Fundamentos de COBIT - nhbarcelona.com · Gobierno TI vs Gestión TI •Gobierno TI: ... • CobiT...

Fundamentos de COBIT

Objetivos de Control para Informática y otras Tecnologías Relacionadas

– CobiT –

Relevancia de la Inversión TI

Inversión Mundial en TI

Fuente: Gartner (Septiembre 2009)


¿Funciona TI?

• “¡Ha sido la decepción de mayor duración en la empresa de los últimos 30 años!”Jack Welch, Presidente de General Electric – Foro Económico Mundial, Davos, 1997

• “La tecnología puede ayudar a cumplir un sueño visionario, pero a menudo su uso se parece más al de una pesadilla aleccionadora.”Vesa Vaino, CEO de Merita Bank – SIBOS, Helsinki, 1998

• “Estoy escribiendo un libro sobre la historia de la tecnología de la información ... ¡a fin de comprender mejor por qué es un desastre!”Philippe Corniou, CIO, Renault – IT Governance Forum, París, 2001

• “Las inversiones en TI no tienen un impacto en la productividad en 53 de los 59 sectores económicos”Informe de McKinsey 2001

• “50% de las iniciativas de TI no cumplen con los objetivos de negocio”.Gartner Group

Nueva Infraestructura TI


Evolución de los Servicios TI

Proveedor de Servicios Socio Estratégico

TI trabaja en funciónde la eficiencia → TI se dedica al crecimiento

de la actividad empresarial

Presupuesto motivado por comparación con el mercado → Presupuesto motivado por la estrategia de la

empresa

TI puede separarse de la actividad empresarial → TI no puede separarse de la actividad

empresarial

TI se percibe como un gasto a controlar → TI se percibe como una

inversión a gestionar

Gestores de TI son expertos técnicos → Gestores de TI son colaboradores en la

solución de problemas empresariales

Áreas de Gobierno TI

Gestión de Recursos TI

Entrega de Valor TI

Motivación económica de los accionistas

Medición del rendimiento

Gestión de Riesgos

Convergencia Estratégica

de TI


Retos de TI (i)

• Mantener la Operación de los servicios TILas organizaciones actualmente dependen fuertemente de TI y cuando un servicio se ve afectado técnicamente suele incidir de manera importante en la actividad de la empresa.

• Adición de ValorDada la gran inversión que representa y su importancia estratégica, la organización debe asegurar que TI agrega valor al servicio y/o producto ofrecido.

• Costes elevadosA pesar de conseguir bajos costes en HW para TI, el gasto total se incrementa y la dirección lo considera normalmente descontrolado.

• Dominar/Contener la complejidadEl rápido desarrollo técnico y la cantidad de fabricantes generan un gran número de soluciones, incluyendo aquellas relacionadas con proveedores externos.

Retos de TI (ii)

• Convergencia TI – Empresa Es indispensable garantizar que TI satisface las necesidades

empresariales.

• Conformidad LegalExisten leyes que regulan las operaciones comerciales y que inciden

sobre el desarrollo de las actividades de TI.

• SeguridadEl hecho de ofrecer información con alta disponibilidad utilizando

tecnología implica la aparición de riesgos de seguridad


Gobierno de TI

El gobierno de TI es responsabilidad de los ejecutivos y el consejo directivo y consiste en el liderazgo, estructuras organizativas y procesos que garanticen que la función de TI sostenga y amplíe la estrategia y los objetivos de la organización (ITGI, 2005).

El gobierno de TI consiste en especificar los derechos de decisión y el marco de la rendición de cuentas para fomentar cierto comportamiento definido en el uso de las TI (Weill y Woodham, 2002).

El gobierno de TI es la capacidad de organización que ejerce el consejo directivo, la gerencia ejecutiva y la administración de TI para controlar la formulación y aplicación de la estrategia y, así, garantizar la fusión de la empresa con TI (Van Grembergen, 2000).

Definición:

Gobierno TI vs Gestión TI

•Gobierno TI: Crear una estructura con la que se pueda gestionar efectivamente.

•Gestión TI: Tomar decisiones operativas.


Gobierno de TI: Principios

• Dirección y Control• Encargado de Ejecución• Responsable• Actividades

Gobierno de TI: Interesados

Cualquier individuo que posea una responsabilidad en TI o espera algo de la función de TI de la empresa es un interesado (stakeholder) de la iniciativa de Gobierno de TI.


Gobierno de TI: Alcance

Gobierno de TI: Beneficios

Beneficios del Gobierno de TI:

• Confianza de la Alta Gerencia

• Capacidad de Respuesta de TI frente a la Actividad Comercial

• Incremento del Retorno de Inversión

• Servicios más Confiables

• Mayor Transparencia


Gobierno de TI: Esquema

Características de un Esquema de Control:

• Centrado en la Actividad Comercial

• Orientado a Procesos

• Cuenta con Aceptación General

• Utiliza un Lenguaje Común

• Facilita la Conformidad Legal

CobiT: Definición (i)

• CobiT es un marco de trabajo para la industria que describe un conjunto de métodos para la gestión, control y aseguramiento de TI, organizados en un esquema lógico compuesto por 34 procesos TI.

• Conceptos Clave:– Metas Corporativas/Metas TI – Criterios de Información– Procesos TI– Recursos TI


CobiT: Definición (ii)

• El título corresponde a las siglas en idioma inglés “Control OBjectives for Information and related Technology” (Objetivos de Control para Información y Tecnologías relacionadas).

• Se centra en el “qué” y no en el “cómo”• Constituye un esquema de gobierno y control así como un

repositorio de conocimientos para los procesos TI y su gestión.

• Se trata mas bien de una herramienta práctica de controlque de un “estándar definitivo”.

CobiT: Misión

• Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento

• ISACA: Information System Audit and Control Association.


CobiT: Evolución

1995 1998 2000 2005/8 2012

CobiT: Premisa

El esquema CobiT se basa sobre la premisa de que TI debe entregar la información requerida por la empresa para alcanzar sus objetivos.

CobiT ofrece estructura y directrices para la implementación de Gobierno de TI


CobiT: Principio del Esquema

Conectar las expectativas y las responsabilidades de la gestión de TI con el objetivo de facilitar su Gobierno

CobiT: Componentes

• La organización depende de información y datos confiables y oportunos.

• CobiT ofrece un esquema integral para la entrega de valor TI que toma en cuenta la gestión de riesgo y control sobre datos e información.


CobiT: Componentes

• Dominios• Procesos• Actividades

• Aplicaciones• Infraestructura• Información (datos)• Personas

• Requerimientos de Calidad• Requerimientos Fiduciarios• Requerimientos Seguridad

Procesos TI: Dominios

• Planificar y Organizar (PO)

• Adquirir e Implantar (AI)

• Entregar y Dar Soporte (DS)

• Monitorizar y Evaluar (ME)

Los procesos TI están clasificados en cuatrodominios:


Procesos TI: Actividades

• CobiT define un total de 34 procesos estándar.

• Los procesos están compuestos de actividades (ciclos de vida) y/o tareas (discretas).

• La entrega de información se verifica a través de objetivos de control.

Criterios de Información

• Para satisfacer objetivos empresariales, la información debe ajustarse a ciertos criterios llamados requerimientos empresariales.

• CobiT combina los principios considerados en modelos de referencia conocidos:– Requerimientos de Calidad

– Requerimientos Fiduciarios

– Requerimientos de Seguridad


Recursos de TI

• Información: datos manejados por sistemas de información.

• Aplicaciones: sistemas automatizados y procedimientos manuales para el tratamiento de la información.

• Infraestructura: tecnología e instalaciones

• Personas: personal requerido para planificar, organizar, adquirir, implementar, entregar, dar soporte, monitorizar y evaluar los servicios y sistemas de información.

CobiT: Beneficios

• Mejor alineación.• Visión entendible para la gerencia de lo que hace TI.• Propiedad y responsabilidades claras (procesos).• Aceptación General de terceros y reguladores.• Entendimiento compartido entre todos los interesados.• Cumplimiento de los requerimientos de COSO.


CobiT: Marco de Control TI

CobiT satisface los requerimientos de un esquemade control para el Gobierno de TI

• Brindando una visión más nítida de la actividad comercial de la empresa (Orientación a Negocio).

• Garantizando una gestión orientada a procesos.

• Contando con aceptación general entre organizaciones.

• Basado en Controles.

• Impulsado por la medición.


Orientación a Negocio:

• Criterios de la Información.

• Metas de Negocio y de TI.

• Recursos de TI.


Requerimientos Información

Criterios de Información (i)

• Efectividad: la información debe ser relevante y pertinente a los procesos empresariales; y debe proporcionarse de manera oportuna, correcta, consistente y utilizable.

• Eficiencia: debe generarse a través del uso óptimo de los recursos necesarios.

• Confidencialidad: la información “sensible” debe protegerse de su revelación no autorizada.

• Integridad: la información debe ser precisa y completa; también debe ser válida según los valores y expectativas empresariales.


Criterios de Información (ii)

• Disponibilidad: la información debe estar accesible en todo momento para el proceso empresarial. Involucra la protección de recursos y capacidades asociadas.

• Conformidad: debe acatar las disposiciones de leyes, reglamentos y acuerdos contractuales.

• Confiabilidad: la información debe ser obtenida apropiadamente para garantizar su fidelidad.

Requerimientos de Calidad


Requerimientos de Seguridad

Requerimientos Fiduciarios



Orientación a Negocio: Metas de Negocio y de TI

Orientación a Negocio: Recursos TI

•Información se refiere a los datos (en todos sus formatos) manejados por los sistemas de información.•Aplicaciones son sistemas de usuario automatizados y procedimientos manuales que procesan la información.•Infraestructura incluye la tecnología e instalaciones que facilitan el procesamiento por parte de las aplicaciones.

• Personas se refiere al personal requerido para planificar, organizar, adquirir, implementar, entregar, dar soporte, monitorizar y evaluar los sistemas de información y servicios.


Recursos y Servicios TI


Orientación a Procesos:

• 34 Procesos.

• Marco de referencia y lenguaje común.

• Responsabilidades

• 4 Dominios.



Basado en Controles:

Las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para brindar una seguridad razonable de que los objetivos de negocio se alcanzarán y los eventos no deseados serán prevenidos o detectados y corregidos.


Basado en Controles:



Impulsado por la medición:

• Modelos de madurez.

• Metas y Métricas.

Modelo Madurez Genérico


Modelos de Madurez

Método de tasasión para evaluar el grado de madurez de un proceso TI específico.

Comparación

Madurez promedio del proceso DS01 – Definir y gestionar niveles de servicio. Comparación (Benchmark) de CobiT Online (www.itgi.org)


Métricas: KGIs y KPIs

• Key Goal Indicators (KGIs): – Indicadores Clave de Metas

• Key Performance Indicators (KPIs):– Indicadores Clave de Rendimiento

Métricas: KGIs y KPIs


Audiencia

CobiT está diseñado para ser utilizado por tres tipos de audiencia:

• Gerencia – como ayuda para balancear riesgo y controlar la inversión de TI en un entorno generalmente impredecible.

• Usuarios – para obtener garantía de seguridad y controles sobre los servicios TI ofrecidos por terceros.

• Auditores – como esquema que les asiste al formar una opinión del nivel de garantía de un tema particular que se esté auditando y/u ofrecer consejo acerca de los controles internos.

CobitT: Esquema General


Navegación en el Marco de Trabajo de COBIT

Por cada proceso:

• Objetivo de control de alto nivel (cascada).

• Objetivos de control detallados.

• Entradas y Salidas.

• Matriz de responsabilidades.

• Modelo de madurez.

Objetivos Control – Alto Nivel

Dominio CobiT Objetivo de Control

Planificar y Organizar PO10 – Gestionar Proyectos

Adquirir e Implantar AI2 – Adquirir y mantener aplicaciones

Entregar y Dar Soporte DS2 – Gestionar servicios de terceros

Monitorizar y Evaluar ME1 – Monitorizar y evaluar el rendimiento de TI

Algunos ejemplos…


Diagrama de Cascada

Proceso TI

MetaTI – Empresa

Metas de TImás importantes

Metas porActividad

Métricas

Control sobre el proceso TI de…

… que satisface el requisito empresarial de TI para…

… enfocándose en…

… se logra con…

… y se mide con…

Entradas/Salidas

• Las entradas de un proceso identifican los elementos necesarios (y el origen de los mismos) para su realización.

• Las salidas identifican los resultados esperados y a qué proceso deben ser entregados.


Diagramas RACI

• Responsible (Encargado)

• Accountable (Responsable)

• Consulted (Consultado)

• Informed (Informado)

CobiT define para cada proceso un diagrama RACI en el que se identifican las relaciones entre funciones y responsabilidadespara las actividades del proceso.

RACI proviene de:

Ejemplo: P01 Definir un Plan Estratégico


Objetivo de Control Alto Nivel

Aspectos y Estructura TI


Modelo de Procesos de CobiT

Dominios de CobiT – PO

• Objetivo: Identificar formas en las que TI puede contribuir a lograr los objetivos empresariales. Se centra en garantizar una organización y gobierno apropiados.

• Alcance:– Estrategia y Táctica– Visión Planificada– Organización e Infraestructura

Planificar y Organizar


Dominios de CobiT – AI

• Objetivo: Identificar soluciones TI, adquirir y/o desarrollar, implementar e integrar soluciones TI a los procesos empresariales. Gestionar aplicación de cambios y mantenimiento de los sistemas.

• Alcance:– Soluciones TI– Cambios y Mantenimiento

Adquirir e Implementar

Dominios de CobiT – DS

• Objetivo: Proveer los servicios requeridos y diseñar los procesos de soporte necesarios.

• Alcance:– Entrega de servicios requeridos– Implantación de procesos de apoyo

Entregar y Dar Soporte


Dominios de CobiT – ME

• Objetivo: Evaluar regularmente la calidad y conformidad de los procesos TI con requerimientos de control y manejar una visión general de los procesos de control de la organización.

• Alcance:

– Evaluación regular/Aseguramiento de la Entrega

– Visión general del Sistema de Control

– Medición del Rendimiento.

Monitorizar y Evaluar

Planificar y Organizar

• PO1 – Definir un plan estratégico de TI.• PO2 – Definir la arquitectura de la información.• PO3 – Determinar la dirección tecnológica.• PO4 – Definir los procesos, organización y relaciones de TI.• PO5 – Administrar la inversión en TI.• PO6 – Comunicar las aspiraciones y la dirección de la gerencia.• PO7 – Administrar recursos humanos de TI.• PO8 – Administrar la calidad.• PO9 – Evaluar y administrar los riesgos de TI.• PO10 – Administrar proyectos.


Adquirir e Implementar

• AI1 – Identificar soluciones automatizadas.

• AI2 – Adquirir y mantener software aplicativo.

• AI3 – Adquirir y mantener infraestructura tecnológica.

• AI4 – Facilitar la operación y el uso.

• AI5 – Adquirir recursos de TI.

• AI6 – Administrar cambios

• AI7 – Instalar y acreditar soluciones y cambios.

Entregar y Dar Soporte

• DS1 – Definir y administrar los niveles de servicio.• DS2 – Administrar los servicios de terceros.• DS3 – Administrar el desempeño y la capacidad.• DS4 – Garantizar la continuidad del servicio.• DS5 – Garantizar la seguridad de los sistemas.• DS6 – Identificar y asignar costes.• DS7 – Educar y entrenar a los usuarios.• DS8 – Administrar el Service Desk y los incidentes.• DS9 – Administrar la configuración.• DS10 – Administrar problemas.• DS11 – Administrar los datos.• DS12 – Administrar el ambiente físico.• DS13 – Administrar las operaciones.


Monitorizar y Evaluar

• ME1 – Monitorizar y evaluar el desempeño de TI.

• ME2 – Monitorizar y evaluar el control interno.

• ME3 – Garantizar el cumplimiento regulatorio.

• ME4 – Proporcionar gobierno de TI.

Procesos y Criterios


Procesos y Criterios - PO

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Conform

idad

Confiabilidad

PO1 Definir el Plan estratégico para TI P S

PO2 Definir la Arquitectura de la Información S P S P

PO3 Determinar la dirección tecnológica P P

PO4 Definir relaciones y organización TI P P

PO5 Administrar la inversión en TI P P S

PO6 Comunicar las aspiraciones y dirección de la Gerencia P S

PO7 Administrar los RRHH de TI P P

PO8 Administrar la calidad P P S S

PO9 Evaluar y administrar riesgos de TI S S P P P S S

PO10 Administrar proyectos P P

Procesos y Criterios - AI

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Conform

idad

Confiabilidad

AI1 Identificar soluciones automatizadas P S

AI2 Adquirir y mantener aplicaciones P P S S

AI3 Adquirir y mantener infraestructura tecnológica S P S S

AI4 Facilitar la operación y uso P P S S S S

AI5 Adquirir recursos de TI S P S

AI6 Administrar cambios P P P P S

AI7 Instalar y acreditar soluciones y cambios P S S S


Procesos y Criterios - DS

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Conform

idad

Confiabilidad

DS1 Definir y administrar niveles de servicios P P S S S S S

DS2 Administrar servicios de terceros P P S S S S S

DS3 Administrar rendimiento y capacidad P P S

DS4 Garantizar la continuidad de servicio P S P

DS5 Garantizar la seguridad de los sistemas P P S S S

DS6 Identificar y asignar costes P P

DS7 Educar y entrenar usuarios P S

DS8 Gestionar Service Desk e Incidencias P P

DS9 Gestionar la configuración P S S S

DS10 Gestionar problemas P P S

DS11 Administrar datos P P

DS12 Administrar el entorno físico P P

DS13 Gestionar las operaciones P P S S

Procesos y Criterios - ME

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Conform

idad

Confiabilidad

ME1 Monitorizar y evaluar el rendimiento de TI P P S S S S S

ME2 Monitorizar y evaluar el control interno P P S S S S S

ME3 Garantizar la conformidad legal P S

ME4 Proporcionar gobierno de TI P P S S S S S

P = Vínculo PrimarioS = Vínculo Secundario


Metas Empresariales vs TI

Metas TI vs Procesos TI


Más productos de ITGI

Guía de Implantación de Gobierno TI: Documento dirigido a Juntas Directivas, Gerencias Ejecutivas, Profesionales de TI, Profesionales de Auditoría en TI.

CobiT Security Baseline: Ayuda a las organizaciones a centrarse en los pasos esenciales a tomar para extraer de CobiT los objetivos relacionados con seguridad más importantes.

CobiT y otros estándares


CobiT y otros estándares

Otros estándares para TI


Más productos de ITGI

Val IT: Esquema de trabajo centrado principalmente en las responsabilidades empresariales acerca de la creación de valor para TI.

Val IT

Val IT constituye una extensión y complemento de COBIT, que proporciona un marco de control global para el gobierno de TI. En concreto, Val IT se centra en la decisión de invertir (¿estamos haciendo lo correcto?) y la realización de beneficios (¿estamos obteniendo beneficios?), mientras que COBIT está enfocado en la ejecución (¿lo estamos haciendo correctamente, y lo estamos logrando bien?)


Val IT

Val IT y el concepto de Cartera


Prácticas de Control de CobiT

•Definidas como un conjunto de prácticas necesarias y suficientes para implantar un objetivo de control.•Expanden el marco de CobiT a un nivel adicional de ayuda relacionado con los objetivos de control detallados.•Ofrecen el cómo y el porqué

Prácticas de Control - PO10.1

Prácticas de Control

1. Definir y documentar el programa, incluyendo todos los proyectos requeridos para lograr los resultados empresariales esperados. Especificar los recursos necesarios, incluyendo presupuestos, gestores de proyectos, equipos de proyectos, recursos de TI y recursos empresariales según se requiera.

2. Asignar responsabilidad (accountability) clara e inambiguamente para cada proyecto, incluyendo el logro de los beneficios, control de costes, gestión de riesgos y coordinación de las actividades del proyecto.

3. Determinar las interdependencias de los múltiples proyectos del programa y desarrollar un calendario para su finalización tal que se cumpla con el calendario del programa.

4. Determinar los interesados internos y externos del programa y establecer y mantener los niveles adecuados de coordinación, comunicación y conexión con dichos asociados.

5. Verificar periódicamente en la empresa que el diseño actual del programa alcanzará los requerimientos empresariales y realizar los ajustes necesarios. Revisar el progreso de los proyectos individualmente y ajustar la disponibilidad de recursos según la necesidad tal que se logren las etapas programados.


Prácticas de Control - PO10.1

Motivadores de Valor

Un enfoque optimizado para la gestión de programas.

Un enfoque estándar, confiable y eficiente para la gestión de programas en toda la organización.

Aumento de la capacidad para centrarse en proyectos clave del programa.

Motivadores de Riesgo

Priorización incorrecta de proyectos.

Enfoque desorganizado e inefectivo a los programas de proyectos.

Falta de convergencia entre el proyecto y los objetivos del programa.

Controles Genéricos

CobiT 3318 Objetivos

de Control

CobiT 4210 Objetivos

de Control

La reducción se debe – principalmente – a la extracción de Controles de Proceso y Controles de Aplicación Genéricos.

Formato:

• Control de Proceso – PCn

• Control de Aplicación – ACn


Controles de Proceso (PC)

PC1 Metas y Objetivos del ProcesoDefinir y comunicar procesos…

PC2 Propiedad del ProcesoAsignar dueños de cada proceso de TI…

PC3 Proceso RepetibleDiseñar los procesos tal que sean repetibles…

PC4 Roles y ResponsabilidadesDefinir responsabilidades críticas del proceso…

PC5 Políticas, Planes y ProcedimientosDefinir y comunicar cómo se documentarán, revisaran las políticas, planes y procedimientos…

PC6 Rendimiento del ProcesoIdentificar un conjunto de métricas que proporcionen visión de salidas y rendimiento del proceso…

Controles de Aplicación (AC)

AC1 Preparación y Autorización de la Información FuenteAsegurar que los documentos fuente están preparados…

AC2 Recolección y Entrada de Información FuenteEstablecer que el ingreso de datos se realice oportunamente y por personal calificado…

AC3 Revisión de Exactitud, Integridad y AutenticidadGarantizar que las transacciones son precisas, completas y validas…

AC4 Integridad y Validez del ProcesamientoMantener la integridad y validación de los datos a través del procesamiento…

AC5 Revisión de Resultados, Reconciliación y Manejo de Errores Establecer procedimientos y responsabilidades para asegurar que los resultados (salidas) se manejan con autorización, se entregan apropiadamente y se proteja durante la transmisión…

AC6 Autenticidad e Integridad de TransaccionesAntes de pasar datos de transacción entre aplicaciones y funciones empresariales/operativas, verificar la dirección, autenticidad de origen e integridad de contenido…


Guía de Aseguramiento

•Proporciona una guía de cómo utilizar CobiT para soportar una variedad de actividades de aseguramiento junto con los pasos de prueba sugeridos para todos los procesos de TI y objetivos de control. •Ayuda al auditor a definir controles.

Pasos para el Aseguramiento


CobiT Online

• URL: http://www.isaca.org/cobitonline

• Representa un repositorio de información acerca de CobiT en

Internet.

• Permite que los usuarios naveguen, busquen, compartan y utilicen

la base de datos de conocimiento.

• Presenta áreas exclusivas para los asociados.

CobiT Online - Recursos

• Descarga de ficheros PDF.

• Benchmark (comparación).

• Cuestionarios de evaluación.

• Foros, blogs (comunidad) para compartir ideas con otros usuarios.


CobiT Quickstart

• Es una versión reducida de CobiT.• Audiencia: medianas y pequeñas empresas.• Contiene 59 Objetivos de Control detallados

Se trata de una herramienta simple para gestores de TI de organizaciones no tan grandes que orienta la implantación de los objetivos de control TI críticos .

Fundamentos de COBIT - nhbarcelona.com · Gobierno TI vs Gestión TI •Gobierno TI: ... • CobiT...

Documents

Transcript of Fundamentos de COBIT - nhbarcelona.com · Gobierno TI vs Gestión TI •Gobierno TI: ... • CobiT...