Subido por Orlando Pacheco Curi

COBIT FUNDAMENTOS 17FEB2018 RESUMEN 17feb2018

Anuncio
Objetivos de Control para Información y
Tecnologías Relacionadas
COBIT 5
DR. CPCC ORLANDO ENRIQUE
PACHECO CURI
Objetivos del curso
• COBIT® 5 ayuda a maximizar el valor de la información mediante la
incorporación de las últimas técnicas de Gobierno y Gestión de la empresa.
• Así, el curso busca proveer al interesado principios y prácticas mundialmente
aceptados así como herramientas analíticas y modelos para ayudar a
incrementar la confianza y el valor de sistemas de información alineados con los
objetivos del negocio.
• Por tanto, el curso está dirigido, pero no limitados a, los siguientes interesados:
• Ejecutivos de negocios
• Dueños de procesos de TI, responsables de la función de TI
• Responsables de riesgos y de implementar y asegurar controles, responsables de
evaluar y auditar los controles de TI, responsables del cumplimiento, aseguramiento y
control interno de TI, profesionales en aseguramiento de calidad de TI
• Proveedores de servicios de TI, prestadores de servicios de TI, terceros responsables de
apoyar la función de TI
• Usuarios de TI
• Cualquier interesado en el gobierno corporativo de TI y en la generación de valor para el
negocio.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Metodología
• El método de transferencia de conocimiento tendrá un carácter
inductivo, lógico y motivador, intuitivo – visual, activo y flexible.
• Se usarán técnicas de exposición participativa, desarrollo de
trabajo de grupo aplicando los contenidos teóricos recibidos.
• Se analizarán casos donde se requiera proponer alternativas de
solución empleando el conocimiento recibido.
• En general:
• Desarrollo de mapas mentales y revisión de conceptos relacionadas a
preguntas tipo examen COBIT® 5 Fundamentos
• Consultas atendidas en las sesiones y/o por e-mail, durante todo el curso
(respuestas por las mañanas)
• Simulacro de examen tipo COBIT® 5 Fundamentos
(51) 9-8935-4789
[email protected]
www.jagi.pe
Sílabo resumen
SESIÓN
CONTENIDO
HORARIO
01
• Introducción a COBIT® 5
• Características de COBIT® 5
08:00 a 14:00 horas
02
• Principios de COBIT® 5
• Catalizadores de COBIT® 5
08:00 a 14:00 horas
03
• Introducción a la implementación
• Modelo de valoración de la capacidad de
08:00 a 14:00 horas
los procesos
04
• Propuesta de plan de estudio
• Tips
• Simulacro de examen
(51) 9-8935-4789
[email protected]
www.jagi.pe
08:00 a 14:00 horas
La bibliografía oficial debe conseguirse en:
http://www.isaca.org/cobit/pages/default.aspx
5
Antes de empezar:
algunas reglas básicas de convivencia
• Dentro del salón de clase
• No fumar, comer o beber
• No utilizar equipos individuales de audio o vídeo –a no ser que se empleen
para fines académicos
• Evitar ruidos molestos -apagar el teléfono móvil
• Evitar distracciones
• Fuera del salón de clase
• Evitar generar ruido
• Evitar generar distracciones
• Identificar previamente la logística local (servicios generales)
• Luego de iniciada la clase, no tocar la puerta y esperar a que el
docente les permita el ingreso: 5’, 15’, segunda hora
• Educación, respeto, orden …
(51) 9-8935-4789
[email protected]
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
(51) 9-8935-4789
[email protected]
www.jagi.pe
¿Dudas, Preguntas,
Empecemos entonces
Consultas, Aportes?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
(51) 9-8935-4789
[email protected]
www.jagi.pe
Primero…
9
“Ningún viento es favorable para
quien no conoce el puerto al que
quiere arribar”
Séneca
(51) 9-8935-4789
[email protected]
www.jagi.pe
Información y tecnología
La Información es un recurso
clave para todas las empresas
La Información se crea, usa,
retiene, publica y destruye
La tecnología juega un papel
clave en todas esas acciones
La tecnología penetra todo los aspectos
de la vida personal y los negocios
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
La tecnología ha
jugado un papel
clave en el éxito
de las empresas y,
más que nunca,
los líderes de TI
tienen la presión
de ayudar a
generar ingresos
y brindar una
ventaja
competitiva.
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
¿Cómo pueden darse estos
beneficios para crear valor
para los interesados?
TI 
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Si la junta directiva se preocupa de…
13
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente Deloite Estudio 180 Empresas España 2012
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
¿Valor para los interesados?
• La entrega de valor requiere
un buen gobierno y gestión de
la información y tecnología
• Empresas, ejecutivos y
consejos de administración
deben aceptar que TI es tan
importante como cualquier otra
parte del negocio
• Los requisitos externos del
cumplimiento legal, regulatorio
y contractual relacionadas con
el uso de la información y la
tecnología van en aumento,
amenazando el valor si no se
cumplen
14
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Gobierno y Gestión
15
Gobierno
Gestión
• Asegura el cumplimiento
de objetivos empresariales
• Evalúa necesidades,
condiciones y opciones de
los interesados
• Dirige a través de la
priorización y toma de
decisiones
• Supervisa (Monitorea) el
desempeño y cumplimiento
contra la dirección y los
objetivos acordados
• Planea, Construye,
Opera y Supervisa
(Monitorea):
• Ciclo EDM
(Evaluate-Direct-Monitor)
• Las actividades
fijadas y acordadas
por el cuerpo de
gobierno
• Ciclo PBRM
(Plan-Build-RunMonitor)
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
No se puede gestionar lo que no se comunica
No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende
(51) 9-8935-4789
[email protected]
www.jagi.pe
Entonces se necesitan estrategias.
Pero, ¿quién las hace?
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente Deloite Estudio 180 Empresas España 2012
17
¿Y sobre qué se apoyan estas estrategias?
en la tecnología claro; entonces…
El marco de Gobierno de TI deberá ayudar a la alta dirección a saber si con
la información administrada es posible garantizar el logro de objetivos, ser
flexible, tener un buen manejo de riesgos y reconocer apropiadamente sus
oportunidades actuando acorde a ellas.
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE IT GOVERNANCE INSTITUTE,2007
Suficiente introducción…
19
“Ningún viento es favorable para
quien no conoce el puerto al que
quiere arribar”
Séneca
(51) 9-8935-4789
[email protected]
www.jagi.pe
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
[email protected]
www.jagi.pe
¿Hemos experimentado algo de esto?
Los proyectos de TI se justifican en
lenguaje técnico, cuesta entender y
justificar sus beneficios
La alta gerencia recibe métricas de TI
que no logra entender en términos de
negocio
TI se mira como “caja negra”, no se
logra determinar el valor
estratégico que entrega
Se desarrollan/compran sistemas de
información, que no entregan los
beneficios esperados
Los contratos con las software
factory se encarecen, pero la
disponibilidad es baja
Los contratos de servicios TI son
administrados por personas que no
saben de administración
TI se entera a última hora de que
habrá una fusión/cambios
estructurales, o que la adopción de
estándares, normas y otros le traerá
serios cambios radicales
Los usuarios entienden que quien
debe proteger la información es TI, no
ellos. “Los riesgos sólo vienen de los
hackers”
Cada nuevo marco que se quiere
implementar tiene su propia
(51) 9-8935-4789
terminología
[email protected]
www.jagi.pe
Todo se consolida en Excel
Aquí falta Gobierno de TI
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Pero…
22
• A fin de poder definir al Gobierno de
TI, debemos iniciar por definir al
Gobierno Corporativo:
• Conjunto de responsabilidades y
prácticas ejecutadas por la junta
directiva y la administración con el fin
de proveer dirección estratégica.
(ISACA, 2010)
• Pero, ¿de qué manera se provee una
correcta dirección estratégica para la
organización?
• Garantizando que los objetivos sean
alcanzados
• Estableciendo que los riesgos son
administrados apropiadamente
• Verificando que los recursos de la
empresa son usados de manera
responsable
(51)9-8935-4789
[email protected]
www.jagi.pe
• Dirección y control –
hacia donde va TI
para apoyar el
negocio y asegurar
que los objetivos son
alcanzables
• Responsabilidad
• Rendición de cuentas
• Actividades
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Porque las organizaciones deben
… Tratar con la cantidad de información,
que ha crecido significantemente en el
tiempo.
23
Proporcionar orientación adicional en el
ámbito de la innovación y las
tecnologías emergentes.
Cubrir completamente las
responsabilidades funcionales de TI y
del negocio, y todos los aspectos que
llevan a la gestión y el gobierno eficaz
de las TI de la empresa, tales como
estructuras organizativas, políticas y
cultura, además de los procesos.
Enlazar y, cuando sea relevante,
alinearse
(51) 9-8935-4789 con otros marcos y estándares
pp
ror
yeicn
tos_c
[email protected]
pjaagi.plees existentes en el mercado.
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
El marco COBIT® 5 es de carácter genérico y útil
para las empresas de todos los tamaños, ya sea
comercial, sin fines de lucro o del sector
público
Entra COBIT® 5 en la ecuación
•
NO es un estándar o una metodología
•
Es un compendio de mejores prácticas aceptadas internacionalmente
•
Se enfoca en el control más que en la ejecución
•
Puede implementarse acorde a las necesidades
(51)9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
¿Inquietudes o exigencias de TI?
25
[email protected]
(51) 9-8935-4789
www.jagi.pe
El marco COBIT® 5
Ayuda a crear valor óptimo de TI por
mantener un equilibrio entre la
obtención de beneficios y la
optimización de los niveles de riesgo y el
uso de los recursos
Permite que la información y la
tecnología relacionada sean gobernadas
y gestionadas de manera integral para
toda la empresa, abarcando de principio
a fin el negocio y áreas funcionales,
teniendo en cuenta los intereses de las
partes interesadas, internas y externas
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
GRC
Gobierno
Riesgo
(Administración)
Cumplimiento
• El ejercicio de la autoridad, control,
gobierno, acuerdo.
• Peligro, riesgo de pérdida, daño o
destrucción (el acto o arte de la gestión,
la manera de tratar, dirigir, seguir
adelante, o utilizar, con un propósito,
conducta, administración, dirección,
control)
• El acto de cumplimiento, un
rendimiento, en cuanto a su deseo,
demanda o propuesta; concesión;
presentación
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
¿Qué beneficio brindan la información
y la tecnología a las empresas?
Mantener la calidad de la información para
soportar decisiones de negocio
Generar valor para el negocio desde las
inversiones posibilitadas por TI
Lograr metas estratégicas y mejoras al
negocio mediante el uso eficaz
(excelencia operativa) e innovador de TI
Mantener los riesgos de TI a un nivel
aceptable
Optimizar el costo de los servicios entregados
por TI (y de la tecnología habilitadora)
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Así, entender COBIT® 5 permite…
Comprender los niveles riesgos asociados a TI y
tomar decisiones informadas para reducir los
incidentes de seguridad de la información.
Suministrar esta comprensión y la conciencia de
los riesgo para mejorar la prevención, detección y
recuperación dentro de una organización.
Proporcionar herramientas para que las
organizaciones mantengan información de
alta calidad para apoyar las decisiones de
negocios.
Ayudar a una organización a cumplir con los
requisitos reglamentarios y legales o
gubernamentales.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Entender el enfoque COBIT de la gobernanza y su
relación con otras mejores prácticas de TI.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Así, implementar COBIT® 5 permite…
Lograr los objetivos estratégicos y obtener los
beneficios de negocio a través del uso efectivo e
innovador de TI.
Apoyar el cumplimiento de las leyes,
reglamentos, acuerdos contractuales y políticas y
ganar ventaja competitiva sobre otras
organizaciones.
Reducir la complejidad y aumentar la
rentabilidad debido a una mejor y más fácil
integración de las normas de seguridad de
información, buenas prácticas y / o directrices
sectoriales específicas que resultan en la
excelencia operativa a través de una aplicación
fiable, eficiente de la tecnología.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Mejora de la integración de seguridad de la
información en la empresa, lo que resulta en una
mayor satisfacción de los usuarios con las
disposiciones de seguridad de la información y los
resultados
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Algunas estadísticas
• 25% de mejora en la satisfacción de los clientes
• 56% de mejora en la gestión de riesgos
• 15% de mejora en la cyber seguridad
• 14% de protección de la reputación
• 28% de reducción de costos de TI
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Evolución a un marco empresarial
32
Evolución del Alcance
Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0
Administración
(2008)
Control
Risk IT
(2009)
Auditoría
COBIT1
1996
(51) 9-8935-4789
[email protected]
www.jagi.pe
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
La bibliografía oficial debe conseguirse en:
http://www.isaca.org/cobit/pages/default.aspx
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Cubo de COBIT
33
X
COBIT 4.1
COBIT 5
Efectividad
Utilidad
Eficiencia
Usabilidad
Integridad
Libre de error
Confiabilidad
Credibilidad
Disponibilidad
Accesibilidad
Confidencialidad
Seguridad
Cumplimiento
Conformidad
(51)9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Familia de productos COBIT® 5
3
4
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Entendámonos
Lo que la gente dice conocer de
35
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Entendámonos
Lo que la gente cree que es CobiT
36
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Entendámonos
Lo que la gente ve en CobiT
37
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Entendámonos
Lo que realmente es CobiT
38
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Estructura COBIT
39
El control
de los
Que
satisfacen los
Es facilitado
por
Que
consideran
Procesos de TI
Requerimientos del
negocio
Declaraciones de control
Prácticas de control
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
COBIT aporta al Gobierno corporativo…
40
Integrando tecnología al Gobierno
Corporativo
Definiendo cuál es el rol del directorio en el
Gobierno de Tecnología
Separando claramente las actividades de
Gestión de las de Gobierno
A comprender que Negocio y Tecnología
están fusionadas
Vinculando cada inversión en Tecnología
con beneficios, recursos, riesgos, y
transparencia
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
COBIT aporta al Gobierno corporativo…
DECISIONES
¿Estamos haciendo lo correcto?
¿Estamos obteniendo los beneficios?
• La pregunta estratégica:
¿Está la inversión:
• De acuerdo con nuestra visión
• Coherente con nuestros objetivos de negocio
• Contribuyendo a nuestros objetivos
estratégicos
• Proporcionando valor a un costo económicoy
niveles de riesgo aceptable?
41
• La pregunta de valor:
¿Tenemos:
• Un conocimiento claro y compartido de los
beneficios esperados
• Una responsabilidad clara para realizar los
beneficios
• Una métrica relevante
• Un proceso eficaz de realización de beneficios?
¿Lo estamos logrando bien?
¿Lo estamos haciendo correctamente?
• La pregunta de arquitectura:
¿Está la inversión:
• De acuerdo con nuestra arquitectura
• Coherente con nuestros principios
arquitectónicos
• Contribuyendo a la población de nuestra
arquitectura
• En línea con otras iniciativas?
• La pregunta de entrega:
¿Tenemos:
• Procesos eficaces y disciplinados de dirección,
entrega y gestión de cambios
• Recursos técnicos y de negocio competentesy
disponibles para entregar:
• Las capacidades necesarias
• Los cambios de organización necesarios para
potenciar las capacidades?
(51) 9-8935-4789
[email protected]
www.jagi.pe
COBIT
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
En resumen…
Es un marco de gestión cuyos principios rectores y
procesos facilitadores optimizan la información y la
inversión en tecnología y el uso de TI para el
beneficio de las partes interesadas
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Principios de COBIT® 5
Conductores de valor para los Interesados
44
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
1. Satisfacer las necesidades de
las partes interesadas
45
• Las Organizaciones tienen
muchas partes interesadas y
“crear valor” significa cosas
diferentes – a veces
conflictivas – para cada una
de ellas.
• En el Gobierno se trata de
negociar y decidir entre los
diversos intereses de
beneficio de las diferentes
partes interesadas.
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
1. Satisfacer las necesidades de
las partes interesadas
El sistema de Gobierno deberá
considerar a todas las partes
interesadas al tomar decisiones
con respecto a la evaluación de
riesgos, los beneficios y el manejo
de recursos.
Para cada decisión
se puede, y se
debe, hacer las
siguientes
preguntas:
¿Quién recibe los
beneficios?
• ¿Quién asume el
riesgo?
• ¿Qué recursos se
necesitan?
5, © 2012 ISACA Todos los derechosreservados
•
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT®
®
Cascada de metas de COBIT® 5
•
•
desencadenan
Desarrolladas utilizando
dimensiones del BSC/CMI
Las necesidades de las Partes Interesadas
deben ser transformadas en una estrategia
accionable para la Organización.
4
7
Las metas en cascada de COBIT 5
traducen las necesidades de las Partes
Interesadas en metas específicas,
accionables y personalizadas dentro del
contexto de la Organización, de las metas
relacionadas con la TI y de las metas
habilitadoras.
Necesidades de las Partes
Interesadas (Socios, Accionistas,
etc.) y Metas Empresariales
Metas Corporativas de COBIT 5
Mapeo Detallado de las Metasde
Empresa y las Metas
Relacionadas con las TI
Metas relacionadas con las TI
¿Resultados?
(51) 9-8935-4789
[email protected]
www.jagi.pe
Mapeo Detallado de las Metas
Relacionadas con las TI y los
Procesos Relacionados con lasTI
Los catalizadores incluyen procesos, estructuras
organizativas e información, y para cada catalizador
puede
definirse
conjunto
de metas
relevantes
en
FUENTE
COBIT® 5,un
© 2012
ISACA® TODOS
LOS DERECHOS
RESERVADOS
apoyo de las metas relacionadas con la TI
Cascada de metas de COBIT® 5
Beneficios
• Define objetivos y
metas relevantes y
tangibles a varios
niveles de
responsabilidad.
• Filtra la base de
conocimiento de
COBIT® 5, sobre la
base de las metas
corporativas, para
extraer las guías
relevantes a incluir
en proyectos
específicos de
implementación,
mejora o
aseguramiento.
(51)9-8935-4789
[email protected]
www.jagi.pe
Consideraciones
Personalización
• Cada empresa
establece sus
objetivos con
distintas
prioridades, y estas
prioridades pueden
cambiar con el
tiempo.
• La asignación de
relevancia se
acercará a un
continuo de
diversos grados de
correspondencia.
• Cada empresa debe
construir su propia
cascada de metas,
compararla con
COBIT y luego
refinarla.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
2.
Cubrir la compañía extremo-a-extremo
• La información es
(de forma integral)
una de las categorías
• Cubre todas las
funciones y procesos
necesarios para
gobernar y gestionar
la información
corporativa y las
tecnologías
relacionadas donde
quiera que esa
información pueda
ser procesada.
• Dado este alcance
corporativo amplio,
COBIT® 5 contempla
todos los servicios TI
internos y externos
relevantes, así como
los procesos de
negocio internos y
externos. (51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, ©
de catalizadores de
COBIT.
4
9
• El modelo mediante
el que COBIT® 5
define los
catalizadores
permite a cada grupo
de interés definir
requisitos
exhaustivos y
completos para la
información y el ciclo
de vida de
procesamiento de la
información,
conectando de este
modo el negocio y su
necesidad de una
información
adecuada y la
función TI, y
soportando el
negocio y el enfoque
de
contexto.
SACA Todos losderech
®
Enfoque de gobierno
Catalizadores de gobierno
• Recursos organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son
dirigidas y los objetivos pueden ser alcanzados.
• Recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI,
aplicaciones, etc.), personas e información.
50
Alcance de gobierno
• Puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc.
• Es esencial definir bien este alcance del sistema degobierno.
Roles, actividades y relaciones
• Definen quién está involucrado en el gobierno, cómo se involucran, lo que hacen y cómo
interactúan, dentro del alcance de cualquier sistema degobierno.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
3. Aplicar un marco de referencia
único integrado
COBIT® 5 está
alineado con
los últimos
marcos y
normas
relevantes
usados por las
organizaciones
Corporativo
COSO, COSO ERM,
ISO/IEC 9000,
ISO/IEC 31000
Relacionado con
TI
ISO/IEC 38500, ITIL®,
la serie ISO/IEC 27000,
TOGAF,
PMBOK/PRINCE2,
CMMI
Entre otros
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
• Un marco general
único sirve como una
fuente consistente e
integrada de guía en
un lenguaje común,
no-técnico
y
tecnológicamente
agnóstico.
• Proporciona
una
arquitectura
simple
para estructurar los
materiales de guía y
producir un conjunto
consistente.
• Integra
todo
el
conocimiento
disperso previamente
en
los(51) 9-8935-4789
diferentes
marcos [email protected]
ISACA.
www.jagi.pe
• Poblar
una
base
de
conocimiento COBIT® 5 que
contiene todas las guías y
contenido producido hasta
ahora y que proporcionará
una
estructura
para
contenidos
futuros
adicionales.
• Proporciona una referencia
base de buenas prácticas
exhaustiva y sólida.
4. Habilitar/facilitar (hacer posible)
un enfoque holístico
Factores que,
individual y
colectivamente,
influyen sobre
si algo
funcionará – en
este caso, el
gobierno y la
gestión de la
empresa TI.
Son guiados por la
cascada de metas, es
decir, objetivos de alto
nivel relacionados con TI
definen lo que los
diferentes catalizadores
deberían conseguir.
Catalizadores
Algunos son también
recursos corporativos
que también
necesitan ser
gestionados y
gobernados:
• La información, que
necesita ser gestionada
como un recurso.
• Servicios,
infraestructura y
aplicaciones.
• Personas, habilidades y
competencias.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
Gobierno y Gestión Sistémicos Mediante
Catalizadores Interconectados
Para una buen toma de decisiones
Cada catalizador
necesita del
resultado de otros
catalizadores para
ser completamente
efectivo, por
ejemplo, los
procesos necesitan
información, las
estructuras
organizativas
necesitan
habilidades y
(51) 9-8935-4789
comportamiento.
[email protected]
www.jagi.pe
Cada catalizador
proporciona una
salida para beneficio
de otros
catalizadores, por
ejemplo, los
procesos
proporcionan
información,
habilidades y el
comportamiento
hace los procesos
eficientes.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Breve descripción de los catalizadores
Principios,
Políticas y
Marcos
Procesos
Estructuras
Organizativas
Cultura, Ética y
Comportamiento
• Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la
administración diaria.
• Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro
de las metas globales relacionadas con la TI.
• Constituyen las entidades claves para la toma de
decisiones en una organización.
• De los individuos así como de la organización; se
subestima frecuentemente como factor de éxito en
las actividades de gobierno y administración.
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Breve descripción de los catalizadores
Información
Servicios,
Infraestructura
y Aplicaciones
Personas,
Habilidades y
Competencias
(51)9-8935-4789
[email protected]
www.jagi.pe
• Se encuentra presente en todo el ambiente de
cualquier organización; o sea se trata de toda la
información producida y usada por la
Organización.
• La información es requerida para mantener la
organización andando y bien gobernada, pero a
nivel operativo, la información frecuentemente es
el producto clave de la organización en si.
• Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y
procesamiento de tecnología de la información a
la organización.
• Están vinculadas con las personas y son
requeridas para completar exitosamente todas
las actividades y para tomar las decisiones
correctas, así como para llevar a cabo las
acciones correctivas.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Dimensiones (comunes) de los
Catalizadores de COBIT® 5
Conjunto de
dimensiones
comunes
(genéricos)
Proporcionan una manera común,
simple y estructurada de tratar
con los catalizadores
Permiten a una entidad manejar
sus complejas interacciones
Facilitan resultados exitosos de los
catalizadores
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Dimensiones comunes
5
8
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Buenas prácticas
59
Buenas prácticas significa que se está de
acuerdo, en general, en que la aplicación de
estas habilidades, herramientas y técnicas
puede aumentar las posibilidades de éxito
de una amplia variedad de proyectos.
Buenas prácticas no significa que el
conocimiento descrito deba aplicarse
siempre de la misma manera en todos los
proyectos; la organización y/o el equipo de
dirección del proyecto son responsables de
establecer lo que es apropiado para un
proyecto determinado.
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
5. Separar el Gobierno de la
Gestión
La posición de COBIT® 5 sobre esta fundamental
distinción entre gobierno y gestión es:
Gobierno
Gestión
• Asegura que se evalúan las
necesidades, condiciones y
opciones de las partes
interesadas para determinar que
se alcanzan las metas
corporativas equilibradas y
acordadas; estableciendo la
dirección a través de la
priorización y la toma de
decisiones; y midiendo el
rendimiento y el cumplimiento
respecto a la dirección y metas
acordadas.
• La gestión planifica, construye,
ejecuta y controla actividades
alineadas con la dirección
establecida por el cuerpo de
gobierno para alcanzar las metas
empresariales.
• En la mayoría de las empresas, el
(51) 9-8935-4789
gobierno
es responsabilidad del
[email protected]
consejo
de administración bajo
la dwiwrwe.jagci.peción de su presidente.
• En la mayoría de las empresas, la
gestión es responsabilidad de la
dirección ejecutiva bajo la
dirección del CEO.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
60
Modelo de Referencia de
Procesos de COBIT® 5
61
Una empresa puede
organizar sus procesos
como crea conveniente,
siempre y cuando las metas
de gobierno y gestión
queden cubiertas.
EDM
PBRM
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
37 procesos de
gobierno y gestión
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
[email protected]
www.jagi.pe
Habiltiadores/Catalizadores COBIT® 5
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Categorías de catalizadores
Principios, políticas y
Son el vehículo para traducir el comportamiento deseado en guías prácticas
marcos de referencia para la gestión del día a día.
Procesos
Estructuras
organizativas
Cultura, ética y
comportamiento
Información
Servicios,
infraestructuras y
aplicaciones
Las personas,
habilidades
y
(51) 9-8935-4789
competencias
[email protected]
www.jagi.pe
Describen un conjunto organizado de prácticas y actividades para alcanzar
ciertos objetivos y producir un conjunto de resultados que soporten las
metas generales relacionadas con TI.
Son las entidades de toma de decisiones clave en una organización.
De los individuos y de la empresa son muy a menudo subestimados como
factor de éxito en las actividades de gobierno y gestión.
Impregna toda la organización e incluye toda la información producida y
utilizada por la empresa. A nivel operativo, la información es muy a
menudo el producto clave de la empresa en sí misma.
Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la
empresa, servicios y tecnologías de procesamiento de la información.
Están relacionadas con las personas y son necesarias para poder completar
de manera satisfactoria todas las actividades y para la correcta toma de
decisiones y de acciones correctivas.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Dimensiones comunes
Proporcionan una manera
común, simple y
estructurada de tratar con
los catalizadores
6
6
Las
empresas
esperan
resultados
positivos de
la aplicación
y uso de los
catalizadores
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Partes interesadas
Participantes que juegan un papel
activo y/o tienen un interés en el mismo.
67
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Partes interesadas
Las necesidades de las partes
interesadas se traducen en
metas para la empresa, las
cuales se traducen, a su vez, en
metas TI para ésta.
6
8
Todas las cuestiones mencionadas se
pueden relacionar con las metas
corporativas y servir como entradas
a la cascada de metas, lo que permite que
puedan ser resueltas con efectividad.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las metas
Se pueden definir en términos de:
•Resultados esperados del catalizador
•Aplicación u operativa del propio catalizador
69
Categoría:
Calidad Intrínseca
•Medida en la que los catalizadores trabajan de forma precisa, objetiva y proporcionan
unos resultados precisos, objetivos y de confianza.
Categoría:
Calidad Contextual
•Medida en la que los catalizadores y sus resultados, en el contexto en el que operan,
se ajustan a un propósito (los resultados deberían ser relevantes, completos, estar
actualizados, ser apropiados, consistentes, comprensibles y fáciles de usar).
Categoría:
Accesibilidad y Seguridad
•Medida en la que los catalizadores y sus resultados son accesibles y están protegidos:
•Los catalizadores están disponibles cuando, y si, se necesitan.
•Sus resultados están protegidos, es decir, el acceso está restringido a quiénes están
autorizados y los necesitan.
(51) 9-8935-4789
www.jagi.pe
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Algunas partes interesadas definen y
establecen las políticas mientras que las otras
tienen que alinearse y cumplir con ellas.
70
Los principios, políticas y marcos de referencia son los instrumentos para comunicar
las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
Los principios han de ser:
• Limitados en número
• Redactados en un lenguaje sencillo, expresando de la forma más clara posible, los
valores fundamentales de la empresa.
(51) 9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Las políticas tienen un ciclo de vida que ha de apoyar la consecución
de las metas definidas. Los marcos de referencias son clave porque
proporcionan la estructura para definir una directriz coherente
71
• Las buenas prácticas requieren que las políticas formen parte del marco de
gobierno y de gestión general, proporcionando una estructura (jerárquica) a la que
deberían ceñirse todas las políticas y actuando de enlace con los principios
subyacentes.
• Las políticas deberían estar alineadas con el umbral de riesgo de la empresa.
• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos regulares.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las partes interesadas y sus
niveles de responsabilidad están
documentadas en las matrices
RACI.
Las métricas se pueden definir como ‘una
entidad cuantificable que permite medir la
consecución de las metas de un proceso. Las
métricas deberían ser – específicas,
medibles, practicables (permitan tomar
7
decisiones), relevantes y oportunas–
2
(SMART)
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Modelo RACI COBIT® 5
7
3
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Un estructura organizativa tiene un ciclo de
vida. Es creada, existe y es ajustada y,
finalmente, puede ser disuelta. Durante su
creación, se debe definir un mandato –una
razón y un propósito para su existencia.
74
(51) 9-8935-4789
www.jagi.pe
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Se pueden
distinguir
varias
buenas
prácticas
para las
estructuras
organizativa
s como:
(51) 9-8935-4789
[email protected]
Principios
operativos
Las modalidades prácticas respecto a
cómo la estructura operará, como
frecuencia de reuniones, documentación
y reglas de mantenimiento.
Composición
Las estructuras tienen miembros, los
cuales son partes interesadas internas75
o externas.
Ámbito de control
Los límites de los derechos de
decisión de la estructura organizativa.
Niveles de
autorización/
derechos de decisión
Las decisiones que la estructura está
autorizada a tomar.
Delegación de
autoridad
La estructura puede delegar (un
subconjunto de) sus derechos de
decisión a otras estructuras
dependientes que le reportan.
Procedimiento de
escalado
La ruta de escalado para una
estructura organizativa describe las
acciones requeridas en caso de
problemas en la toma de decisiones.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Conjunto de conductas individuales
y colectivas dentro de una empresa
Ética organizativa, éticas individuales,
comportamientos individuales
Una empresa puede identificar cambios necesarios y
trabajar orientada hacia su implementación.
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
El alcance del catalizador información
se refiere principalmente a la fase de
“información” dentro del ciclo de la
información, pero también se cubren
los aspectos de datos y conocimientos
en COBIT® 5.
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
• Las inversiones en información y tecnologías relacionadas se basan
en los casos de negocio, que incluyen análisis costo-beneficio.
• El costo y beneficio no se refiere sólo a factores tangibles y medibles,
sino que también tiene en cuenta factores intangibles tales como la
ventaja competitiva, la satisfacción del cliente y la incertidumbre de la
tecnología.
• Sólo cuando se aplica o se utiliza el recurso de la información es
cuando una empresa genera beneficios de la misma, por lo que el valor
de la información está determinado únicamente a través de su uso
(internamente o mediante su venta), ya que la información no tiene
valor intrínseco.
• Es sólo cuando se pone la información en acción cuando se puede
(51) 9-8935-4789
generar
ese valor.
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservad
www.jagi.pe
os
Las metas para la información están divididas
en tres sub-dimensiones de calidad:
79
Calidad
intrínseca
El grado en que los valores de los datos están en
conformidad con los valores reales o verdaderos.
• Precisión
El grado en que la información es correcta y confiable
• Objetividad El grado en que la información es objetiva, sin prejuicios e
imparcial
• Credibilidad El grado en que la información es considerada como
verdadera y creíble
• Reputación El grado en que la información está altamente
en términos de su origen o contenido
considerada
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechosreservados
Las metas para la información están divididas
en tres sub-dimensiones de calidad:
Calidad contextual El grado en que la información es aplicable a la
tarea del usuario de la información y es
y de
presentada en una manera clara e inteligible,
representatividad reconociendo que la calidad de la información
depende del contexto de su uso.
80
• Relevancia: El grado en que la información es aplicable y útil para la tarea a realizar
• Completitud: El grado en que la información no tiene carencias y es de la suficiente
profundidad y amplitud para la tarea a realizar
• Vigencia: El grado en que la información está lo suficientemente actualizada para la tarea
a realizar
• La cantidad apropiada de información: El grado en que el volumen de información es
adecuado para la tarea a realizar
• Representación concisa: El grado en que la información se representa de forma compacta
• Representación consistente: El grado en que la información se presenta en el mismo
formato
• Interpretabilidad: El grado en que la información está expresada en los idiomas, símbolos y
unidades apropiados, con definiciones claras
• Comprensibilidad: El grado en que la información sea fácil de comprender
• Facilidad de manipulación: El grado en que la información es fácil de manipular y de
aplicar(51)
a diferentes
tareas
9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las metas para la información están divididas
en tres sub-dimensiones de calidad:
81
Accesibilidad
y seguridad: El grado en que la información está disponible o que
puede obtenerse.
•Disponibilidad/ oportunidad: El grado en que la información está disponible
cuando se requiera, o que es rápida y fácilmente recuperable
•Acceso restringido: El grado en que el acceso a la información se restringe
adecuadamente a las partes autorizadas
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Las metas de la capacidad de nivel de servicio se
expresan en términos de servicio — aplicaciones,
infraestructura, tecnología — y de niveles de servicio,
teniendo en cuenta que los servicios y niveles de
servicio son más económicos para la empresa.
82
Las capacidades de servicio en el futuro o en proyecto se
describen normalmente mediante una arquitectura objetivo.
Dicha arquitectura cubre los bloques constituyentes, tales
como futuras aplicaciones y el modelo de infraestructura
objetivo y también describe los vínculos y las relaciones entre
estos bloques de construcción.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Principios de arquitectura
Reutilización
• Los componentes comunes de la arquitectura deberían ser utilizados en el
diseño e implementación de soluciones como parte de las arquitecturas
objetivo o de transición.
83
Comprar frente a construir
• Las soluciones deberían ser adquiridas a menos que exista una razón para
aprobar su desarrollo interno.
Simplicidad
• La arquitectura de la empresa debería ser diseñada y mantenida para ser tan
simple como sea posible sin dejar de cumplir con los requisitos de la
empresa.
Agilidad
• La arquitectura de la empresa debería incorporar agilidad para satisfacer las
cambiantes necesidades de negocio de una manera eficaz y eficiente.
Apertura
• La arquitectura de la empresa debería aprovechar los estándares abiertos de
la industria.
(51)9-8935-4789
[email protected]
www.jagi.pe
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
84
[email protected]
(51) 9-8935-4789
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
85
[email protected]
(51) 9-8935-4789
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
[email protected]
www.jagi.pe
Governance of Enterprise IT (GEIT)
• Actualmente la GEIT (Gobierno
corporativo de TI) se basa en 3
pilares:
• Garantizar la realización de
beneficios
• Optimizar los recursos
• Optimizar Riesgos
• Esta visión integral de las
iniciativas de TI asegura que
todos los proyectos de TI
aprobados traerá un poco de
valor a la empresa, a un costo
aceptable y bajo riesgos
comprendidos y aceptados con
un ROI conocido (Retorno sobre
la Inversión) o un VOI estimado
(Valor sobre la inversión).
• Las iniciativas GEIT deben tomar
una visión equilibrada y holística
de las cinco áreas de interés de
GEIT:
•
•
•
•
•
87
Alineación estratégica
El riesgo de la gestión
La entrega de valor
La gestión de recursos
La medición del desempeño
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Algunas reflexiones…
• Podemos obtener un valor
óptimo aprovechando
COBIT como marco para
construir sobre las
iniciativas GEIT solo si es
adoptado y adaptado de
manera eficaz para
ajustarse al entorno único
de cada empresa.
• Cada enfoque de
implementación también
necesitará resolver
desafíos específicos,
incluyendo la gestión de
cambios a la cultura y el
comportamiento.
88
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Usualmente padecemos de… (pain points)
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos rese rvados
(51) 9-8935-4789
[email protected]
www.jagi.pe
Veamos…
ISACA
proporciona
amplias y
prácticas guías
de
implementación
en su publicación
COBIT 5
Implementación,
que está basada
Así, esta parte tratará el tema
en un ciclo de
de implementación desde un
vida de mejora
punto de vista de alto nivel
continua.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Pero… no está
pensada con un
enfoque prescriptivo
ni como una
solución completa,
sino más bien como
una guía para evitar
los obstáculos más
comunes,
aprovechar las
mejores prácticas y
ayudar en la
creación de
resultados
satisfactorios.
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
Mapa de implementación de
Gobierno de TI en las organizaciones
92
(51)9-8935-4789
[email protected]
www.jagi.pe
Diagrama ejemplo
93
(51) 9-8935-4789
[email protected]
www.jagi.pe
Entonces… debemos considerar el contexto
empresarial
El gobierno y la
gestión de la TI
empresarial no
suceden de manera
aislada.
(51) 9-8935-4789
[email protected] e
www.jagi.pe
Cada empresa
necesita diseñar su
propio plan de
implantación,
atendiendo a los
factores específicos
del entorno interno y
externo de la
empresa
Contexto
empresarial
Recordemos, el
enfoque óptimo para
el gobierno y gestión
de la TI empresarial
será distinto para
cada empresa,
siendo necesario
entender y
considerar el
contexto para
adoptar y adaptar
COBIT de modo
efectivo en la
implementación de
los catalizadores de
gobierno y gestión
de TI empresarial.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Y… debemos crear el entorno apropiado
La mayoría de las iniciativas relacionadas con TI fracasan a menudo por una dirección,
soporte y supervisión inadecuados por las distintas partes interesadas necesarias.
95
El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras
sean adoptadas y mantenidas.
Los requerimientos basados en aspectos sensibles y factores actuales deberían ser
identificados por la dirección como áreas que tienen que ser consideradas.
Desde el inicio se debe solicitar el compromiso e interiorización de las partes
interesadas más relevantes.
Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser
claramente expresados en términos de negocio y resumidos en un caso de negocio.
Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos
adecuados para apoyar el programa.
Los
roles y responsabilidades esenciales del programa deberían ser definidos y
as([email protected]
ig1)n9-8a93d5-o47s89.
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
•
•
•
•
•
•
•
•
•
•
Además… debemos reconocer los puntos débiles y
sus eventos desencadenantes… aquí algunos
solamente
Frustración a nivel de negocio con iniciativas fallidas,
incrementando los costos de TI y la percepción de bajo valor
de negocio.
Incidentes significativos relativos al riesgo de TI, como
pérdida de datos y fallos en proyectos.
Problemas en la externalización de la entrega del servicio,
como por ejemplo el fallo sistemático al mantener los niveles
de servicio acordados.
Incapacidad de cumplir con requerimientos regulatorios o
contractuales.
Limitación por TI de las capacidades de innovación de la
compañía y la agilidad de negocio.
Hallazgos periódicos de auditoría en relación al bajo
rendimiento de TI o notificación de problemas de calidad de
servicio de TI.
Gastos de TI ocultos o malintencionados.
Duplicación o superposición entre iniciativas, o despilfarro de
recursos, como la cancelación prematura de un proyecto.
Insuficientes recursos de TI, personal con habilidades
inadecuadas, agotado o insatisfecho.
Fallos en los cambios de TI a la hora de alcanzar las
(51) 9-8935-4789
necesidades
de negocio y entregados tarde o con sobre
[email protected]
costo. www.jagi.pe
96
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Y… facilitar el cambio… y no negar o minimizar
lo evidente
• Miembros del consejo, altos directivos y ejecutivos de
alto nivel que son reticentes en implicarse con las TI o
una ausencia de patrocinadores de las TI
comprometidos y satisfechos.
• Modelos operativos de TI complejos.
• Fusiones, adquisiciones o desinversiones.
• Un movimiento en el mercado, la economía o en una
posición competitiva.
• Un cambio en el modelo operativo de negocio o en el
modelo de dotación de recursos.
• Nuevos requerimientos regulatorios y legales.
• Un cambio tecnológico significativo o un nuevo
paradigma.
• Un proyecto de ámbito corporativo.
• Un nuevo CEO, CFO, CIO, etc.
• Auditorías externas o revisiones de consultores.
• Una nueva estrategia o prioridad de negocio.
(51) 9-8935-4789
[email protected]
www.jagi.pe
•…
9
7
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
GEIT se enfoca en la Mejora continua,
Gestión del cambio (cambio
organizacional - comportamientos y
cultura), y en la Gestión de la cartera y
del portafolio, para asegurarse de que
98
TI no está cegado en un mundo aparte,
sino integrado de forma que el negocio
puede confiar en él como un aliado
importante y uno de los facilitadores
del éxito de las organizaciones.
Un enfoque de ciclo de vida
(51) 9-8935-4789
[email protected]
www.jagi.pe
A lo largo del tiempo, el ciclo de
vida debería seguirse de modo
iterativo, al tiempo que se
construye un modelo sostenible
de gobierno y gestión de TI
corporativa.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Resumamos
Fase 1
• Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio
a un nivel de dirección ejecutiva.
Fase 2
• Define el alcance de la iniciativa de implementación o mejora empleando el
mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI
asociados, y considerando cómo los escenarios de riesgos podrían destacar los
procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado
actual y se identifican los problemas y deficiencias mediante la ejecución de un
proceso de revisión de capacidad.
Fase 3
• Establece un objetivo de mejora, seguido de un análisis más detallado
aprovechando las directrices de COBIT para identificar diferencias y posibles
soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras
actividades de largo plazo.
99
Fase 6
• Planifica soluciones prácticas y desarrolla un plan de cambios para la
implementación.
• Las soluciones propuestas son implementadas. Se pueden definir las
mediciones y establecer la supervisión empleando las metas y métricas de
COBIT.
• Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y
de la supervisión de la consecución de los beneficios esperados.
Fase 7
• Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para
el gobierno o la gestión de la TI empresarial.
Fase 4
Fase 5
(51) 9-8935-4789
www.jagi.pe
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Caso de negocio
100
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
El caso de negocio no es un
documento estático puntual,
sino una herramienta
dinámica y operativa que
debe ser continuamente
actualizada para reflejar las
previsiones actuales, de
manera que se pueda 101
mantener una perspectiva de
la viabilidad del programa.
(51) 9-8935-4789
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Bueno, el caso de negocio debería incluir
Los objetivos de beneficio de
negocio, su alineación con la
estrategia de negocio y los
propietarios asociados del beneficio
(quién dentro del negocio será
responsable de asegurarlos).
Los cambios de negocio requeridos para
crear el valor previsto. Esto podría
basarse en comprobaciones y análisis de 1 2
0
deficiencias de capacidad y deberían
indicar claramente qué está dentro del
ámbito y qué está fuera de él.
Las inversiones precisas para
realizar los cambios de gobierno y
gestión de TI corporativa (basado en
estimaciones de proyectos
necesarios).
Los costos ordinarios de TI y de negocio.
Los beneficios esperados de operar
en el nuevo modo.
El riesgo inherente en los puntos
anteriores, incluyendo cualquier
restricción o dependencia (basado en los
desafíos y factores de éxito).
Roles, responsabilidades y
obligaciones relativas a la iniciativa.
Cómo la inversión y la creación de valor
serán supervisadas a través del ciclo de
vida económico y cómo se usarán las
métricas (basado en metas y métricas).
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Un ejemplo
VISIÓN
¿quiénes somos y
por qué estamos
103
aquí?
MISIÓN
EXTERNO
Factores regulatorios
Económicos
Tecnológicos
Marco
Presupuestario
...
OBJETIVOS
ESTRATÉGICOS
(¿a dónde
queremos llegar?
DIAGNÓSTICO
INTERNO
Unidades estratégicas
Estructura
Procesos
ÁREAS CLAVES DE
DESEMPEÑO
Funciones
Recursos
...
¿dónde
estamos?
¿cómo mantenemos el
impulso?
(51) 9-8935-4789
[email protected]
www.jagi.pe
METAS
PROGRAMAS, PLANES
TÁCTICOS Y OPERATIVOS,
PROYECTOS
INDICADORES
Fortalezas y debilidades
Amenazas y
Oportunidades
ANÁLISIS
¿dónde
estamos?
¿cómo lo hacemos y cómo
sabemos si hemos llegado?
(seguimiento, re-planificación,
procesos, mejora continua,
seguridad…)
JUFNuTeOntAe TCOUBEIMT®PR5E,©SA2A0P1O2YISAANCDAO®LTAoSdGoRsAo
lNsDdEerSeIcNhNosOrVeAseCrIvOaNdEoSs
104
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Trabajemos un poco…
105
Tell me and I will forget
Show me and I will remember
Involve me and I will understand
-Lao Tse
(51)9-8935-4789
[email protected]
www.jagi.pe
La bibliografía oficial debe conseguirse en:
http://www.isaca.org/cobit/pages/default.aspx
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51)9-8935-4789
[email protected]
www.jagi.pe
Veamos…
• COBIT® 5 incluye un modelo de capacidad de procesos,
basado en la norma ISO/IEC 15504 de Ingeniería de
Software-Evaluación de Procesos.
• Un modelo de procesos define un catálogo, una colección
estructurada, buenas prácticas que describen las
características de un proceso efectivo.
• La ISO/IEC 15504 proporciona los principios requeridos para
realizar una evaluación de la implantación de dicho modelo de
procesos en una organización.
• Software Process Improvement Capability Determination
(SPICE) significa «Determinación de la Capacidad de
Mejora del Proceso de Software»
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente: ISO/IEC15504
ISO/IEC 15504
Esta
evaluación
es muy
exigente
respecto a lo
que debe
cumplir cada
proceso para
ascender de
nivel, y
permite,
entre otras
cosas, lo
siguiente:
(51) 9-8935-4789
Establecer un punto de referencia para la evaluación de la capacidad.
Realizar revisiones sobre “el estado actual (as-is)” y “el estado
objetivo (to-be)” para asistir al órgano de Gobierno y de Gestión de
la empresa en la toma de decisiones de inversiones para la mejora de
procesos.
Realizar un análisis de carencias e información sobre la planificación
de mejoras para apoyar la definición de proyectos de mejora
justificables.
Proporcionar al órgano de Gobierno y de Gestión de la empresa los
porcentajes de evaluación para medir y monitorizar la capacidad
actual.
La evaluación de las prácticas del proceso revelará qué prácticas
faltan o están fallando, habilitando la implementación y/o la mejora
de esas prácticas y permitiendo alcanzar todos los objetivos de los
procesos.
[email protected]
www.jagi.pe
Fuente: ISO/IEC15504
Términos clave
Calidad
• La calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza (CMMI).
• Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten
alcanzar los mismos resultados pero utilizando estrategias diferentes.
Nivel de madurez
• Conjunto de prácticas, preestablecidas por el modelo, que se deben
garantizar por la Organización en su conjunto.
• Es decir, o se cumplen todas o no se tiene el nivel de madurez.
• En términos del modelo son las áreas de proceso que se consideran en cada
nivel de madurez y que van evolucionando.
Nivel de capacidad
• Es un análisis individual y no de conjunto.
• Por cada área de proceso se evoluciona de generar los artefactos o
resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo
definido como proceso estándar.
• La idea es que mejora la calidad de los productos propios del proceso y en
su conjunto contribuyen a mejorar la calidad del producto o servicio que se
(51) 9-8935-4789
desarrolla.
[email protected]
www.jagi.pe
Fuente: http://gesegtic.blogspot.pe/2014/09/analisis-de-madurez-y-capacidad-de.html
Niveles de capacidad,
atributos de proceso de
ISO/IEC 15504
Nivel 0 –
Inmadura
Nivel 1 –
Básica
La organización
no tiene una
implementació
n efectiva de
procesos
La
organización
implementa
y alcanza los
objetivos de
los procesos
PA 1.1
Rendimiento
del proceso
(51)9-8935-4789
[email protected]
www.jagi.pe
Nivel 2 –
Gestionada
La
organización
gestiona los
procesos y
los
productos
resultantes
se
establecen,
controlan y
mantienen
PA 2.1 Gestión
del rendimiento
PA 2.2 Gestión
del producto de
trabajo
6 niveles de capacidad
Nivel 4 –
Predecible
Nivel 3 –
Establecida
La
organización
gestiona de
forma
cuantitativa
los procesos
La
organización
utiliza
procesos
definidos
basados en
estándares
PA 4.1
Medición del
proceso
PA 3.1 Definición
del proceso
PA 3.2
Implementación
del proceso
PA 4.2 Control
del proceso
Nivel 5 –
Optimizado
110
La
organización
mejora en
forma
continua los
procesos
para cumplir
los objetivos
de negocio
PA 5.1
Innovación del
proceso
PA 5.2
Optimización
del proceso
9 atributos de proceso
Realización de la evaluación
ISO/IEC 15504-2
• Evidencias de Realización del
Proceso (Dimensión del proceso) –111
outcomes.
• Evidencias de la Capacidad del
Proceso (Dimensión de la capacidad)
–prácticas genéricas/atributos.
Process Assessment
Model (PAM):
Using COBIT® 5
COBIT® 5
(51)9-8935-4789
[email protected]
www.jagi.pe
Elementos de la norma ISO/IEC 15504-2
112
La norma describe los requisitos
mínimos para realizar una
evaluación asegurando un nivel
de consistencia y capacidad de
repetición. (51) 9-8935-4789
www.jagi.pe
[email protected]
Fuente ISO/IEC 15504-2
… ISO/IEC 15504
Alcanzar el nivel 1 requiere que el atributo de
rendimiento sea alcanzado ampliamente, lo que
significa que el proceso se ejecuta con éxito y la
organización obtiene los resultados esperados.
Debe
tenerse
en cuenta
que
Si el resultado requerido de
un proceso no se alcanza de
manera continuada, el
proceso no alcanza su
objetivo y necesita ser
me jorado.
(51)9-8935-4789
[email protected]
www.jagi.pe
El proceso debe estar
descrito en términos de
su propósito y
resultados.
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
(51)9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Niveles de capacidad
El proceso de evaluación de COBIT® 5
(PAM) está basado en evidencia para
permitir una evaluación confiable,
coherente y repetible en el ámbito del
Gobierno y la Gestión de las TI de la
Empresa.
El PAM de COBIT® 5 se compone de un conjunto de indicadores de desempeñoy
capacidad del proceso. Los indicadores se utilizan como base para recopilar pruebas
[email protected]
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
www.jagi.pe
objetivas que permitan a un evaluador asignar calificaciones.
(51) 9-8935-4789
Escala de evaluación
• N - No alcanzado (0 - 15%)
• Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso
de evaluación.
• P - Parcialmente alcanzado (>15% - 50%)
• Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso
evaluado.
• Algunos aspectos del logro del atributo pueden ser impredecibles.
• L – Ampliamente alcanzado (>50% - 85%)
• Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido
en el proceso evaluado.
• Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso
evaluado.
• F - Completamente alcanzado (>85%-100%)
• Se ha conseguido totalmente el atributo definido.
• No existen debilidades significativas relacionadas con el atributo en el proceso evaluado.
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Proceso de evaluación
1. Initiate an
assessment
(assessment sponsor)
2. Select assessor and
assessment team
3. Plan the assessment,
including processes
and organizational unit
to be assessed
(lead assessor and
assessment team)
4. Pre-assessment
briefing
5. Data collection
6. Data validation
7. Process rating
8. Reporting the
assessment result
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente: https://en.wikipedia.org/wiki/ISO/IEC_15504
Un ejemplo
118
(51) 9-8935-4789
[email protected]
www.jagi.pe
Fuente: RODRIGO MUÑOZ SERNA, MARIO ALBERTO MARTINEZ ARIAS.
“Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK,
para la implementación en la industria Editorial Colombiana, apoyando el proceso de transformacióndigital”.
MAESTRÍA EN GESTIÓN INFORMÁTICA Y TELECOMUNICACIONES. SANTIAGO DE CALI. 2012
Trabajemos un poco…
119
Tell me and I will forget
Show me and I will remember
Involve me and I will understand
-Lao Tse
(51) 9-8935-4789
[email protected]
www.jagi.pe
La bibliografía oficial debe conseguirse en:
http://www.isaca.org/cobit/pages/default.aspx
Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
¿Dudas, Preguntas,
Consultas, Aportes?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
(51) 9-8935-4789
[email protected]
www.jagi.pe
¿Dudas, Preguntas,
Repasemos
Consultas, Aportes?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
(51) 9-8935-4789
[email protected]
www.jagi.pe
¿Qué principio es clave para el buen gobierno y gestión de la empresa?
• A. Gestión de Operaciones de TI
• B. Asegurar la Optimización de Recursos
• C. Creación de un enfoque holístico
• D. Gestión de la Información
¿Qué habilitador describe las entidades clave en la toma de decisiones en una
organización?
• A. Estructuras organizativas
• B. Procesos
• C. Las personas, habilidades y competencias
• D. Principios, políticas y marcos
¿Qué proceso se incluirá en el dominio del proceso construir, adquirir y
poner en práctica de la Gestión Corporativa de TI?
• A. Manejo de la Continuidad
• B. Gestionar las operaciones
• C. Gestionar los Riesgos
• D. Gestionar la disponibilidad y la capacidad
¿Qué producen los procesos como resultado de su funcionamiento?
• A. Gráficos RACI
• B. Aspectos Culturales
• C. Capacidades de servicio
(51) 9-8935-4789
• D. Objetivos
comerciales
[email protected]
www.jagi.pe
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
[email protected]
www.jagi.pe
Plan de estudio y tips
• Entender, organizar la información recibida
• Entienda que la estructura (orden) presentada es un compendio de
mejores prácticas en la industria
• Céntrese en conocimientos recibidos –no en la experiencia personal
(esto es fatal estadísticamente)
• Entienda los términos y sus -sutiles- diferencias
• No olvide las equivalencias de las palabras
• Identifique las palabras clave que son útiles para usted
• Identifique qué es primero, o qué no tiene relación (distractores)
• Las preguntas no siempre están circunscritas a módulos
específicos; algunas respuestas pueden requerir
entendimiento de interrelaciones, qué o en dónde se hace
qué, procesos y sub-procesos, y funciones involucradas
en COBIT® 5
• No asuma lo que no está escrito
(51) 9-8935-4789
[email protected]
www.jagi.pe
Plan de estudio y tips
• Las preguntas son 40 –se aprueba con un mínimo de 65%
respuestas correctas
• Lea la pregunta, identifique en qué módulo se centra o con cuáles se
relaciona y trate de encontrar una respuesta –SIN MIRAR LAS
ALTERNATIVAS
• Busque los distractores en la respuesta
• Busque LA MEJOR respuesta SEGÚN COBIT® 5
• No necesariamente -ni siempre- la respuesta más simple es la
correcta –ni tampoco la más desarrollada  analice, más palabras
no siempre implica más claridad
• Busque relación entre palabras clave en la pregunta con la respuesta
• Identifique las combinaciones que son incorrectas
(51) 9-8935-4789
[email protected]
www.jagi.pe
Gracias por su atención
¿Dudas, Preguntas,
Consultas, Aportes?
Cualquier esfuerzo resulta
ligero con el hábito.
Tito Livio
Mg. Ing. Jack Daniel Cáceres Meza, PMP
(51) 9-8935-4789
[email protected]
www.jagi.pe
Descargar