Objetivos de Control para Información y Tecnologías Relacionadas COBIT 5 DR. CPCC ORLANDO ENRIQUE PACHECO CURI Objetivos del curso • COBIT® 5 ayuda a maximizar el valor de la información mediante la incorporación de las últimas técnicas de Gobierno y Gestión de la empresa. • Así, el curso busca proveer al interesado principios y prácticas mundialmente aceptados así como herramientas analíticas y modelos para ayudar a incrementar la confianza y el valor de sistemas de información alineados con los objetivos del negocio. • Por tanto, el curso está dirigido, pero no limitados a, los siguientes interesados: • Ejecutivos de negocios • Dueños de procesos de TI, responsables de la función de TI • Responsables de riesgos y de implementar y asegurar controles, responsables de evaluar y auditar los controles de TI, responsables del cumplimiento, aseguramiento y control interno de TI, profesionales en aseguramiento de calidad de TI • Proveedores de servicios de TI, prestadores de servicios de TI, terceros responsables de apoyar la función de TI • Usuarios de TI • Cualquier interesado en el gobierno corporativo de TI y en la generación de valor para el negocio. (51) 9-8935-4789 [email protected] www.jagi.pe Metodología • El método de transferencia de conocimiento tendrá un carácter inductivo, lógico y motivador, intuitivo – visual, activo y flexible. • Se usarán técnicas de exposición participativa, desarrollo de trabajo de grupo aplicando los contenidos teóricos recibidos. • Se analizarán casos donde se requiera proponer alternativas de solución empleando el conocimiento recibido. • En general: • Desarrollo de mapas mentales y revisión de conceptos relacionadas a preguntas tipo examen COBIT® 5 Fundamentos • Consultas atendidas en las sesiones y/o por e-mail, durante todo el curso (respuestas por las mañanas) • Simulacro de examen tipo COBIT® 5 Fundamentos (51) 9-8935-4789 [email protected] www.jagi.pe Sílabo resumen SESIÓN CONTENIDO HORARIO 01 • Introducción a COBIT® 5 • Características de COBIT® 5 08:00 a 14:00 horas 02 • Principios de COBIT® 5 • Catalizadores de COBIT® 5 08:00 a 14:00 horas 03 • Introducción a la implementación • Modelo de valoración de la capacidad de 08:00 a 14:00 horas los procesos 04 • Propuesta de plan de estudio • Tips • Simulacro de examen (51) 9-8935-4789 [email protected] www.jagi.pe 08:00 a 14:00 horas La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx 5 Antes de empezar: algunas reglas básicas de convivencia • Dentro del salón de clase • No fumar, comer o beber • No utilizar equipos individuales de audio o vídeo –a no ser que se empleen para fines académicos • Evitar ruidos molestos -apagar el teléfono móvil • Evitar distracciones • Fuera del salón de clase • Evitar generar ruido • Evitar generar distracciones • Identificar previamente la logística local (servicios generales) • Luego de iniciada la clase, no tocar la puerta y esperar a que el docente les permita el ingreso: 5’, 15’, segunda hora • Educación, respeto, orden … (51) 9-8935-4789 [email protected] www.jagi.pe ¿Dudas, Preguntas, Consultas, Aportes? Mg. Ing. Jack Daniel Cáceres Meza, PMP (51) 9-8935-4789 [email protected] www.jagi.pe ¿Dudas, Preguntas, Empecemos entonces Consultas, Aportes? Mg. Ing. Jack Daniel Cáceres Meza, PMP (51) 9-8935-4789 [email protected] www.jagi.pe Primero… 9 “Ningún viento es favorable para quien no conoce el puerto al que quiere arribar” Séneca (51) 9-8935-4789 [email protected] www.jagi.pe Información y tecnología La Información es un recurso clave para todas las empresas La Información se crea, usa, retiene, publica y destruye La tecnología juega un papel clave en todas esas acciones La tecnología penetra todo los aspectos de la vida personal y los negocios (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS La tecnología ha jugado un papel clave en el éxito de las empresas y, más que nunca, los líderes de TI tienen la presión de ayudar a generar ingresos y brindar una ventaja competitiva. (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS ¿Cómo pueden darse estos beneficios para crear valor para los interesados? TI (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Si la junta directiva se preocupa de… 13 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente Deloite Estudio 180 Empresas España 2012 FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS ¿Valor para los interesados? • La entrega de valor requiere un buen gobierno y gestión de la información y tecnología • Empresas, ejecutivos y consejos de administración deben aceptar que TI es tan importante como cualquier otra parte del negocio • Los requisitos externos del cumplimiento legal, regulatorio y contractual relacionadas con el uso de la información y la tecnología van en aumento, amenazando el valor si no se cumplen 14 (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Gobierno y Gestión 15 Gobierno Gestión • Asegura el cumplimiento de objetivos empresariales • Evalúa necesidades, condiciones y opciones de los interesados • Dirige a través de la priorización y toma de decisiones • Supervisa (Monitorea) el desempeño y cumplimiento contra la dirección y los objetivos acordados • Planea, Construye, Opera y Supervisa (Monitorea): • Ciclo EDM (Evaluate-Direct-Monitor) • Las actividades fijadas y acordadas por el cuerpo de gobierno • Ciclo PBRM (Plan-Build-RunMonitor) (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS No se puede gestionar lo que no se comunica No se puede comunicar lo que no se mide No se puede medir lo que no se define No se puede definir lo que no se entiende (51) 9-8935-4789 [email protected] www.jagi.pe Entonces se necesitan estrategias. Pero, ¿quién las hace? (51)9-8935-4789 [email protected] www.jagi.pe Fuente Deloite Estudio 180 Empresas España 2012 17 ¿Y sobre qué se apoyan estas estrategias? en la tecnología claro; entonces… El marco de Gobierno de TI deberá ayudar a la alta dirección a saber si con la información administrada es posible garantizar el logro de objetivos, ser flexible, tener un buen manejo de riesgos y reconocer apropiadamente sus oportunidades actuando acorde a ellas. (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE IT GOVERNANCE INSTITUTE,2007 Suficiente introducción… 19 “Ningún viento es favorable para quien no conoce el puerto al que quiere arribar” Séneca (51) 9-8935-4789 [email protected] www.jagi.pe CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la Implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51) 9-8935-4789 [email protected] www.jagi.pe ¿Hemos experimentado algo de esto? Los proyectos de TI se justifican en lenguaje técnico, cuesta entender y justificar sus beneficios La alta gerencia recibe métricas de TI que no logra entender en términos de negocio TI se mira como “caja negra”, no se logra determinar el valor estratégico que entrega Se desarrollan/compran sistemas de información, que no entregan los beneficios esperados Los contratos con las software factory se encarecen, pero la disponibilidad es baja Los contratos de servicios TI son administrados por personas que no saben de administración TI se entera a última hora de que habrá una fusión/cambios estructurales, o que la adopción de estándares, normas y otros le traerá serios cambios radicales Los usuarios entienden que quien debe proteger la información es TI, no ellos. “Los riesgos sólo vienen de los hackers” Cada nuevo marco que se quiere implementar tiene su propia (51) 9-8935-4789 terminología [email protected] www.jagi.pe Todo se consolida en Excel Aquí falta Gobierno de TI FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Pero… 22 • A fin de poder definir al Gobierno de TI, debemos iniciar por definir al Gobierno Corporativo: • Conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración con el fin de proveer dirección estratégica. (ISACA, 2010) • Pero, ¿de qué manera se provee una correcta dirección estratégica para la organización? • Garantizando que los objetivos sean alcanzados • Estableciendo que los riesgos son administrados apropiadamente • Verificando que los recursos de la empresa son usados de manera responsable (51)9-8935-4789 [email protected] www.jagi.pe • Dirección y control – hacia donde va TI para apoyar el negocio y asegurar que los objetivos son alcanzables • Responsabilidad • Rendición de cuentas • Actividades FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Porque las organizaciones deben … Tratar con la cantidad de información, que ha crecido significantemente en el tiempo. 23 Proporcionar orientación adicional en el ámbito de la innovación y las tecnologías emergentes. Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa, tales como estructuras organizativas, políticas y cultura, además de los procesos. Enlazar y, cuando sea relevante, alinearse (51) 9-8935-4789 con otros marcos y estándares pp ror yeicn tos_c tici@ pjaagi.plees existentes en el mercado. www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS El marco COBIT® 5 es de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público Entra COBIT® 5 en la ecuación • NO es un estándar o una metodología • Es un compendio de mejores prácticas aceptadas internacionalmente • Se enfoca en el control más que en la ejecución • Puede implementarse acorde a las necesidades (51)9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS ¿Inquietudes o exigencias de TI? 25 [email protected] (51) 9-8935-4789 www.jagi.pe El marco COBIT® 5 Ayuda a crear valor óptimo de TI por mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa, abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas, internas y externas (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS GRC Gobierno Riesgo (Administración) Cumplimiento • El ejercicio de la autoridad, control, gobierno, acuerdo. • Peligro, riesgo de pérdida, daño o destrucción (el acto o arte de la gestión, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propósito, conducta, administración, dirección, control) • El acto de cumplimiento, un rendimiento, en cuanto a su deseo, demanda o propuesta; concesión; presentación (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS ¿Qué beneficio brindan la información y la tecnología a las empresas? Mantener la calidad de la información para soportar decisiones de negocio Generar valor para el negocio desde las inversiones posibilitadas por TI Lograr metas estratégicas y mejoras al negocio mediante el uso eficaz (excelencia operativa) e innovador de TI Mantener los riesgos de TI a un nivel aceptable Optimizar el costo de los servicios entregados por TI (y de la tecnología habilitadora) (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Así, entender COBIT® 5 permite… Comprender los niveles riesgos asociados a TI y tomar decisiones informadas para reducir los incidentes de seguridad de la información. Suministrar esta comprensión y la conciencia de los riesgo para mejorar la prevención, detección y recuperación dentro de una organización. Proporcionar herramientas para que las organizaciones mantengan información de alta calidad para apoyar las decisiones de negocios. Ayudar a una organización a cumplir con los requisitos reglamentarios y legales o gubernamentales. (51) 9-8935-4789 [email protected] www.jagi.pe Entender el enfoque COBIT de la gobernanza y su relación con otras mejores prácticas de TI. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Así, implementar COBIT® 5 permite… Lograr los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de TI. Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y políticas y ganar ventaja competitiva sobre otras organizaciones. Reducir la complejidad y aumentar la rentabilidad debido a una mejor y más fácil integración de las normas de seguridad de información, buenas prácticas y / o directrices sectoriales específicas que resultan en la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología. (51) 9-8935-4789 [email protected] www.jagi.pe Mejora de la integración de seguridad de la información en la empresa, lo que resulta en una mayor satisfacción de los usuarios con las disposiciones de seguridad de la información y los resultados FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Algunas estadísticas • 25% de mejora en la satisfacción de los clientes • 56% de mejora en la gestión de riesgos • 15% de mejora en la cyber seguridad • 14% de protección de la reputación • 28% de reducción de costos de TI (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Evolución a un marco empresarial 32 Evolución del Alcance Gobierno Corporativo de TI Gobierno de TI Val IT 2.0 Administración (2008) Control Risk IT (2009) Auditoría COBIT1 1996 (51) 9-8935-4789 [email protected] www.jagi.pe COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 COBIT 5 2005/7 2012 La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Cubo de COBIT 33 X COBIT 4.1 COBIT 5 Efectividad Utilidad Eficiencia Usabilidad Integridad Libre de error Confiabilidad Credibilidad Disponibilidad Accesibilidad Confidencialidad Seguridad Cumplimiento Conformidad (51)9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Familia de productos COBIT® 5 3 4 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Entendámonos Lo que la gente dice conocer de 35 (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Entendámonos Lo que la gente cree que es CobiT 36 (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Entendámonos Lo que la gente ve en CobiT 37 (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Entendámonos Lo que realmente es CobiT 38 (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Estructura COBIT 39 El control de los Que satisfacen los Es facilitado por Que consideran Procesos de TI Requerimientos del negocio Declaraciones de control Prácticas de control (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS COBIT aporta al Gobierno corporativo… 40 Integrando tecnología al Gobierno Corporativo Definiendo cuál es el rol del directorio en el Gobierno de Tecnología Separando claramente las actividades de Gestión de las de Gobierno A comprender que Negocio y Tecnología están fusionadas Vinculando cada inversión en Tecnología con beneficios, recursos, riesgos, y transparencia (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS COBIT aporta al Gobierno corporativo… DECISIONES ¿Estamos haciendo lo correcto? ¿Estamos obteniendo los beneficios? • La pregunta estratégica: ¿Está la inversión: • De acuerdo con nuestra visión • Coherente con nuestros objetivos de negocio • Contribuyendo a nuestros objetivos estratégicos • Proporcionando valor a un costo económicoy niveles de riesgo aceptable? 41 • La pregunta de valor: ¿Tenemos: • Un conocimiento claro y compartido de los beneficios esperados • Una responsabilidad clara para realizar los beneficios • Una métrica relevante • Un proceso eficaz de realización de beneficios? ¿Lo estamos logrando bien? ¿Lo estamos haciendo correctamente? • La pregunta de arquitectura: ¿Está la inversión: • De acuerdo con nuestra arquitectura • Coherente con nuestros principios arquitectónicos • Contribuyendo a la población de nuestra arquitectura • En línea con otras iniciativas? • La pregunta de entrega: ¿Tenemos: • Procesos eficaces y disciplinados de dirección, entrega y gestión de cambios • Recursos técnicos y de negocio competentesy disponibles para entregar: • Las capacidades necesarias • Los cambios de organización necesarios para potenciar las capacidades? (51) 9-8935-4789 [email protected] www.jagi.pe COBIT FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS En resumen… Es un marco de gestión cuyos principios rectores y procesos facilitadores optimizan la información y la inversión en tecnología y el uso de TI para el beneficio de las partes interesadas (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la Implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Principios de COBIT® 5 Conductores de valor para los Interesados 44 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados 1. Satisfacer las necesidades de las partes interesadas 45 • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas. • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS 1. Satisfacer las necesidades de las partes interesadas El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. Para cada decisión se puede, y se debe, hacer las siguientes preguntas: ¿Quién recibe los beneficios? • ¿Quién asume el riesgo? • ¿Qué recursos se necesitan? 5, © 2012 ISACA Todos los derechosreservados • (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® ® Cascada de metas de COBIT® 5 • • desencadenan Desarrolladas utilizando dimensiones del BSC/CMI Las necesidades de las Partes Interesadas deben ser transformadas en una estrategia accionable para la Organización. 4 7 Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras. Necesidades de las Partes Interesadas (Socios, Accionistas, etc.) y Metas Empresariales Metas Corporativas de COBIT 5 Mapeo Detallado de las Metasde Empresa y las Metas Relacionadas con las TI Metas relacionadas con las TI ¿Resultados? (51) 9-8935-4789 [email protected] www.jagi.pe Mapeo Detallado de las Metas Relacionadas con las TI y los Procesos Relacionados con lasTI Los catalizadores incluyen procesos, estructuras organizativas e información, y para cada catalizador puede definirse conjunto de metas relevantes en FUENTE COBIT® 5,un © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS apoyo de las metas relacionadas con la TI Cascada de metas de COBIT® 5 Beneficios • Define objetivos y metas relevantes y tangibles a varios niveles de responsabilidad. • Filtra la base de conocimiento de COBIT® 5, sobre la base de las metas corporativas, para extraer las guías relevantes a incluir en proyectos específicos de implementación, mejora o aseguramiento. (51)9-8935-4789 [email protected] www.jagi.pe Consideraciones Personalización • Cada empresa establece sus objetivos con distintas prioridades, y estas prioridades pueden cambiar con el tiempo. • La asignación de relevancia se acercará a un continuo de diversos grados de correspondencia. • Cada empresa debe construir su propia cascada de metas, compararla con COBIT y luego refinarla. Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados 2. Cubrir la compañía extremo-a-extremo • La información es (de forma integral) una de las categorías • Cubre todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa y las tecnologías relacionadas donde quiera que esa información pueda ser procesada. • Dado este alcance corporativo amplio, COBIT® 5 contempla todos los servicios TI internos y externos relevantes, así como los procesos de negocio internos y externos. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © de catalizadores de COBIT. 4 9 • El modelo mediante el que COBIT® 5 define los catalizadores permite a cada grupo de interés definir requisitos exhaustivos y completos para la información y el ciclo de vida de procesamiento de la información, conectando de este modo el negocio y su necesidad de una información adecuada y la función TI, y soportando el negocio y el enfoque de contexto. SACA Todos losderech ® Enfoque de gobierno Catalizadores de gobierno • Recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados. • Recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e información. 50 Alcance de gobierno • Puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc. • Es esencial definir bien este alcance del sistema degobierno. Roles, actividades y relaciones • Definen quién está involucrado en el gobierno, cómo se involucran, lo que hacen y cómo interactúan, dentro del alcance de cualquier sistema degobierno. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados 3. Aplicar un marco de referencia único integrado COBIT® 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones Corporativo COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Relacionado con TI ISO/IEC 38500, ITIL®, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI Entre otros (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados • Un marco general único sirve como una fuente consistente e integrada de guía en un lenguaje común, no-técnico y tecnológicamente agnóstico. • Proporciona una arquitectura simple para estructurar los materiales de guía y producir un conjunto consistente. • Integra todo el conocimiento disperso previamente en los(51) 9-8935-4789 diferentes marcos [email protected] ISACA. www.jagi.pe • Poblar una base de conocimiento COBIT® 5 que contiene todas las guías y contenido producido hasta ahora y que proporcionará una estructura para contenidos futuros adicionales. • Proporciona una referencia base de buenas prácticas exhaustiva y sólida. 4. Habilitar/facilitar (hacer posible) un enfoque holístico Factores que, individual y colectivamente, influyen sobre si algo funcionará – en este caso, el gobierno y la gestión de la empresa TI. Son guiados por la cascada de metas, es decir, objetivos de alto nivel relacionados con TI definen lo que los diferentes catalizadores deberían conseguir. Catalizadores Algunos son también recursos corporativos que también necesitan ser gestionados y gobernados: • La información, que necesita ser gestionada como un recurso. • Servicios, infraestructura y aplicaciones. • Personas, habilidades y competencias. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados Gobierno y Gestión Sistémicos Mediante Catalizadores Interconectados Para una buen toma de decisiones Cada catalizador necesita del resultado de otros catalizadores para ser completamente efectivo, por ejemplo, los procesos necesitan información, las estructuras organizativas necesitan habilidades y (51) 9-8935-4789 comportamiento. [email protected] www.jagi.pe Cada catalizador proporciona una salida para beneficio de otros catalizadores, por ejemplo, los procesos proporcionan información, habilidades y el comportamiento hace los procesos eficientes. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Breve descripción de los catalizadores Principios, Políticas y Marcos Procesos Estructuras Organizativas Cultura, Ética y Comportamiento • Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria. • Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI. • Constituyen las entidades claves para la toma de decisiones en una organización. • De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración. (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Breve descripción de los catalizadores Información Servicios, Infraestructura y Aplicaciones Personas, Habilidades y Competencias (51)9-8935-4789 [email protected] www.jagi.pe • Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. • La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si. • Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización. • Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Dimensiones (comunes) de los Catalizadores de COBIT® 5 Conjunto de dimensiones comunes (genéricos) Proporcionan una manera común, simple y estructurada de tratar con los catalizadores Permiten a una entidad manejar sus complejas interacciones Facilitan resultados exitosos de los catalizadores (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Dimensiones comunes 5 8 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Buenas prácticas 59 Buenas prácticas significa que se está de acuerdo, en general, en que la aplicación de estas habilidades, herramientas y técnicas puede aumentar las posibilidades de éxito de una amplia variedad de proyectos. Buenas prácticas no significa que el conocimiento descrito deba aplicarse siempre de la misma manera en todos los proyectos; la organización y/o el equipo de dirección del proyecto son responsables de establecer lo que es apropiado para un proyecto determinado. (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS 5. Separar el Gobierno de la Gestión La posición de COBIT® 5 sobre esta fundamental distinción entre gobierno y gestión es: Gobierno Gestión • Asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. • La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales. • En la mayoría de las empresas, el (51) 9-8935-4789 gobierno es responsabilidad del [email protected] consejo de administración bajo la dwiwrwe.jagci.peción de su presidente. • En la mayoría de las empresas, la gestión es responsabilidad de la dirección ejecutiva bajo la dirección del CEO. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS 60 Modelo de Referencia de Procesos de COBIT® 5 61 Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando las metas de gobierno y gestión queden cubiertas. EDM PBRM (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados 37 procesos de gobierno y gestión (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la Implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51) 9-8935-4789 [email protected] www.jagi.pe Habiltiadores/Catalizadores COBIT® 5 (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Categorías de catalizadores Principios, políticas y Son el vehículo para traducir el comportamiento deseado en guías prácticas marcos de referencia para la gestión del día a día. Procesos Estructuras organizativas Cultura, ética y comportamiento Información Servicios, infraestructuras y aplicaciones Las personas, habilidades y (51) 9-8935-4789 competencias [email protected] www.jagi.pe Describen un conjunto organizado de prácticas y actividades para alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las metas generales relacionadas con TI. Son las entidades de toma de decisiones clave en una organización. De los individuos y de la empresa son muy a menudo subestimados como factor de éxito en las actividades de gobierno y gestión. Impregna toda la organización e incluye toda la información producida y utilizada por la empresa. A nivel operativo, la información es muy a menudo el producto clave de la empresa en sí misma. Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa, servicios y tecnologías de procesamiento de la información. Están relacionadas con las personas y son necesarias para poder completar de manera satisfactoria todas las actividades y para la correcta toma de decisiones y de acciones correctivas. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Dimensiones comunes Proporcionan una manera común, simple y estructurada de tratar con los catalizadores 6 6 Las empresas esperan resultados positivos de la aplicación y uso de los catalizadores (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Partes interesadas Participantes que juegan un papel activo y/o tienen un interés en el mismo. 67 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Partes interesadas Las necesidades de las partes interesadas se traducen en metas para la empresa, las cuales se traducen, a su vez, en metas TI para ésta. 6 8 Todas las cuestiones mencionadas se pueden relacionar con las metas corporativas y servir como entradas a la cascada de metas, lo que permite que puedan ser resueltas con efectividad. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Las metas Se pueden definir en términos de: •Resultados esperados del catalizador •Aplicación u operativa del propio catalizador 69 Categoría: Calidad Intrínseca •Medida en la que los catalizadores trabajan de forma precisa, objetiva y proporcionan unos resultados precisos, objetivos y de confianza. Categoría: Calidad Contextual •Medida en la que los catalizadores y sus resultados, en el contexto en el que operan, se ajustan a un propósito (los resultados deberían ser relevantes, completos, estar actualizados, ser apropiados, consistentes, comprensibles y fáciles de usar). Categoría: Accesibilidad y Seguridad •Medida en la que los catalizadores y sus resultados son accesibles y están protegidos: •Los catalizadores están disponibles cuando, y si, se necesitan. •Sus resultados están protegidos, es decir, el acceso está restringido a quiénes están autorizados y los necesitan. (51) 9-8935-4789 www.jagi.pe [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Algunas partes interesadas definen y establecen las políticas mientras que las otras tienen que alinearse y cumplir con ellas. 70 Los principios, políticas y marcos de referencia son los instrumentos para comunicar las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los define el Consejo y el comité ejecutivo de dirección. Los principios han de ser: • Limitados en número • Redactados en un lenguaje sencillo, expresando de la forma más clara posible, los valores fundamentales de la empresa. (51) 9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Las políticas tienen un ciclo de vida que ha de apoyar la consecución de las metas definidas. Los marcos de referencias son clave porque proporcionan la estructura para definir una directriz coherente 71 • Las buenas prácticas requieren que las políticas formen parte del marco de gobierno y de gestión general, proporcionando una estructura (jerárquica) a la que deberían ceñirse todas las políticas y actuando de enlace con los principios subyacentes. • Las políticas deberían estar alineadas con el umbral de riesgo de la empresa. • Las políticas necesitan ser revalidadas y/o actualizadas a intervalos regulares. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Las partes interesadas y sus niveles de responsabilidad están documentadas en las matrices RACI. Las métricas se pueden definir como ‘una entidad cuantificable que permite medir la consecución de las metas de un proceso. Las métricas deberían ser – específicas, medibles, practicables (permitan tomar 7 decisiones), relevantes y oportunas– 2 (SMART) (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Modelo RACI COBIT® 5 7 3 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Un estructura organizativa tiene un ciclo de vida. Es creada, existe y es ajustada y, finalmente, puede ser disuelta. Durante su creación, se debe definir un mandato –una razón y un propósito para su existencia. 74 (51) 9-8935-4789 www.jagi.pe [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Se pueden distinguir varias buenas prácticas para las estructuras organizativa s como: (51) 9-8935-4789 [email protected] Principios operativos Las modalidades prácticas respecto a cómo la estructura operará, como frecuencia de reuniones, documentación y reglas de mantenimiento. Composición Las estructuras tienen miembros, los cuales son partes interesadas internas75 o externas. Ámbito de control Los límites de los derechos de decisión de la estructura organizativa. Niveles de autorización/ derechos de decisión Las decisiones que la estructura está autorizada a tomar. Delegación de autoridad La estructura puede delegar (un subconjunto de) sus derechos de decisión a otras estructuras dependientes que le reportan. Procedimiento de escalado La ruta de escalado para una estructura organizativa describe las acciones requeridas en caso de problemas en la toma de decisiones. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Conjunto de conductas individuales y colectivas dentro de una empresa Ética organizativa, éticas individuales, comportamientos individuales Una empresa puede identificar cambios necesarios y trabajar orientada hacia su implementación. (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados El alcance del catalizador información se refiere principalmente a la fase de “información” dentro del ciclo de la información, pero también se cubren los aspectos de datos y conocimientos en COBIT® 5. (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados • Las inversiones en información y tecnologías relacionadas se basan en los casos de negocio, que incluyen análisis costo-beneficio. • El costo y beneficio no se refiere sólo a factores tangibles y medibles, sino que también tiene en cuenta factores intangibles tales como la ventaja competitiva, la satisfacción del cliente y la incertidumbre de la tecnología. • Sólo cuando se aplica o se utiliza el recurso de la información es cuando una empresa genera beneficios de la misma, por lo que el valor de la información está determinado únicamente a través de su uso (internamente o mediante su venta), ya que la información no tiene valor intrínseco. • Es sólo cuando se pone la información en acción cuando se puede (51) 9-8935-4789 generar ese valor. [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservad www.jagi.pe os Las metas para la información están divididas en tres sub-dimensiones de calidad: 79 Calidad intrínseca El grado en que los valores de los datos están en conformidad con los valores reales o verdaderos. • Precisión El grado en que la información es correcta y confiable • Objetividad El grado en que la información es objetiva, sin prejuicios e imparcial • Credibilidad El grado en que la información es considerada como verdadera y creíble • Reputación El grado en que la información está altamente en términos de su origen o contenido considerada (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados Las metas para la información están divididas en tres sub-dimensiones de calidad: Calidad contextual El grado en que la información es aplicable a la tarea del usuario de la información y es y de presentada en una manera clara e inteligible, representatividad reconociendo que la calidad de la información depende del contexto de su uso. 80 • Relevancia: El grado en que la información es aplicable y útil para la tarea a realizar • Completitud: El grado en que la información no tiene carencias y es de la suficiente profundidad y amplitud para la tarea a realizar • Vigencia: El grado en que la información está lo suficientemente actualizada para la tarea a realizar • La cantidad apropiada de información: El grado en que el volumen de información es adecuado para la tarea a realizar • Representación concisa: El grado en que la información se representa de forma compacta • Representación consistente: El grado en que la información se presenta en el mismo formato • Interpretabilidad: El grado en que la información está expresada en los idiomas, símbolos y unidades apropiados, con definiciones claras • Comprensibilidad: El grado en que la información sea fácil de comprender • Facilidad de manipulación: El grado en que la información es fácil de manipular y de aplicar(51) a diferentes tareas 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Las metas para la información están divididas en tres sub-dimensiones de calidad: 81 Accesibilidad y seguridad: El grado en que la información está disponible o que puede obtenerse. •Disponibilidad/ oportunidad: El grado en que la información está disponible cuando se requiera, o que es rápida y fácilmente recuperable •Acceso restringido: El grado en que el acceso a la información se restringe adecuadamente a las partes autorizadas (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Las metas de la capacidad de nivel de servicio se expresan en términos de servicio — aplicaciones, infraestructura, tecnología — y de niveles de servicio, teniendo en cuenta que los servicios y niveles de servicio son más económicos para la empresa. 82 Las capacidades de servicio en el futuro o en proyecto se describen normalmente mediante una arquitectura objetivo. Dicha arquitectura cubre los bloques constituyentes, tales como futuras aplicaciones y el modelo de infraestructura objetivo y también describe los vínculos y las relaciones entre estos bloques de construcción. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Principios de arquitectura Reutilización • Los componentes comunes de la arquitectura deberían ser utilizados en el diseño e implementación de soluciones como parte de las arquitecturas objetivo o de transición. 83 Comprar frente a construir • Las soluciones deberían ser adquiridas a menos que exista una razón para aprobar su desarrollo interno. Simplicidad • La arquitectura de la empresa debería ser diseñada y mantenida para ser tan simple como sea posible sin dejar de cumplir con los requisitos de la empresa. Agilidad • La arquitectura de la empresa debería incorporar agilidad para satisfacer las cambiantes necesidades de negocio de una manera eficaz y eficiente. Apertura • La arquitectura de la empresa debería aprovechar los estándares abiertos de la industria. (51)9-8935-4789 [email protected] www.jagi.pe FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS 84 [email protected] (51) 9-8935-4789 www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados 85 [email protected] (51) 9-8935-4789 www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51) 9-8935-4789 [email protected] www.jagi.pe Governance of Enterprise IT (GEIT) • Actualmente la GEIT (Gobierno corporativo de TI) se basa en 3 pilares: • Garantizar la realización de beneficios • Optimizar los recursos • Optimizar Riesgos • Esta visión integral de las iniciativas de TI asegura que todos los proyectos de TI aprobados traerá un poco de valor a la empresa, a un costo aceptable y bajo riesgos comprendidos y aceptados con un ROI conocido (Retorno sobre la Inversión) o un VOI estimado (Valor sobre la inversión). • Las iniciativas GEIT deben tomar una visión equilibrada y holística de las cinco áreas de interés de GEIT: • • • • • 87 Alineación estratégica El riesgo de la gestión La entrega de valor La gestión de recursos La medición del desempeño (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Algunas reflexiones… • Podemos obtener un valor óptimo aprovechando COBIT como marco para construir sobre las iniciativas GEIT solo si es adoptado y adaptado de manera eficaz para ajustarse al entorno único de cada empresa. • Cada enfoque de implementación también necesitará resolver desafíos específicos, incluyendo la gestión de cambios a la cultura y el comportamiento. 88 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Usualmente padecemos de… (pain points) (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos rese rvados (51) 9-8935-4789 [email protected] www.jagi.pe Veamos… ISACA proporciona amplias y prácticas guías de implementación en su publicación COBIT 5 Implementación, que está basada Así, esta parte tratará el tema en un ciclo de de implementación desde un vida de mejora punto de vista de alto nivel continua. (51) 9-8935-4789 [email protected] www.jagi.pe Pero… no está pensada con un enfoque prescriptivo ni como una solución completa, sino más bien como una guía para evitar los obstáculos más comunes, aprovechar las mejores prácticas y ayudar en la creación de resultados satisfactorios. FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS Mapa de implementación de Gobierno de TI en las organizaciones 92 (51)9-8935-4789 [email protected] www.jagi.pe Diagrama ejemplo 93 (51) 9-8935-4789 [email protected] www.jagi.pe Entonces… debemos considerar el contexto empresarial El gobierno y la gestión de la TI empresarial no suceden de manera aislada. (51) 9-8935-4789 [email protected] e www.jagi.pe Cada empresa necesita diseñar su propio plan de implantación, atendiendo a los factores específicos del entorno interno y externo de la empresa Contexto empresarial Recordemos, el enfoque óptimo para el gobierno y gestión de la TI empresarial será distinto para cada empresa, siendo necesario entender y considerar el contexto para adoptar y adaptar COBIT de modo efectivo en la implementación de los catalizadores de gobierno y gestión de TI empresarial. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Y… debemos crear el entorno apropiado La mayoría de las iniciativas relacionadas con TI fracasan a menudo por una dirección, soporte y supervisión inadecuados por las distintas partes interesadas necesarias. 95 El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras sean adoptadas y mantenidas. Los requerimientos basados en aspectos sensibles y factores actuales deberían ser identificados por la dirección como áreas que tienen que ser consideradas. Desde el inicio se debe solicitar el compromiso e interiorización de las partes interesadas más relevantes. Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser claramente expresados en términos de negocio y resumidos en un caso de negocio. Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos adecuados para apoyar el programa. Los roles y responsabilidades esenciales del programa deberían ser definidos y as([email protected] ig1)n9-8a93d5-o47s89. www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados • • • • • • • • • • Además… debemos reconocer los puntos débiles y sus eventos desencadenantes… aquí algunos solamente Frustración a nivel de negocio con iniciativas fallidas, incrementando los costos de TI y la percepción de bajo valor de negocio. Incidentes significativos relativos al riesgo de TI, como pérdida de datos y fallos en proyectos. Problemas en la externalización de la entrega del servicio, como por ejemplo el fallo sistemático al mantener los niveles de servicio acordados. Incapacidad de cumplir con requerimientos regulatorios o contractuales. Limitación por TI de las capacidades de innovación de la compañía y la agilidad de negocio. Hallazgos periódicos de auditoría en relación al bajo rendimiento de TI o notificación de problemas de calidad de servicio de TI. Gastos de TI ocultos o malintencionados. Duplicación o superposición entre iniciativas, o despilfarro de recursos, como la cancelación prematura de un proyecto. Insuficientes recursos de TI, personal con habilidades inadecuadas, agotado o insatisfecho. Fallos en los cambios de TI a la hora de alcanzar las (51) 9-8935-4789 necesidades de negocio y entregados tarde o con sobre [email protected] costo. www.jagi.pe 96 Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Y… facilitar el cambio… y no negar o minimizar lo evidente • Miembros del consejo, altos directivos y ejecutivos de alto nivel que son reticentes en implicarse con las TI o una ausencia de patrocinadores de las TI comprometidos y satisfechos. • Modelos operativos de TI complejos. • Fusiones, adquisiciones o desinversiones. • Un movimiento en el mercado, la economía o en una posición competitiva. • Un cambio en el modelo operativo de negocio o en el modelo de dotación de recursos. • Nuevos requerimientos regulatorios y legales. • Un cambio tecnológico significativo o un nuevo paradigma. • Un proyecto de ámbito corporativo. • Un nuevo CEO, CFO, CIO, etc. • Auditorías externas o revisiones de consultores. • Una nueva estrategia o prioridad de negocio. (51) 9-8935-4789 [email protected] www.jagi.pe •… 9 7 Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados GEIT se enfoca en la Mejora continua, Gestión del cambio (cambio organizacional - comportamientos y cultura), y en la Gestión de la cartera y del portafolio, para asegurarse de que 98 TI no está cegado en un mundo aparte, sino integrado de forma que el negocio puede confiar en él como un aliado importante y uno de los facilitadores del éxito de las organizaciones. Un enfoque de ciclo de vida (51) 9-8935-4789 [email protected] www.jagi.pe A lo largo del tiempo, el ciclo de vida debería seguirse de modo iterativo, al tiempo que se construye un modelo sostenible de gobierno y gestión de TI corporativa. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Resumamos Fase 1 • Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de dirección ejecutiva. Fase 2 • Define el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de revisión de capacidad. Fase 3 • Establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras actividades de largo plazo. 99 Fase 6 • Planifica soluciones prácticas y desarrolla un plan de cambios para la implementación. • Las soluciones propuestas son implementadas. Se pueden definir las mediciones y establecer la supervisión empleando las metas y métricas de COBIT. • Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión de la consecución de los beneficios esperados. Fase 7 • Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial. Fase 4 Fase 5 (51) 9-8935-4789 www.jagi.pe [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Caso de negocio 100 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados El caso de negocio no es un documento estático puntual, sino una herramienta dinámica y operativa que debe ser continuamente actualizada para reflejar las previsiones actuales, de manera que se pueda 101 mantener una perspectiva de la viabilidad del programa. (51) 9-8935-4789 [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Bueno, el caso de negocio debería incluir Los objetivos de beneficio de negocio, su alineación con la estrategia de negocio y los propietarios asociados del beneficio (quién dentro del negocio será responsable de asegurarlos). Los cambios de negocio requeridos para crear el valor previsto. Esto podría basarse en comprobaciones y análisis de 1 2 0 deficiencias de capacidad y deberían indicar claramente qué está dentro del ámbito y qué está fuera de él. Las inversiones precisas para realizar los cambios de gobierno y gestión de TI corporativa (basado en estimaciones de proyectos necesarios). Los costos ordinarios de TI y de negocio. Los beneficios esperados de operar en el nuevo modo. El riesgo inherente en los puntos anteriores, incluyendo cualquier restricción o dependencia (basado en los desafíos y factores de éxito). Roles, responsabilidades y obligaciones relativas a la iniciativa. Cómo la inversión y la creación de valor serán supervisadas a través del ciclo de vida económico y cómo se usarán las métricas (basado en metas y métricas). (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Un ejemplo VISIÓN ¿quiénes somos y por qué estamos 103 aquí? MISIÓN EXTERNO Factores regulatorios Económicos Tecnológicos Marco Presupuestario ... OBJETIVOS ESTRATÉGICOS (¿a dónde queremos llegar? DIAGNÓSTICO INTERNO Unidades estratégicas Estructura Procesos ÁREAS CLAVES DE DESEMPEÑO Funciones Recursos ... ¿dónde estamos? ¿cómo mantenemos el impulso? (51) 9-8935-4789 [email protected] www.jagi.pe METAS PROGRAMAS, PLANES TÁCTICOS Y OPERATIVOS, PROYECTOS INDICADORES Fortalezas y debilidades Amenazas y Oportunidades ANÁLISIS ¿dónde estamos? ¿cómo lo hacemos y cómo sabemos si hemos llegado? (seguimiento, re-planificación, procesos, mejora continua, seguridad…) JUFNuTeOntAe TCOUBEIMT®PR5E,©SA2A0P1O2YISAANCDAO®LTAoSdGoRsAo lNsDdEerSeIcNhNosOrVeAseCrIvOaNdEoSs 104 (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Trabajemos un poco… 105 Tell me and I will forget Show me and I will remember Involve me and I will understand -Lao Tse (51)9-8935-4789 [email protected] www.jagi.pe La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51)9-8935-4789 [email protected] www.jagi.pe Veamos… • COBIT® 5 incluye un modelo de capacidad de procesos, basado en la norma ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos. • Un modelo de procesos define un catálogo, una colección estructurada, buenas prácticas que describen las características de un proceso efectivo. • La ISO/IEC 15504 proporciona los principios requeridos para realizar una evaluación de la implantación de dicho modelo de procesos en una organización. • Software Process Improvement Capability Determination (SPICE) significa «Determinación de la Capacidad de Mejora del Proceso de Software» (51) 9-8935-4789 [email protected] www.jagi.pe Fuente: ISO/IEC15504 ISO/IEC 15504 Esta evaluación es muy exigente respecto a lo que debe cumplir cada proceso para ascender de nivel, y permite, entre otras cosas, lo siguiente: (51) 9-8935-4789 Establecer un punto de referencia para la evaluación de la capacidad. Realizar revisiones sobre “el estado actual (as-is)” y “el estado objetivo (to-be)” para asistir al órgano de Gobierno y de Gestión de la empresa en la toma de decisiones de inversiones para la mejora de procesos. Realizar un análisis de carencias e información sobre la planificación de mejoras para apoyar la definición de proyectos de mejora justificables. Proporcionar al órgano de Gobierno y de Gestión de la empresa los porcentajes de evaluación para medir y monitorizar la capacidad actual. La evaluación de las prácticas del proceso revelará qué prácticas faltan o están fallando, habilitando la implementación y/o la mejora de esas prácticas y permitiendo alcanzar todos los objetivos de los procesos. [email protected] www.jagi.pe Fuente: ISO/IEC15504 Términos clave Calidad • La calidad de un producto o servicio está altamente influenciada por el proceso que se utiliza (CMMI). • Para el establecimiento o medición del nivel de implantación de las prácticas descritas en el modelo se utilizan dos enfoques, que permiten alcanzar los mismos resultados pero utilizando estrategias diferentes. Nivel de madurez • Conjunto de prácticas, preestablecidas por el modelo, que se deben garantizar por la Organización en su conjunto. • Es decir, o se cumplen todas o no se tiene el nivel de madurez. • En términos del modelo son las áreas de proceso que se consideran en cada nivel de madurez y que van evolucionando. Nivel de capacidad • Es un análisis individual y no de conjunto. • Por cada área de proceso se evoluciona de generar los artefactos o resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo definido como proceso estándar. • La idea es que mejora la calidad de los productos propios del proceso y en su conjunto contribuyen a mejorar la calidad del producto o servicio que se (51) 9-8935-4789 desarrolla. [email protected] www.jagi.pe Fuente: http://gesegtic.blogspot.pe/2014/09/analisis-de-madurez-y-capacidad-de.html Niveles de capacidad, atributos de proceso de ISO/IEC 15504 Nivel 0 – Inmadura Nivel 1 – Básica La organización no tiene una implementació n efectiva de procesos La organización implementa y alcanza los objetivos de los procesos PA 1.1 Rendimiento del proceso (51)9-8935-4789 [email protected] www.jagi.pe Nivel 2 – Gestionada La organización gestiona los procesos y los productos resultantes se establecen, controlan y mantienen PA 2.1 Gestión del rendimiento PA 2.2 Gestión del producto de trabajo 6 niveles de capacidad Nivel 4 – Predecible Nivel 3 – Establecida La organización gestiona de forma cuantitativa los procesos La organización utiliza procesos definidos basados en estándares PA 4.1 Medición del proceso PA 3.1 Definición del proceso PA 3.2 Implementación del proceso PA 4.2 Control del proceso Nivel 5 – Optimizado 110 La organización mejora en forma continua los procesos para cumplir los objetivos de negocio PA 5.1 Innovación del proceso PA 5.2 Optimización del proceso 9 atributos de proceso Realización de la evaluación ISO/IEC 15504-2 • Evidencias de Realización del Proceso (Dimensión del proceso) –111 outcomes. • Evidencias de la Capacidad del Proceso (Dimensión de la capacidad) –prácticas genéricas/atributos. Process Assessment Model (PAM): Using COBIT® 5 COBIT® 5 (51)9-8935-4789 [email protected] www.jagi.pe Elementos de la norma ISO/IEC 15504-2 112 La norma describe los requisitos mínimos para realizar una evaluación asegurando un nivel de consistencia y capacidad de repetición. (51) 9-8935-4789 www.jagi.pe [email protected] Fuente ISO/IEC 15504-2 … ISO/IEC 15504 Alcanzar el nivel 1 requiere que el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se ejecuta con éxito y la organización obtiene los resultados esperados. Debe tenerse en cuenta que Si el resultado requerido de un proceso no se alcanza de manera continuada, el proceso no alcanza su objetivo y necesita ser me jorado. (51)9-8935-4789 [email protected] www.jagi.pe El proceso debe estar descrito en términos de su propósito y resultados. Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados (51)9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Niveles de capacidad El proceso de evaluación de COBIT® 5 (PAM) está basado en evidencia para permitir una evaluación confiable, coherente y repetible en el ámbito del Gobierno y la Gestión de las TI de la Empresa. El PAM de COBIT® 5 se compone de un conjunto de indicadores de desempeñoy capacidad del proceso. Los indicadores se utilizan como base para recopilar pruebas [email protected] Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados www.jagi.pe objetivas que permitan a un evaluador asignar calificaciones. (51) 9-8935-4789 Escala de evaluación • N - No alcanzado (0 - 15%) • Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso de evaluación. • P - Parcialmente alcanzado (>15% - 50%) • Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado. • Algunos aspectos del logro del atributo pueden ser impredecibles. • L – Ampliamente alcanzado (>50% - 85%) • Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido en el proceso evaluado. • Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso evaluado. • F - Completamente alcanzado (>85%-100%) • Se ha conseguido totalmente el atributo definido. • No existen debilidades significativas relacionadas con el atributo en el proceso evaluado. (51) 9-8935-4789 [email protected] www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados Proceso de evaluación 1. Initiate an assessment (assessment sponsor) 2. Select assessor and assessment team 3. Plan the assessment, including processes and organizational unit to be assessed (lead assessor and assessment team) 4. Pre-assessment briefing 5. Data collection 6. Data validation 7. Process rating 8. Reporting the assessment result (51) 9-8935-4789 [email protected] www.jagi.pe Fuente: https://en.wikipedia.org/wiki/ISO/IEC_15504 Un ejemplo 118 (51) 9-8935-4789 [email protected] www.jagi.pe Fuente: RODRIGO MUÑOZ SERNA, MARIO ALBERTO MARTINEZ ARIAS. “Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK, para la implementación en la industria Editorial Colombiana, apoyando el proceso de transformacióndigital”. MAESTRÍA EN GESTIÓN INFORMÁTICA Y TELECOMUNICACIONES. SANTIAGO DE CALI. 2012 Trabajemos un poco… 119 Tell me and I will forget Show me and I will remember Involve me and I will understand -Lao Tse (51) 9-8935-4789 [email protected] www.jagi.pe La bibliografía oficial debe conseguirse en: http://www.isaca.org/cobit/pages/default.aspx Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf ¿Dudas, Preguntas, Consultas, Aportes? Mg. Ing. Jack Daniel Cáceres Meza, PMP (51) 9-8935-4789 [email protected] www.jagi.pe ¿Dudas, Preguntas, Repasemos Consultas, Aportes? Mg. Ing. Jack Daniel Cáceres Meza, PMP (51) 9-8935-4789 [email protected] www.jagi.pe ¿Qué principio es clave para el buen gobierno y gestión de la empresa? • A. Gestión de Operaciones de TI • B. Asegurar la Optimización de Recursos • C. Creación de un enfoque holístico • D. Gestión de la Información ¿Qué habilitador describe las entidades clave en la toma de decisiones en una organización? • A. Estructuras organizativas • B. Procesos • C. Las personas, habilidades y competencias • D. Principios, políticas y marcos ¿Qué proceso se incluirá en el dominio del proceso construir, adquirir y poner en práctica de la Gestión Corporativa de TI? • A. Manejo de la Continuidad • B. Gestionar las operaciones • C. Gestionar los Riesgos • D. Gestionar la disponibilidad y la capacidad ¿Qué producen los procesos como resultado de su funcionamiento? • A. Gráficos RACI • B. Aspectos Culturales • C. Capacidades de servicio (51) 9-8935-4789 • D. Objetivos comerciales [email protected] www.jagi.pe CONTENIDO • Introducción y características de COBIT® 5 • Motivadores • Beneficios • Evolución • Principios de COBIT ® 5 • Introducción de los cinco principios • Desarrollo de los cinco principios • Habilitadores/Catalizadores en COBIT ® 5 • Desarrollo de los siete habilitadores/catalizadores • Introducción a la implementación en COBIT® 5 • Modelo de valoración de la capacidad de los procesos (PAM) • Cómo estudiar y crear un plan de estudio • Tips para rendir el examen • Examen de simulación (51) 9-8935-4789 [email protected] www.jagi.pe Plan de estudio y tips • Entender, organizar la información recibida • Entienda que la estructura (orden) presentada es un compendio de mejores prácticas en la industria • Céntrese en conocimientos recibidos –no en la experiencia personal (esto es fatal estadísticamente) • Entienda los términos y sus -sutiles- diferencias • No olvide las equivalencias de las palabras • Identifique las palabras clave que son útiles para usted • Identifique qué es primero, o qué no tiene relación (distractores) • Las preguntas no siempre están circunscritas a módulos específicos; algunas respuestas pueden requerir entendimiento de interrelaciones, qué o en dónde se hace qué, procesos y sub-procesos, y funciones involucradas en COBIT® 5 • No asuma lo que no está escrito (51) 9-8935-4789 [email protected] www.jagi.pe Plan de estudio y tips • Las preguntas son 40 –se aprueba con un mínimo de 65% respuestas correctas • Lea la pregunta, identifique en qué módulo se centra o con cuáles se relaciona y trate de encontrar una respuesta –SIN MIRAR LAS ALTERNATIVAS • Busque los distractores en la respuesta • Busque LA MEJOR respuesta SEGÚN COBIT® 5 • No necesariamente -ni siempre- la respuesta más simple es la correcta –ni tampoco la más desarrollada analice, más palabras no siempre implica más claridad • Busque relación entre palabras clave en la pregunta con la respuesta • Identifique las combinaciones que son incorrectas (51) 9-8935-4789 [email protected] www.jagi.pe Gracias por su atención ¿Dudas, Preguntas, Consultas, Aportes? Cualquier esfuerzo resulta ligero con el hábito. Tito Livio Mg. Ing. Jack Daniel Cáceres Meza, PMP (51) 9-8935-4789 [email protected] www.jagi.pe