define un catálogo, una
colección estructurada, buenas prácticas que describen las características de un proceso efectivo.
• La ISO/IEC 15504 proporciona los principios requeridos para realizar una evaluación de la implantación de dicho modelo de procesos en una organización.
• Software Process Improvement Capability Determination (SPICE) significa «Determinación de la Capacidad de Mejora del Proceso de Software»
Fuente: ISO/IEC 15504
(51) 9 8935-4789‑
www.jagi.pe
ISO/IEC 15504Esta evaluación es muy exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, y permite, entre otras cosas, lo siguiente:
Establecer un punto de referencia para la evaluación de la capacidad.
Realizar revisiones sobre “el estado actual (as-is)” y “el estado objetivo (to-be)” para asistir al órgano de Gobierno y de Gestión de la empresa en la toma de decisiones de inversiones para la mejora de procesos.
Realizar un análisis de carencias e información sobre la planificación de mejoras para apoyar la definición de proyectos de mejora justificables.
Proporcionar al órgano de Gobierno y de Gestión de la empresa los porcentajes de evaluación para medir y monitorizar la capacidad actual.
La evaluación de las prácticas del proceso revelará qué prácticas faltan o están fallando, habilitando la implementación y/o la mejora de esas prácticas y permitiendo alcanzar todos los objetivos de los procesos.
Fuente: ISO/IEC 15504
(51) 9 8935-4789‑
www.jagi.pe
Términos clave• La calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza (CMMI). • Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos resultados pero utilizando estrategias diferentes.
Calidad
• Conjunto de prácticas, preestablecidas por el modelo, que se deben garantizar por la Organización en su conjunto.
• Es decir, o se cumplen todas o no se tiene el nivel de madurez. • En términos del modelo son las áreas de proceso que se consideran en cada
nivel de madurez y que van evolucionando.
Nivel de madurez
• Es un análisis individual y no de conjunto. • Por cada área de proceso se evoluciona de generar los artefactos o
resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo definido como proceso estándar.
• La idea es que mejora la calidad de los productos propios del proceso y en su conjunto contribuyen a mejorar la calidad del producto o servicio que se desarrolla.
Nivel de capacidad
Fuente: http://gesegtic.blogspot.pe/2014/09/analisis-de-madurez-y-capacidad-de.html
(51) 9 8935-4789‑
www.jagi.pe
110
Nivel 0 –Inmadura
Nivel 1 –Básica
Nivel 2 –Gestionada
Nivel 3 – Establecida
Nivel 4 –Predecible
Nivel 5 –Optimizado
La organización mejora en forma continua los procesos para cumplir los objetivos de negocio
La organización gestiona de forma cuantitativa los procesos
La organización utiliza procesos definidos basados en estándares
La organización gestiona los procesos y los productos resultantes se establecen, controlan y mantienen
La organización implementa y alcanza los objetivos de los procesos
La organización no tiene una implementación efectiva de procesos
PA 5.1 Innovación del proceso
PA 5.2 Optimización del proceso
PA 4.1 Medición del proceso
PA 4.2 Control del proceso
PA 3.1 Definición del proceso
PA 3.2 Implementación del procesoPA 2.1 Gestión
del rendimiento
PA 2.2 Gestión del producto de trabajo
PA 1.1 Rendimiento del proceso
6 niveles de capacidad
9 atributos de proceso
Niveles de capacidad, atributos de proceso de ISO/IEC 15504
(51) 9 8935-4789‑
www.jagi.pe
111
Realización de la evaluación
ISO/IEC 15504-2
COBIT® 5
Process Assessment
Model (PAM): Using COBIT® 5
• Evidencias de Realización del Proceso (Dimensión del proceso) –outcomes.
• Evidencias de la Capacidad del Proceso (Dimensión de la capacidad) –prácticas genéricas/atributos.
(51) 9 8935-4789‑
www.jagi.pe
112
Fuente ISO/IEC 15504-2
Elementos de la norma ISO/IEC 15504-2
La norma describe los requisitos mínimos para realizar una evaluación asegurando un nivel de consistencia y capacidad de repetición.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
… ISO/IEC 15504
Debe tenerse en
cuenta que
Alcanzar el nivel 1 requiere que el atributo de rendimiento sea
alcanzado ampliamente, lo que significa que el proceso se ejecuta
con éxito y la organización obtiene los resultados esperados.
El proceso debe estar descrito en términos de su
propósito y resultados.
Si el resultado requerido de un proceso no se
alcanza de manera continuada, el
proceso no alcanza su objetivo y necesita ser mejorado.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Niveles de capacidadEl proceso de evaluación de COBIT® 5 (PAM) está basado en evidencia para permitir una evaluación confiable, coherente y repetible en el ámbito del Gobierno y la Gestión de las TI de la Empresa.
El PAM de COBIT® 5 se compone de un conjunto de indicadores de desempeño y capacidad del proceso. Los indicadores se utilizan como base para recopilar pruebas objetivas que permitan a un evaluador asignar calificaciones.
(51) 9 8935-4789‑
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Escala de evaluación• N - No alcanzado (0 - 15%)• Hay muy poca o ninguna evidencia de que se alcanza el atributo
definido en el proceso de evaluación.• P - Parcialmente alcanzado (>15% - 50%)• Hay alguna evidencia de aproximación a, y algún logro del atributo
definido en el proceso evaluado.• Algunos aspectos del logro del atributo pueden ser impredecibles.
• L – Ampliamente alcanzado (>50% - 85%)• Hay evidencias de un enfoque sistemático y de un logro significativo
del atributo definido en el proceso evaluado. • Pueden encontrarse algunas debilidades relacionadas con el atributo
en el proceso evaluado.• F - Completamente alcanzado (>85%-100%)• Se ha conseguido totalmente el atributo definido.• No existen debilidades significativas relacionadas con el atributo en el
proceso evaluado.
(51) 9 8935-4789‑
www.jagi.pe
Proceso de evaluación1. Initiate an assessment
(assessment sponsor)
2. Select assessor and assessment team
3. Plan the assessment, including
processes and organizational unit to
be assessed (lead assessor and assessment team)
4. Pre-assessment briefing 5. Data collection 6. Data validation
7. Process rating 8. Reporting the assessment result
Fuente: https://en.wikipedia.org/wiki/ISO/IEC_15504
(51) 9 8935-4789‑
www.jagi.pe
118
Un ejemplo
Fuente: RODRIGO MUÑOZ SERNA, MARIO ALBERTO MARTINEZ ARIAS.“Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK,
para la implementación en la industria Editorial Colombiana, apoyando el proceso de transformación digital”. MAESTRÍA EN GESTIÓN INFORMÁTICA Y TELECOMUNICACIONES. SANTIAGO DE CALI. 2012
(51) 9 8935-4789‑
www.jagi.pe
119
Trabajemos un poco…
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
Tell me and I will forgetShow me and I will rememberInvolve me and I will understand
-Lao Tse
La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx
(51) 9 8935-4789‑
www.jagi.pe
Mg. Ing. Jack Daniel Cáceres Meza, PMP
¿Dudas, Preguntas, Consultas, Aportes?
(51) 9 8935-4789‑
www.jagi.pe
Mg. Ing. Jack Daniel Cáceres Meza, PMP
¿Dudas, Preguntas, Consultas, Aportes?Repasemos
(51) 9 8935-4789‑
www.jagi.pe
• A. Gestión de Operaciones de TI• B. Asegurar la Optimización de Recursos• C. Creación de un enfoque holístico• D. Gestión de la Información
¿Qué principio es clave para el buen gobierno y gestión de la empresa?
• A. Estructuras organizativas• B. Procesos• C. Las personas, habilidades y competencias• D. Principios, políticas y marcos
¿Qué habilitador describe las entidades clave en la toma de decisiones en una organización?
• A. Manejo de la Continuidad• B. Gestionar las operaciones• C. Gestionar los Riesgos• D. Gestionar la disponibilidad y la capacidad
¿Qué proceso se incluirá en el dominio del proceso construir, adquirir y poner en práctica de la Gestión Corporativa de TI?
• A. Gráficos RACI• B. Aspectos Culturales• C. Capacidades de servicio• D. Objetivos comerciales
¿Qué producen los procesos como resultado de su funcionamiento?
(51) 9 8935-4789‑
www.jagi.pe
CONTENIDO• Introducción y características de COBIT® 5• Motivadores• Beneficios• Evolución
• Principios de COBIT ® 5• Introducción de los cinco principios• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5• Modelo de valoración de la capacidad de los procesos (PAM)• Cómo estudiar y crear un plan de estudio• Tips para rendir el examen• Examen de simulación
(51) 9 8935-4789‑
www.jagi.pe
Plan de estudio y tips• Entender, organizar la información recibida• Entienda que la estructura (orden) presentada es un compendio
de mejores prácticas en la industria• Céntrese en conocimientos recibidos –no en la experiencia
personal (esto es fatal estadísticamente)• Entienda los términos y sus -sutiles- diferencias• No olvide las equivalencias de las palabras• Identifique las palabras clave que son útiles para usted• Identifique qué es primero, o qué no tiene relación (distractores)
• Las preguntas no siempre están circunscritas a módulos específicos; algunas respuestas pueden requerir entendimiento de interrelaciones, qué o en dónde se hace qué, procesos y sub-procesos, y funciones involucradas en COBIT® 5• No asuma lo que no está escrito
(51) 9 8935-4789‑
www.jagi.pe
Plan de estudio y tips• Las preguntas son 40 –se aprueba con un mínimo
de 65% respuestas correctas• Lea la pregunta, identifique en qué módulo se centra o
con cuáles se relaciona y trate de encontrar una respuesta –SIN MIRAR LAS ALTERNATIVAS
• Busque los distractores en la respuesta• Busque LA MEJOR respuesta SEGÚN COBIT® 5• No necesariamente -ni siempre- la respuesta más
simple es la correcta –ni tampoco la más desarrollada analice, más palabras no siempre implica más claridad
• Busque relación entre palabras clave en la pregunta con la respuesta
• Identifique las combinaciones que son incorrectas
(51) 9 8935-4789‑
www.jagi.pe
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Gracias por su atención
¿Dudas, Preguntas, Consultas, Aportes?
Cualquier esfuerzo resulta ligero con el hábito.
Tito Livio
