COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios A/P Cristina Borrazás, CISA, CRISC, PMP AGENDA Presentación del tema Contextualización Cobit 5 Gestión de la Documentación Implementación Costos Beneficios 2014 © Copyright Stavros Moyal y Asociados 2 2014 © Copyright Stavros Moyal y Asociados 3 Para que la Organización tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo Cobit contribuye a esas necesidades Provee a las empresas de un marco de trabajo integral que ayuda a alcanzar sus objetivos para el gobierno y la gestión de TI Manteniendo el equilibrio entre: Generación de beneficios, Optimización de niveles de riesgo y Uso de recursos 2014 © Copyright Stavros Moyal y Asociados 4 Es un marco de trabajo basado en Objetivos de Control para la Información y la Tecnología relacionada (COBIT®), que se ilustra con un modelo de procesos basado en las áreas de responsabilidad de planear, construir, ejecutar y monitorear 2014 © Copyright Stavros Moyal y Asociados 5 1. Se basa en cinco principios clave 5. Separar el Gobierno de la Administración Satisfacer las necesidades de las partes interesadas 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico 3. Aplicar un solo marco integrado 2014 © Copyright Stavros Moyal y Asociados Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados 6 2014 © Copyright Stavros Moyal y Asociados 7 Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados Gobierno Dominios Procesos Evaluar, Orientar y Supervisar (EDM) 5 Gestión Dominios Procesos Alinear, Planificar y Organizar (APO) Construir, Adquirir e Implementar (BAI) Entregar, dar Servicio y Soporte (DSS) Supervisar, Evaluar y Valorar (MEA) 13 10 6 3 2014 © Copyright Stavros Moyal y Asociados 8 (Tomada por Cobit 5 como marco de referencia a la hora del diagnóstico e implementación de los niveles de capacidad de los procesos) ¿Porqué medir nuestros procesos en el marco de los niveles de capacidad propuesto por esta norma? Disponer de un sistema de medición único aplicable a todos los procesos de las empresa Medirnos con otras entidades externas bajo estándares aprobados internacionalmente De acuerdo a las herramientas que provee diagnosticar en qué nivel de capacidad está cada uno de los procesos y qué debemos hacer para alcanzar el nivel de capacidad deseado 2014 © Copyright Stavros Moyal y Asociados 9 2014 © Copyright Stavros Moyal y Asociados 10 El proceso está gestionado (planificado, supervisado y ajustado), resultados establecidos, controlados y mantenidos apropiadamente Se recogen y analizan los datos para demostrar su adecuación y eficacia, y para evaluar donde hacer la mejora continua del proceso La organización obtiene los resultados esperados Nivel 3 Nivel 1 2014 © Copyright Stavros Moyal y Asociados 11 2014 © Copyright Stavros Moyal y Asociados 12 La documentación no tiene valor en sí misma La documentación adquiere valor en tanto: Establece un lenguaje común de intercambio y comunicación Vehiculiza el entendimiento entre los diferentes actores internos y externos Existe como soporte de un proceso o actividad del negocio permitiendo que sea: definido, repetible, medible, optimizable y transferible 2014 © Copyright Stavros Moyal y Asociados 13 2014 © Copyright Stavros Moyal y Asociados 14 El punto de partida NUNCA es CERO Gestionar la documentación capitalizando lo existente Ordenar Estandarizar Completar Apoyándose en marcos de referencia existentes reconocidos, probados y aprobados Actualizar 2014 © Copyright Stavros Moyal y Asociados 15 Si bien hay varias modos de gestionar la documentación, nosotros proponemos trabajar con el marco de referencia que presenta la UNIT en su diploma de Manuales y Documentos de Gestión Por lo tanto proponemos implementar un Sistema de Gestión de la Documentación que permita administrarla: De forma estándar De acuerdo a las necesidades del negocio Contemplando los requerimientos actuales Alineada con los objetivos a alcanzar Con la posibilidad de utilizar aplicativos específicos que sin ser obligatorios su uso facilita la gestión 2014 © Copyright Stavros Moyal y Asociados 16 Marco de estructura Marco de referencial Ciclo de Vida estructura referencial Definición Revisión Planear Construir Ejecutar Monitorear 2014 © Copyright Stavros Moyal y Asociados 17 Marco de estructura referencial: Estándares a aplicar (plantillas por tipo de documento) Revisiones Caducidad 2014 © Copyright Stavros Moyal y Asociados 18 Marco de estructura referencial: Definir el lugar donde se guardará la documentación Cuál será el criterio de clasificación de la documentación Cómo se accederá a la documentación guardada Metodología de: Versionado Respaldos Revisiones Responsables 2014 © Copyright Stavros Moyal y Asociados 19 Planificar • Nace junto con el proceso al que apoya • Se consideran los recursos necesarios • Se definen los responsables Construir Se aplican las definiciones del marco de estructura referencial 2014 © Copyright Stavros Moyal y Asociados 20 Ejecutar Uso del documento Las políticas marcan los lineamientos Los procedimientos determinan la vida del proceso Los registros evidencian lo actuado Monitorear Se puede dar En la dinámica de la ejecución Durante una revisión programada Contraste con la realidad cambiante 2014 © Copyright Stavros Moyal y Asociados 21 Es recomendable realizarlo en forma gradual Gradual desde dos enfoque igualmente importantes: Se recomienda comenzar por un número acotado de áreas de la organización, para luego ir incorporando gradualmente otras Se sugiere liberar la primera versión, aún cuando la sepamos perfectible, para luego ir mejorando las versiones sucesivas 2014 © Copyright Stavros Moyal y Asociados 22 Definir el alcance : ¿Qué áreas serán las primeras en implementar? ¿A qué nivel de capacidad se va a alinear la organización/área? 2014 © Copyright Stavros Moyal y Asociados 23 Tener en cuenta además que la documentación es un activo de TI Integrarla el inventario de activos Determinar sus propietarios Definir su criticidad de acuerdo a los tres conceptos: Confidencialidad, Integridad y Disponibilidad Integrar el Análisis de Riesgos 2014 © Copyright Stavros Moyal y Asociados 24 Recursos necesarios para: la definición del marco de estructura referencial Horas Hombre Capacitación Asesoría Cumplir con el ciclo de vida Considerarlos en el ciclo de vida del proceso Utilizar los documentos definidos durante el ciclo de vida del proceso 2014 © Copyright Stavros Moyal y Asociados 25 Lenguaje común Dónde buscar Qué buscar Cómo interpretar Repetibilidad Trazabilidad Disolución de controversias Evidencia de lo actuado Independencia de actores Proyecciones, simulaciones, estadísticas 2014 © Copyright Stavros Moyal y Asociados 26 Dar repuesta a las auditorías, organismos reguladores Estar al nivel requerido para acceder a las certificaciones Otros 2014 © Copyright Stavros Moyal y Asociados 27 De acuerdo a nuestra experiencia podemos decir que los casos exitosos en la implementación de un sistema de gestión de la documentación han puesto foco en mayor o menor medida en: Contar con el Compromiso de la Dirección Considerar la documentación existente, tomándola como punto de partida Realizar un proceso gradual: en el alcance de la organización y grado de madurez de la primera versión A la medida de la organización: recursos asignables, nivel de detalle Contar con el canal de aprobación definido/negociado de los procedimientos que se van documentando Realizar Capacitación y Concientización de todos los involucrados 2014 © Copyright Stavros Moyal y Asociados 28 2014 © Copyright Stavros Moyal y Asociados 29 A/P Cristina Borrazás, CISA, CRISC, PMP [email protected] 30