Upload
phamdung
View
233
Download
2
Embed Size (px)
Citation preview
1
CURSO
COBIT 5.0FUNDAMENTOS
MARCO TEÓRICO
Aclaración:©Todos los derechos reservados. No está permitida la
reproducción parcial o total del material de esta sesión, nisu tratamiento informático, ni la transmisión de ningunaforma o por cualquier medio, ya sea electrónico, mecánico,por fotocopia, por registro u otros métodos, sin el permisoprevio y por escrito del titular de los derechos.
Atte.
CGI GESTIÓN E INNOVACIÓN
CURSO COBIT 5.0 FUNDAMENTOS
2
Estructura del Curso• Propósito del curso
• Aprendizaje de alto nivel en COBIT 5.
• Estructura del material
• Áreas de aprendizaje en COBIT 5.
• Requisitos para el examen de acreditación
CURSO COBIT 5.0 FUNDAMENTOS
Propósito del Curso
• Confirmar que un candidato tiene el suficienteconocimiento y comprensión de las guías de COBIT 5que le permitan entender el Gobierno y la Gestión delas Tecnologías de Información (TI)
• El entrenamiento y acreditación a nivel“Fundamentos” es un pre-requisito para lossiguientes cursos de entrenamiento y acreditación:
– COBIT 5 Implementación
– COBIT 5 Asesor
CURSO COBIT 5.0 FUNDAMENTOS
3
Resultados del aprendizaje de alto nivelEspecíficamente comprender lo siguiente:
• Los drivers más importantes para el desarrollo del Framework
• La arquitectura de COBIT 5 y los beneficios para el negocio
• Los 5 principios clave de COBIT 5 para el Gobierno y la Gestiónde TI
• Comprender los conceptos clave en una Evaluación deCapacidad de Procesos, y los atributos claves del Modelo deevaluación de Procesos (PAM)
• Cómo es que los procesos de COBIT 5 y el Modelo deReferencia de Procesos (PRM) ayudan a guiar laimplementación de los 5 principios y los 7 catalizadores deGobierno y Gestión
CURSO COBIT 5.0 FUNDAMENTOS
Estructura del material
El material se distribuye en:
• Principios
• Catalizadores
• Implementación
• Modelo de capacidad de procesos
Se basa en las guías de COBIT 5:
• El marco de referencia para el Gobierno y la Gestión de TI
• El modelo de Evaluación de Procesos (PAM)
• Extractos de la Guía de Implementación de Procesos
CURSO COBIT 5.0 FUNDAMENTOS
4
Para qué sirve??
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: Características Principales de
COBIT 5
CURSO COBIT 5.0 FUNDAMENTOS
5
Definición• Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a
crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.
• COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
• Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
CURSO COBIT 5.0 FUNDAMENTOS
Principios de COBIT
Principios de COBIT 5
1. Satisfacer lasnecesidades de
las partesinteresadas
2. Cubrir la Organización de
forma integral
3. Aplicar un solo marcointegrado
4. Habilitarun enfoque
holistico
5. Separar el Gobierno de la Administración
Fuente: COBIT® 5, Figura 2. © 2012 ISACA® Todos los derechos reservados.
CURSO COBIT 5.0 FUNDAMENTOS
6
Habilitadores (catalizadores) de COBIT
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Éticay Comportamiento
5. Información
6. Servicios,Infraestructuray Aplicaciones
7. Personas,Habilidades yCompetencias
RECURSOS
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos los Derechos Reservados
CURSO COBIT 5.0 FUNDAMENTOS
www.cgi-pe.com
Gobierno y Administración• El Gobierno asegura el logro de los objetivos de la
Organización, al evaluar las necesidades de las partes interesadas, así como las condiciones y opciones; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso, comparándolos contra las directivas y objetivos acordados (Evaluate, Direct and Monitor -EDM).
• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización (PBRM por su sigla en inglés – PCEM)
CURSO COBIT 5.0 FUNDAMENTOS
7
En Resumen:
COBIT 5 une los cinco principios que permiten a laOrganización construir un marco efectivo de Gobierno yAdministración basado en una serie holística de sietehabilitadores, que optimizan la inversión en tecnología einformación así como su uso en beneficio de las partesinteresadas.
CURSO COBIT 5.0 FUNDAMENTOS
⁻ COBIT es un marco de gobierno de las tecnologías de información queproporciona una serie de herramientas para que la gerencia puedaconectar los requerimientos de control con los aspectos técnicos y losriesgos del negocio
⁻ COBIT permite el desarrollo de las políticas y buenas prácticas para elcontrol de las tecnologías en toda la organización
⁻ COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones aincrementar su valor a través de las tecnologías, y permite sualineamiento con los objetivos del negocio
⁻ Información disponible en: www.isaca.org/cobit
COBIT – el marco de ISACA
© 2012 ISACA. All rights reserved.
CURSO COBIT 5.0 FUNDAMENTOS
8
GRCGRC:
• Gobierno, administración del Riesgo y Cumplimiento.
• Término sombrilla, cada vez más utilizado que cubreestas tres áreas de actividades de las empresas.
• Estas áreas de actividad están siendo progresivamentemás alineados e integrados para mejorar elrendimiento de la empresa y la entrega de lasnecesidades de las partes interesadas.
CURSO COBIT 5.0 FUNDAMENTOS
Definiciones GRC*GRC:
• Gobierno—El ejercicio de la autoridad, control, gobierno, acuerdo.
• Riesgo (Administración)—Peligro, riesgo de pérdida, daño o destrucción (el acto o arte de la gestión, la manera de tratar, dirigir, seguir adelante, o utilizar, con un propósito, conducta, administración, dirección, control)
• Cumplimiento—El acto de cumplimiento, un rendimiento, en cuanto a su deseo, demanda o propuesta; concesión; presentación
* Diccionario en línea Webster
CURSO COBIT 5.0 FUNDAMENTOS
9
Tipos de Gobierno
• Existen diferentes tipos de gobierno:– Gobierno Corporativo
– Gobierno de Proyectos
– Gobierno de Tecnologías de Información
– Gobierno Ambiental
– Gobierno Económico y Financiero
• Cada tipo tiene una o más fuentes de orientación, cada uno con objetivos similares pero con frecuencia varían términos y las técnicas para su realización.
CURSO COBIT 5.0 FUNDAMENTOS
Implementando Gobierno
• La integración de la aplicación de las actividades de GRCdentro de una empresa requiere un enfoque sistémicopara el eficaz logro de los objetivos empresariales de susgrupos de interés.
• Estos enfoques se basan normalmente en facilitadores dediversos tipos (por ejemplo, los principios, las políticas,modelos, marcos, estructuras organizacionales).
CURSO COBIT 5.0 FUNDAMENTOS
10
Un ejemplo de modelo GRC• Del Red Book GRC de OCEG Capability Model
version 2.1*
* Contiene material copiado o derivado de The Red Book de OCEG en http://www.oceg.org.
CURSO COBIT 5.0 FUNDAMENTOS
Gobierno Corporativo de TI• ISO/IEC 38500: 2008
• Gobierno Corporativo de Tecnología de Información• 1.1 Alcance
• Este estándar establece los principios rectores para directores de organizaciones (incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones.
• Esta norma se aplica a la gestión de los procesos de gestión (toma de decisiones) relativas a los servicios de información y comunicación utilizados por una organización. Estos procesos pueden ser controlados por especialistas en TI dentro de la organización o de los proveedores de servicios externos, o por unidades de negocio dentro de la organización.
CURSO COBIT 5.0 FUNDAMENTOS
11
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología de Información
2.1 Principios
2.1.1 Principio 1: Responsabilidad2.1.2 Principio 2: Estrategia2.1.3 Principio 3: Adquisición2.1.4 Principio 4: Desempeño2.1.5 Principio 5: Conformidad2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnología de Información
2.2 Modelo
Los administradores deben gobernar las TI a través de tres tareas principales:a) Evaluar el uso actual y futuro de TI.b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio.c) Monitorear la conformidad de las políticas, y el desempeño contra los planes.
Gobierno Corporativo de TI (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
12
ISACA y COBIT
• ISACA promueve activamente la investigación que se traduce en el desarrollo de productos relevantes y útiles para los profesionales de Gobierno de TI, riesgo, control, aseguramiento y seguridad.
• ISACA desarrolla y mantiene el internacionalmentereconocido marco de referencia COBIT, ayudar a los profesionales de TI y líderes empresariales a cumplir consus responsabilidades de gobierno de TI, mientras que la entrega de valor al negocio.
CURSO COBIT 5.0 FUNDAMENTOS
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
Evolución del COBIT: COBIT 5 un único Marco Empresarial Completofor
2005/720001998
Evo
luci
ón d
el A
lcan
ce
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
© 2012 ISACA® Todos los derechos reservados.
CURSO COBIT 5.0 FUNDAMENTOS
13
Marco de COBIT 5
COBIT 5:
• El producto principal COBIT 5, de amplia cobertura
• Contiene el resumen ejecutivo y la descripción completa de todoslos componentes del marco de COBIT 5:
– Los 5 Principios de COBIT 5
– Los 7 Habilitadores de COBIT 5, más:
– Una introducción a la guía de implementación proporcionadapor ISACA (Implementación de COBIT 5)
– Una introducción al Programa de Evaluación de COBIT (que nose refiere específicamente al COBIT 5) y el enfoque de lacapacidad de los procesos que ISACA adopta para COBIT.
CURSO COBIT 5.0 FUNDAMENTOS
� En Cobit 4 se tenían 34 procesoscon el esquema de la figura delcostado
� En Cobit 5 se muestra así (Ej. Pág107-Procesos Catalizadores).
Descripción del proceso
Indicadores de información y domino
Objetivos de TIObjetivos del ProcesoPrácticas ClaveMétricas
Gobierno y recursos de TI
Para cada uno de los 37 procesos, se definen…
CURSO COBIT 5.0 FUNDAMENTOS
14
La Familia de Productos de COBIT 5
Fuente COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.
COBIT®
5 ImplementaciónOtras Guías
Profesionales
COBIT® 5 Ambiente Colaborativo En Línea
Guías de Habilitadores de COBIT® 5
COBIT®
5:
Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5
Para la Seguridadde la Información
COBIT ® 5
Para elAseguramiento
COBIT®
5
Para Riesgos
COBIT®
5 :
Guias Profesionales de Orientación de COBIT® 5
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5 – Su Arquitectura
© 2012 ISACA. All rights reserved.
CURSO COBIT 5.0 FUNDAMENTOS
15
Objetivo de Gobierno
© 2012 ISACA. All rights reserved.
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: 5 Principios de COBIT
CURSO COBIT 5.0 FUNDAMENTOS
16
Los 5 Principios de COBIT
Los 5 Principios de COBIT 5:
1. Satisfacer las necesidades de las Partes Interesadas
2. Cubrir la Compañía de forma integral (end to end)
3. Aplicar un solo Marco de referencia simple e
Integrado
4. Habilitar un Enfoque holístico
5. Separar el Gobierno de la Administración (gestión)
CURSO COBIT 5.0 FUNDAMENTOS
1. Satisfacer las Necesidades de las Partes Interesadas
Principio 1: Satisfacer las Necesidades de las Partes Interesadas
• Las Compañías existen para crear valor para sus partes interesadas.
Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.
Necesidades de las partesinteresadas
Objectivos del Gobierno: Creación de Valor
Realización
de Beneficios
Optimización
de Recursos
Optimización
de Riesgos
CURSO COBIT 5.0 FUNDAMENTOS
17
Principio 1: Satisfacer las Necesidades de las Partes Interesadas:• Las Organizaciones tienen muchas partes interesadas y “crear valor”
significa cosas diferentes – a veces conflictivas – para cada una de ellas.• En el Gobierno se trata de negociar y decidir entre los diversos
intereses de beneficio de las diferentes partes interesadas.• El sistema de Gobierno deberá considerar a todas las partes
interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos.
• Para cada decisión se puede, y se debe, hacer las siguientes preguntas: - ¿Quién recibe los beneficios? - ¿Quién asume el riesgo? - ¿Qué recursos se necesitan?
1. Satisfacer las Necesidades de las Partes Interesadas (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
Principio 1: Satisfacer las Necesidades de las Partes Interesadas:
� Las necesidades de las Partes Interesadas deben ser transformadas en una estrategiaaccionable para la Organización.
� Las metas en cascada de COBIT 5 traducen las necesidades de las Partes Interesadas en metas específicas, accionables y personalizadas dentro del contexto de la Organización, de las metas relacionadas con la TI y de las metas habilitadoras.
Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados
Pasan a
Influencian
Pasan a
Impulsadores de las Partes Interesadas(Medio Ambiente, Evolución Tecnológica, …)
Metas de la Organización
Metas Relacionadas con TI
Metas Habilitadoras
Realizaciónde Beneficios
Optimizaciónde Riesgos
Optimizaciónde Recursos
Necesidades de las Partes Interesadas
1. Satisfacer las Necesidades de las Partes Interesadas (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
18
Principio 1: Satisfacer las Necesidades de las Partes Interesadas:Los beneficios de las Metas en Cascada de COBIT 5:• Permite definir las prioridades para implementar, mejorar y asegurar el
gobierno corporativo de la TI, en base de los objetivos (estratégicos) de la Organización y los riesgos relacionados:
• En la práctica, las metas en cascada:– Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad.– Filtran la base de conocimiento de COBIT 5, en base de las metas
corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación, mejora o aseguramiento.
– Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas.
1. Satisfacer las Necesidades de las Partes Interesadas (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
• La cascada de metas de COBIT permite definir las prioridades de acuerdo a:
• Aseguramiento del gobierno corporativo de TI• Implementación• Mejora
• En la práctica, la cascada de metas:• Define las metas y objetivos relevantes y tangibles en los
diversos niveles de responsabilidad• Filtra la base de conocimiento de COBIT, basado en las metas
corporativas, a fin de orientar la información relevante a incluir en proyectos específicos de aseguramiento, implementación o mejora
• Identifica y comunica claramente como se usan los catalizadores para alcanzar los objetivos de la empresa
1. Satisfacer las Necesidades de las Partes Interesadas
CURSO COBIT 5.0 FUNDAMENTOS
19
1. Satisfacer las Necesidades de las Partes Interesadas
CURSO COBIT 5.0 FUNDAMENTOS
Partes interesadas Externas Necesidades de las Partes interesadas externas
Socios de negocio, proveedores, accionistas, reguladores/ gobierno, usuarios externos, clientes, organismos de normalización, auditores externos, consultores, etc.
• ¿Cómo sé que las operaciones de mi socio de negocios son seguras y confiables?
• ¿Cómo sé que la organización cumple con las leyes y regulaciones aplicables?
• ¿Cómo sé que la empresa mantiene un sistema efectivo de control interno?
• Las preocupaciones de las partes interesadas internas, respecto de TI, incluyen:
• ¿Cómo puedo obtener valor del uso de la TI?• ¿Cómo gestiono el desempeño de las TI?• ¿Cómo puedo explotar mejor una nueva tecnología para mis
oportunidades estratégicas?• ¿Cómo puedo saber si estoy cumpliendo con todas las leyes y
regulaciones aplicables?• ¿Cómo controlo el costo de TI?• ¿La información que estoy procesando esta asegurada de
manera adecuada?• ¿Qué tan critica son las TI para sostener la empresa?• ¿Qué debo hacer si las TI no están disponibles?
1. Satisfacer las Necesidades de las Partes Interesadas
CURSO COBIT 5.0 FUNDAMENTOS
20
• COBIT 5 trata de gobierno y la gestión de la información y la tecnología relacionada desde una perspectiva de extremo a extremo en toda la empresa
• Integra el gobierno de TI dentro del gobierno corporativo• Cubre todas las funciones y procesos dentro de la empresa• No se enfoca sólo en la función de TI
1. Satisfacer las Necesidades de las Partes Interesadas
CURSO COBIT 5.0 FUNDAMENTOS
• Paso 1: identificar la influencia de las motivaciones de losstakeholders clave en las necesidades de dichos stakeholders
• Paso 2: las necesidades de los stakeholders se traducen en lasmetas corporativas (siguiente diapositiva)
• Paso 3: Cascada de metas corporativas relacionadas conmetas de TI
• Paso 4: Cascada de metas de TI hacia las metas de loscatalizadores
Principio 1. Pasos de la cascada
CURSO COBIT 5.0 FUNDAMENTOS
21
Principio 1. Pasos de la cascada
CURSO COBIT 5.0 FUNDAMENTOS
Principio 1. Pasos de la cascada
CURSO COBIT 5.0 FUNDAMENTOS
• Paso 3: Cascada de metas corporativas relacionadas con metas de TI
22
2. Cubrir la Compañía de Forma Integral
Principio 2: Cubrir la Compañía de Forma Integral:
• COBIT 5 se concentra en el gobierno y la administración de la tecnología dela información y relacionadas desde una perspectiva integral a nivel de todala Organización.
• Esto significa que COBIT 5:
– Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea,el sistema de gobierno para la TI corporativa propuesto por COBIT 5 seintegra, de una manera fluida, en cualquier sistema de gobierno, todavez que COBIT 5 está alineado a los últimos desarrollos en gobiernocorporativo.
– Cubre todas las funciones y los procesos dentro de la Organización;COBIT 5 no solamente se concentra en la “Función de la TI”, sino tratala tecnología de la información y relacionadas como activos quenecesitan ser manejados como cualquier otro activo, por todos en laOrganización.
CURSO COBIT 5.0 FUNDAMENTOS
Principio 2: Cubrir la Compañía de Forma Integral
Los componentes / elementos Claves de un Sistema de
Gobierno
Fuente COBIT® 5, Figura 9. © 2012 ISACA® Todos los derechos reservados.
Fuente COBIT® 5, Figura 8. © 2012 ISACA® Todos los derechos reservados.
Objectivo del Gobierno: Creación de Valor
Realizaciónde Beneficios
Optimizaciónde Riesgos
Optimización de Recursos
Habilitadores de Gobierno
Alcance del Gobierno
Roles, Actividades y Relaciones
Dueños y Partes
Interesadas
Ente Regulador
AdministraciónOperaciones
yEjecución
Roles, Actividades y Relaciones
Delegan Fijar Directivas
MonitorearRendición de Cuentas
Informar
Instruir y Alinear
2. Cubrir la Compañía de Forma Integral (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
23
Elementos principales del enfoque de gobierno• Los catalizadores de gobierno comprenden:
• La estructura organizativa• Los recursos de la empresaEn su defecto, la falta de catalizadores puede afectar lacapacidad de la empresa para crear valor.
• El alcance del gobierno puede comprender:• Toda la empresa• Una entidad, activos tangibles o intangibles
Principio 2. Cubrir la empresa de extremo a extremo
CURSO COBIT 5.0 FUNDAMENTOS
• Roles, actividades y relaciones de gobierno• Definir quién esta involucrado en el gobierno• ¿Cómo se involucran?• ¿Qué hacen? Y• ¿Cómo interactúan?
• COBIT 5 define la diferencia entre las actividades de gobiernoy gestión en el principio 5.
Principio 2. Cubrir la empresa de extremo a extremo
CURSO COBIT 5.0 FUNDAMENTOS
24
3. Aplicar un único Marco Integrado
Principio 3. Aplicar un único Marco Integrado :
• COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones:
– Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
– Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI
– Etc.
• Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración.
• ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.
CURSO COBIT 5.0 FUNDAMENTOS
Principio 3. Aplicar un marco de referencia simple e integrado
CURSO COBIT 5.0 FUNDAMENTOS
25
4. Habilitar un Enfoque Holístico
Principio 4. Habilitar un Enfoque Holístico
Los Habilitadores de COBIT 5 son:
• Factores que individual y colectivamente, influyensobre si algo funcionará – en el caso de COBIT,Gobierno y Administración sobre la TI corporativa.
• Impulsados por las metas en cascada, o sea: lasmetas de alto nivel relacionadas con la TI definen quédeberían lograr los diferentes habilitadores.
• Descritos por el marco de COBIT 5 en sietecategorías.
CURSO COBIT 5.0 FUNDAMENTOS
4. Habilitar un Enfoque Holístico (cont.)
Principio 4. Habilitar un Enfoque Holístico
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Éticay Comportamiento
5. Información6. Servicios,
Infraestructuray Aplicaciones
7. Personas,Habilidades
y Competencias
RECURSOS
CURSO COBIT 5.0 FUNDAMENTOS
26
Principio 4. Habilitar un Enfoque Holístico:1. Procesos – Describen una serie organizada de prácticas y actividades para lograr
determinados objetivos y producir una serie de resultados como apoyo al logro de lasmetas globales relacionadas con la TI.
2. Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisionesen una organización.
3. Cultura, Ética y Comportamiento – De los individuos así como de la organización; sesubestima frecuentemente como factor de éxito en las actividades de gobierno yadministración.
4. Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseadoen una orientación práctica para la administración diaria.
5. Información – Se encuentra presente en todo el ambiente de cualquier organización; o sease trata de toda la información producida y usada por la Organización. La información esrequerida para mantener la organización andando y bien gobernada, pero a niveloperativo, la información frecuentemente es el producto clave de la organización en si.
6. Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y lasaplicaciones que proporcionan servicios y procesamiento de tecnología de la información ala organización.
7. Personas, Habilidades y Competencias – Están vinculadas con las personas y sonrequeridas para completar exitosamente todas las actividades y para tomar las decisionescorrectas, así como para llevar a cabo las acciones correctivas.
4. Habilitar un Enfoque Holístico (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
Principio 4. Habilitar un Enfoque Holístico:• Administración y Gobierno sistémico mediante
habilitadores interconectados – Para lograr los objetivosprincipales de la Organización, siempre debeconsiderarse una serie interconectada de habilitadores, osea, cada habilitador:– Necesita una entrada de otros habilitadores para ser
completamente efectivo, o sea, los procesos necesitaninformación, las estructuras organizacionales necesitanhabilidades y comportamiento.
– Entrega un producto de salida a beneficio de otroshabilitadores, o sea, los procesos entregan información, lashabilidades y el comportamiento hacen que los procesossean eficientes.
• Esto constituye un principio CLAVE que surge del trabajode desarrollo de ISACA en el Modelo de Negocios para laSeguridad de la Información (BMIS por su sigla en inglés).
4. Habilitar un Enfoque Holístico (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
27
Principio 4. Habilitar un Enfoque Holístico
Las Dimensiones Habilitadores de COBIT 5:
• Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes:– Proporciona una manera común, sencilla y estructurada para tratar los
habilitadores
– Permite a una entidad manejar sus interacciones complejas
– Facilita resultados exitosos de los habilitadores
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.
4. Habilitar un Enfoque Holístico (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
Métricas para el Logro de las Metas(Indicadores de Resultados)
Métricas para la Aplicación de Prácticas(Indicadores de Desempeño)
¿Se aplican Buenas Prácticas?¿Se administra el Ciclo de Vida?¿Se Logran las Metas de los Habilitadores?¿Se atienden las Necesidades de las
Partes Interesadas?
Dim
ensi
ónde
Hab
ilita
dore
sA
dmin
istr
ació
nde
l Des
empe
ñode
los
Hab
ilita
dore
s
Partes Interesadas Metas Ciclo de Vida Buenas Prácticas
• Internas• Externas
• Calidad Intrínseca• Calidad Contextual
(Relevancia,Efectividad)
• Accesabilidad ySeguridad
• Planificar• Diseñar•Construir/Adquirir/
Crear/Implementar• Usar/Operar• Evaluar/Monitorear• Actualizar/Disponer
• Prácticas• Productos de Trabajo
(Entradas/Salidas)
28
5. Separar el Gobierno de la Administración
Principio 5. Separar el Gobierno de la Administración:• El marco de COBIT 5 plasma una distinción muy
clara entre el Gobierno y la Administración.• Dichas dos disciplinas:
– Comprenden diferentes tipos de actividades– Requieren diferentes estructuras organizacionales– Cumplen diferentes propósitos
• Gobierno— En la mayoría de las organizacionesel Gobierno es responsabilidad de la JuntaDirectiva bajo el liderazgo de su Presidente.
• Administración— En la mayoría de lasorganizaciones, la Administración esresponsabilidad de la Gerencia Ejecutiva, bajo elliderazgo del Gerente General (CEO).
CURSO COBIT 5.0 FUNDAMENTOS
Principio 5. Separar el Gobierno de la Administración:• El Gobierno asegura que se evalúen las necesidades de las partes
interesadas, así como las condiciones y opciones, para determinar losobjetivos corporativos balanceados acordados a lograr; fijando directivasal establecer prioridades y tomar decisiones; así como monitorear eldesempeño, cumplimiento y progreso comparándolos contra lasdirectivas y objetivos fijados (EDM).
• La Administración planifica, construye, ejecuta y monitorea lasactividades conforme a las directivas fijadas por el ente de Gobierno paralograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).
5. Separar el Gobierno de la Administración (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
29
Principio 5. Separar el Gobierno de la Administración:COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de
gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:
Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.
Administración
Gobierno
Necesidades del Negocio
Retroalimentación GerencialMonitorearDirijir
Evaluar
Planificar(APO)
Construir(BAI)
Operar(DSS)
Monitorear(MEA)
5. Separar el Gobierno de la Administración (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
Principio 5. Separar el Gobierno de la Administración:� El marco de COBIT 5 describe siete categorías de habilitadores (Principio
4). Los procesos constituyen una categoría.
� Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. Las compañías más pequeñas podrán tener menos procesos, las compañías más grandes y más complejas podrán tener muchos procesos, todos para cubrir los mismos objetivos.
� COBIT 5 incluye un Modelo de Referencia de Procesos (PRM por su sigla en inglés), que define y describe en detalle un número de procesos de administración y de gobierno. Los detalles de dicho modelo habilitador específico pueden encontrarse en el Volumen de COBIT 5: Procesos
Habilitadores.
5. Separar el Gobierno de la Administración (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
30
5. Separar el Gobierno de la Administración
CURSO COBIT 5.0 FUNDAMENTOS
• Modelo de Referencia de Procesos
COBIT 5: 7 Habilitadores de COBIT
CURSO COBIT 5.0 FUNDAMENTOS
31
COBIT 5: Procesos Habilitadores• COBIT 5: Procesos Habilitadores complementa COBIT 5 y
contiene una guía detallada de referencias a los procesosdefinidos en el Modelo de Referencia de Procesos de COBIT 5:
– En el Capítulo 2 se recapitula las metas en cascada deCOBIT 5 y se complementa con una serie de métricasejemplo para las metas corporativas y las metasrelacionadas con la TI.
– En el Capítulo 3 se explica el Modelo de Procesos de COBIT5 y se definen sus componentes.
– En el Capítulo 4 se muestra el diagrama de dicho Modelode Referencias de Procesos.
– El Capítulo 5 contiene la información detallada de procesospara todos los 37 procesos de COBIT 5 en el Modelo deReferencias de Procesos.
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
Fuente: COBIT® 5, Figura 29. © 2012 ISACA® Todos derechos reservados.
Métricas para el Logro de las Metas(Indicadores de Resultados)
Métricas para la Aplicación de Prácticas(Indicadores de Desempeño)
¿Se Aplican Buenas Prácticas?¿Se Administra el Ciclo de Vida?¿Se logran las Metas de los Habilitadores?
¿Se Atienden las Necesidadesde las Partes Interesadas?
Dim
ensi
ón d
e H
abili
tado
res
Adm
inis
trac
ión
del D
esem
peño
de
los
Hab
ilita
dore
s
Partes Interesadas Metas Ciclo de Vida Buenas Prácticas
• Internas• Externas
• Calidad Intrínseca• Calidad Contextual
(Relevancia,Efectividad)
• Accesabilidad ySeguridad
• Planificar• Diseñar•Construir/Adquirir/
Crear/Implementar• Usar/Operar• Evaluar/Monitorear• Actualizar/Disponer
Prácticas genéricas paralos procesos
• Prácticas del Proceso,Actividades, Actividadesdetalladas
• Productos de Trabajo(Entradas/Salidas)
COBIT 5: Procesos Habilitadores (cont.)
32
Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluary Valorar
EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimización de
los Riesgos
EDM04 Asegurarla Optimización de
los Recursos
EDM05 Asegurarla Transparencia a
las partes interesadas
APO01 Administrar el Marco de la
Administración de TI
APO02 Administrarla Estrategia
APO04 Administrar la Innovación
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrar el Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definición de Requerimientos
BAI04 Administrar la Disponibilidad y
Capacidad
BAI03 Administrarla Identificación y Construcción de
Soluciones
BAI05 Administrar la Habilitación del
Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de
Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Admnistrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de
Servicios y los Incidentes
DSS04 Administrar la Continuidad
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de
Seguridad
DSS06 Administrar los Controles en los
Procesos de Negocio
MEA01 Monitorear, Evaluar y Valorar el
Desempeño y Cumplimiento
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control
Interno
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con
Requisitos Externos
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
COBIT 5: Procesos Habilitadores (cont.)
COBIT 5: Procesos Habilitadores:
• El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividadesy prácticas de la Organización relacionadas con la TI en dos áreasprincipales – Gobierno y Administración – con la Administración a su vezdividida en dominios de procesos:
• El Dominio de GOBIERNO contiene cinco procesos de gobierno;dentro de cada proceso se definen las prácticas para Evaluar, Dirigir yMonitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados con lasáreas de responsabilidad de Planificar, Construir, Operar y Monitorear(PBRM por su sigla en inglés).
COBIT 5: Procesos Habilitadores (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
33
1. Principios, políticas y marcos de referencia2. Procesos3. Estructuras organizativas4. Cultura, ética y comportamiento5. Información6. Servicios, infraestructura y aplicaciones7. Personas, habilidades y competencias
Habilitadores
CURSO COBIT 5.0 FUNDAMENTOS
• El propósito de este catalizador es transmitir la dirección einstrucciones de la entidad de gobierno y de la gerenciapues son instrumentos para comunicar las reglas de laempresa en apoyo a los objetivos de gobierno y valores dela empresa, según lo definido por la Alta dirección:• Diferencias entre principios y políticas• Los principios deben ser limitados en número• Expresar los valores fundamentales de la empresa en un
lenguaje claro y sencillo• Las políticas son directrices sobre cómo poner los
principios en práctica
Habilitador 1: Principios, políticas y marcos de referencia
CURSO COBIT 5.0 FUNDAMENTOS
34
• Las características de las buenas políticas deberíanconsiderar:• Ser efectivas: lograr su propósito• Ser eficientes, especialmente al implementarlas• No ser intrusivas, debe tener sentido y lógica para quienes tienen
que cumplir con ellas
• Las políticas deben tener un mecanismo (marco dereferencia) establecido donde puedan ser administradaseficazmente y los usuarios puedan saber donde ir.Específicamente deben ser:• Integrales, abarcando todas las áreas necesarias• Abiertas y flexibles, permitiendo cambios y adaptaciones fáciles• Vigentes y actualizadas
• El ciclo de vida de las políticas debe servir para definir eimplementar objetivos alcanzables
Habilitador 1: Principios, políticas y marcos de referencia
CURSO COBIT 5.0 FUNDAMENTOS
• Las requisitos de buenas prácticas para las políticas y marcosde referencia, son importantes, específicamente:• Su alcance• Las consecuencias de no cumplir con la política• Los medios en el manejo de excepciones• Como se monitorean
• Los vínculos y relaciones entre los principios, políticas ymarcos de referencia y otros catalizadores:• Los principios, políticas y marcos de referencia reflejan la cultura,
ética y valores de la empresa• Los procesos son el vehículo más importante para la ejecución de
las políticas• Las estructuras organizacionales pueden definir e implementar
políticas• Las políticas son parte de la información
Habilitador 1: Principios, políticas y marcos de referencia
CURSO COBIT 5.0 FUNDAMENTOS
35
• El catalizador Procesos complementa COBIT 5 conteniendouna guía de referencia detallada a los procesos definidos enel modelo de referencia de procesos de COBIT 5:• La cascada de metas esta revisada y complementada con un
conjunto de métricas de ejemplo para las metas corporativas y lasmetas de TI
• La guía de catalizador “Procesos”, contiene la información en detallepara los 37 procesos de COBIT 5, mostrados en el modelo dereferencia de procesos (MRP)
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
• El modelo de referencia de procesos de COBIT 5 subdividelas practicas y las actividades de TI en dos áreas principales– gobierno y gestión – con las gestión dividida, a su vez, endominios de procesos:• El dominio de GOBIERNO contiene cinco procesos; dentro de cada
proceso, se define el evaluar, orientar y supervisar las practicas(EDM)
• Los cuatros dominios de GESTIÓN están alineados con las áreas deresponsabilidad de planificar, construir, ejecutar y supervisar(PBRM)
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
36
• La estructura de cada proceso se compone de:• Descripción• Declaración de propósito• Metas de TI (de la cascada de metas)• Cada meta de TI se asocia con una serie de métricas genéricas relacionadas• Metas del proceso (también de la cascada de metas), se conoce como
metas del catalizador• Cada meta del proceso está asociada o relacionado con un conjunto de
métricas genéricas• Cada proceso contiene un conjunto de prácticas de gobierno / gestión ,
según aplique• Estos están asociados a una matriz genérica RACI: (R) Ejecutor, (A)
Responsable (quien rinde cuentas), (C): Consultado, e (I): Informado• Cada práctica de gobierno/ gestión contiene un conjunto de entradas y
salidas (llamados productos de trabajo)• Cada práctica de gobierno/ gestión esta asociada a un conjunto detallado
de actividades
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
• Un proceso define como un conjunto de practicasinfluenciadas por las políticas y procedimientos, que tomanentradas de varias fuentes (incluyendo otros procesos),manipula las entradas y produce salidas (p.ej., productos yservicios)
• Las prácticas de proceso se definen como la “guía”necesaria para alcanzar objetivos del proceso.
• Las actividades del proceso se definen como la “guía” paralograr prácticas de gestión para un gobierno y gestiónexitosa de las TI
• Entradas y Salidas son los productos / objetos de trabajoque se consideran necesarios para apoyar la operación delproceso
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
37
• Principales características de las metas de procesos:• Las metas de proceso se definen como una declaración
que describe el resultado deseado de un proceso. Unresultado puede ser un objeto, un cambio significativode estado o una mejora significativa de la capacidad deotros procesos. Estos son parte de la cascada de metasen la cual las metas del proceso se vinculan a las metasde TI, los que se vinculan a las metas corporativas. Haytres categorías:• Metas intrínsecas• Metas contextuales• Metas de accesibilidad y seguridad
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
• Relación entre Proceso y otros catalizadores• Los procesos necesitan información como una forma de
entrada• Los procesos necesitan estructuras organizacionales• Los procesos producen y requieren servicios,
infraestructura y aplicaciones• Los procesos dependen de otros procesos• Los procesos necesitan políticas y procedimientos que
garanticen una implementación consistente
Habilitador 2: Procesos
CURSO COBIT 5.0 FUNDAMENTOS
38
• Se puede distinguir una cantidad de buenas prácticasasociadas a las estructuras organizativas como:• Principios operativos, las modalidades prácticas sobre cómo
operará la estructura, tales como la documentación de la frecuenciade las reuniones y otras normas
• Ámbito de control, los límites de la toma de decisiones de laestructura organizativa
• Nivel de autoridad, las decisiones que la estructura esta autorizadapara tomar
• Delegación de responsabilidades, la estructura puede delegar unsubconjunto de derechos de decisión a otras estructuras quereportan
• Procedimientos de escalamiento, la ruta de escalamiento para unaestructura describe las acciones requeridas en caso de problemas oimprevistos en la toma de decisiones
Habilitador 3: Estructuras organizativas
CURSO COBIT 5.0 FUNDAMENTOS
• Las buenas prácticas para crear, fomentar y mantener elcomportamiento deseado en toda la empresa incluyen:• La comunicación en toda la empresa de los comportamientos
deseados y valores corporativos (Código de ética)• La concientización del comportamiento deseado, reforzado por el
ejemplo por la Alta dirección. Esta es una de las claves para un buenambiente de gobierno cuando los directivos de alto cargo yejecutivos “predican con el ejemplo”.
• Los incentivos y las medidas disuasivas para reforzar elcumplimiento del comportamiento deseado. Hay un vínculo clarocon los esquemas de pago y recompensas de RR.HH
• Reglas y normas que proporcionen más guía y que normalmente seencuentran en un Código de ética
Habilitador 4: Cultura, ética y comportamiento
CURSO COBIT 5.0 FUNDAMENTOS
39
• Relación de las metas para la cultura, ética ycomportamiento:• La ética organizacional determina los valores por los que la
empresa quiere regirse (su código)• La ética de los individuos se determina por los valores de cada
persona, dependiente en cierta medida de factores externosque no siempre están bajo el control de la empresa
• El comportamiento individual que colectivamente determinala cultura de la empresa y que depende tanto de la éticaorganizacional como individual. Algunos ejemplos:• El comportamiento hacia la toma de riesgos• El comportamiento hacia los principios y políticas de la
empresa• El comportamiento hacia los resultados negativos, por ejemplo
los eventos de pérdida
Habilitador 4: Cultura, ética y comportamiento
CURSO COBIT 5.0 FUNDAMENTOS
• La relación de catalizador con otros catalizadores:• Se vincula a los procesos para imprimir el carácter cultural
en la ejecución de las actividades del proceso• Se vincula a las estructuras organizativas para la
implementación de decisiones• Se vincula a los principios y políticas para poder comunicar
los valores corporativos (p.ej., incluyendo su código de éticaen sus políticas)
Habilitador 4: Cultura, ética y comportamiento
CURSO COBIT 5.0 FUNDAMENTOS
40
• Importancia de las categorías y dimensiones de la calidad dela información• El concepto de criterios de información fue introducido
en COBIT 3 (2000) y desempeñó un papel clave en COBIT4.1 por haber sido capaces de mostrar cómo cumplir losrequerimientos del negocio.
• Importancia de los criterios de información• COBIT 4.1 nos presento el concepto de 7 criterios de
información clave para cumplir con los requerimientosdel negocio. Esto se ha conservado pero traducido demanera diferente.
Habilitador 5: Información
CURSO COBIT 5.0 FUNDAMENTOS
• Para satisfacer los objetivos del negocio, la informacióndebe cumplir con ciertos criterios de control, a los cualesCOBIT se refiere como requerimientos del negocio para lainformación. Basado en requisitos más amplios de calidad,fiduciario y seguridad, se definen siete criterios distintos deinformación. Estos son:
Habilitador 5: COBIT 4.1 Criterios de la información. –Requerimientos del negocio
CURSO COBIT 5.0 FUNDAMENTOS
41
• Efectividad, se refiere a la información relevante y pertinente a los procesos delnegocio, así como ser entregada de manera oportuna, correcta, consistente yutilizable.
• Eficiencia, se refiere a la provisión de información a través del uso óptimo de losrecursos de la manera más productiva y económica.
• Confidencialidad, se refiere a la protección de información confidencial de ladivulgación no autorizada.
• Integridad, se refiere a la exactitud e integridad de la información así como a suvalidez, de conformidad con los valores y expectativas del negocio.
• Disponibilidad, se refiere a la información disponible, cuando sea requerida porel proceso de negocio, en la actualidad y en el futuro. También se refiere a laprotección de los recursos necesarios y capacidades asociadas.
• Cumplimiento, se ocupa del cumplimiento de aquellas leyes, reglamentos yacuerdos contractuales alas que está sometido el proceso del negocio, es decir,criterios de negocio impuestos externamente así como las políticas internas.
• Fiabilidad, se refiere a la provisión de información adecuada para la gestión deoperar la entidad y a el ejercicio de sus responsabilidades fiduciarias y degobernabilidad.
Habilitador 5: COBIT 4.1 Criterios de la información. –Requerimientos del negocio
CURSO COBIT 5.0 FUNDAMENTOS
Habilitador 5: COBIT 4.1 Criterios de la información. –Requerimientos del negocio
CURSO COBIT 5.0 FUNDAMENTOS
42
Habilitador 5: Información – MetadatosCiclo de Información
CURSO COBIT 5.0 FUNDAMENTOS
Generan
Motivan
• Atributos de la información aplicados a las siguientes capas:• Capa física del mundo, donde se realizan todos los
fenómenos que pueden ser observados empíricamente• Capa empírica: la observación empírica de los signos
usados para codificar la información y su distinción eluno del otro
• Capa sintáctica: las reglas y principios para laconstrucción de oraciones en el idioma natural oartificial. La sintaxis hace referencia a la forma de lainformación
Habilitador 5: Información
CURSO COBIT 5.0 FUNDAMENTOS
Definición: código / idioma es un atributo que identifica el canalde acceso de la información, por ejemplo, las interfaces deusuario y las reglas para la combinación de símbolos dellenguaje para formar estructuras sintácticas
43
• Atributos de la información aplicados a las siguientes capas:• Capa semántica: las reglas y principios para construir el
significado de las estructuras de sintaxis• Capa pragmática: las reglas y estructuras para la construcción
de estructuras mayores de lenguaje que cumplan finesespecíficos en la comunicación humana. Esta capa se refiereal uso de la información.
• Capa social del mundo: el Mundo que se construyesocialmente a través del uso de las estructuras del idioma enel nivel pragmático de la semiótica, por ejemplo, las leyes,regulaciones, los contratos, la cultura.
• Los usos posibles del Modelo de Información (IM) son:• Para especificaciones de la información• Se utiliza para determinar la protección requerida• Se utiliza para determinar la facilidad de uso de datos
Habilitador 5: Información
CURSO COBIT 5.0 FUNDAMENTOS
Habilitador 5: Ejemplo de información
CURSO COBIT 5.0 FUNDAMENTOS
IM: Modelo de Información
44
Habilitador 5: Ejemplo de información
CURSO COBIT 5.0 FUNDAMENTOS
IM: Modelo de Información
• Se debe considerar la calidad contextual y representativa delos requisitos de información para el usuario, lo que incluyeque sea:• Relevante: la medida en que la información es aplicable y útil para la tarea
en cuestión.• Completo: la medida en que la información no ha desaparecido y es de
suficiente profundidad y amplitud para la tarea en cuestión.• Apropiado: la medida en que el volumen de información es apropiado para
la tarea en cuestión.• Concisa: la medida en que la información esta representada de manera
compacta.• Consistente: la medida en que la información se representa en el mismo
formato.• Comprensible: la medida en que la información es fácilmente entendible.• Fácil de manipular: la medida en que la información es fácil de manipular y
aplicar a diferentes tareas
Habilitador 5: Información
CURSO COBIT 5.0 FUNDAMENTOS
45
• Los cinco principios de la arquitectura como guías generalesque gobiernan las implementación y el uso de los recursosde TI, como buenas prácticas. Ejemplos de tales principios:• Reutilización: se deberían utilizar componentes comunes de la arquitectura
al diseñar e implementar soluciones como parte del objetivo o lasarquitecturas de transición.
• Comprar versus construir: se deben comprar soluciones a no ser que existauna justificación aprobada para desarrollarlas internamente
• Simplicidad: la arquitectura de la empresa debe ser diseñada y mantenidatan simple como sea posible, mientras satisfaga los requerimientos de laempresa.
• Agilidad: la arquitectura de la empresa debe incorporar agilidad parasatisfacer las necesidades cambiantes del negocio de una manera eficaz yeficiente.
• Apertura: la arquitectura de la empresa debe aprovechar las estándaresabiertos de la industria
Habilitador 6: Servicios, infraestructura y aplicaciones
CURSO COBIT 5.0 FUNDAMENTOS
• Relación con otros catalizadores• Información: es una capacidad de servicio que es aprovechada a
través de los procesos para ofrecer servicios internos y externos.• Aspectos culturales y de comportamiento: relevantes cuando se
necesita construir una cultura orientada al servicio.• Proceso de entradas y salidas: la mayoría de las entradas y salidas
(productos del trabajo) de las prácticas y actividades de gestión deprocesos en el PRM incluyen capacidades de servicio.
• Considerar otros marcos de referencia como:• ITIL V3• TOGAF: proporciona un modelo de referencia de infraestructura de
información integrada
Habilitador 6: Servicios, infraestructura y aplicaciones
CURSO COBIT 5.0 FUNDAMENTOS
46
• Identificar las buenas prácticas para gestión de personas,habilidades y competencias, específicamente:• Lo requerido por diferentes niveles de habilidad para diferentes
roles.• La definición de los requisitos de habilidad para cada rol.• La asignación de categorías de habilidades para los dominios de
procesos de COBIT 5.• Las que corresponden a las actividades vinculadas a las TI, por
ejemplo, análisis del negocio, gestión de la información, etc.• Uso de fuentes externas para buenas practicas tales como:• El marco de referencia de las habilidades para la era de la
información (SFIA Foundation – Skills Framework for theInformation Age)
Habilitador 7: Personas, habilidades y competencias
CURSO COBIT 5.0 FUNDAMENTOS
• Identificar las buenas practicas para gestión de personas,habilidades y competencias, específicamente:• Lo requerido por diferentes niveles de habilidad para diferentes
roles.• La definición de los requisitos de habilidad para cada rol.• La asignación de categorías de habilidades para los dominios de
procesos de COBIT 5.• Las que corresponden a las actividades vinculadas a las TI, por
ejemplo, análisis del negocio, gestión de la información, etc.• Uso de fuentes externas para buenas practicas tales como:• El marco de referencia de las habilidades para la era de la
información (SFIA Foundation – Skills Framework for theInformation Age)
Habilitador 7: Personas, habilidades y competencias
CURSO COBIT 5.0 FUNDAMENTOS
47
Habilitador 7: Personas, habilidades y competencias
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: Implementación de COBIT
48
COBIT 5 Implementación• La mejora del Gobierno Corporativo de la Tecnología de la Información
(GEIT por su sigla en inglés) ha sido ampliamente reconocida por altosdirectivos como una parte esencial del gobierno corporativo.
• La información y la presencia general de la tecnología de informaciónocupan cada día una parte más importante de todo aspecto de la vidacomercial y pública.
• La necesidad de generar más valor de las inversiones en la Tecnología y deadministrar una gama creciente de riesgos relacionados con la Tecnologíanunca ha sido mayor que ahora.
• Una regulación y legislación cada vez más estricta sobre el uso comercialde la información también impulsa una mayor concientización de laimportancia de un ambiente de TI bien gobernado y administrado.
CURSO COBIT 5.0 FUNDAMENTOS
• ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañíasa implementar unos habilitadores de gobierno sanos. De hecho, laimplementación de un buen GEIT es casi imposible sin la activación deun marco efectivo de gobierno. También están disponibles las mejoresprácticas y los estándares que soportan al COBIT 5.
• Los marcos, mejores prácticas y normas son útiles solamente si sonadoptados y adaptados de manera efectiva. Hay que superar muchosretos y resolver varios asuntos para poder implementar GEIT de maneraexitosa.
• COBIT 5: Implementación les proporciona una guía de orientaciónacerca de cómo hacerlo.
COBIT 5 Implementación (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
49
• COBIT 5: Implementación cubre los siguientes asuntos:
• Posicionamiento de GEIT en la organización
• Adopción de los primeros pasos para mejorar GEIT
• Factores de éxito y retos para la implementación
• Habilitación del cambio de comportamiento y organizacionalrelacionado con el GEIT
• Implementación de una mejora continua que incluye la habilitacióndel cambio y la gestión del programa
• Uso de COBIT 5 y sus componentes.
COBIT 5 Implementación (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
Fuente: COBIT® 5, Figura 17. © 2012 ISACA® Todos derechos reservados.• Gestión del Programa
(anillo exterior)
• Habilitación del Cambio (anillo
medio)
• Ciclo de Vida de Mejora Continua (anillo interior)
COBIT 5 Implementación (cont.)
CURSO COBIT 5.0 FUNDAMENTOS
50
• ISACA a desarrollado el marco de referencia COBIT 5 paraapoyar a las empresa a implementar el gobierno de TI através del uso de catalizadores. De hecho, implementar unGEIT adecuado es casi imposible sin ajustarse a un marco dereferencia efectivo de gobierno.
• Sin embargo, los marcos de referencia, las mejores prácticasy los estándares son útiles sólo si son entendidos yadoptados de forma efectiva. Existen desafíos culturales yorganizacionales que deben superarse y temas relevantesque deben abordarse si se desea implementar el GEIT demanera exitosa.
• El documento “COBIT 5: Implementación” proporciona unaguía de cómo hacer esto.
Implementación de COBIT 5
CURSO COBIT 5.0 FUNDAMENTOS
• ¿Cuáles son las motivaciones?
• ¿Dónde estamos ahora?
• ¿Dónde queremos estar?
• ¿Qué es preciso hacer?
• ¿Cómo conseguiremos llegar allí?
• ¿Hemos conseguido llegar allí?
• ¿Cómo mantenemos vivo el impulso?
Desafíos para el éxito
CURSO COBIT 5.0 FUNDAMENTOS
51
• Entender los factores internos y externos de la empresa yaque ellos aplican a la gestión del cambio, tales como:• Ética y cultura• Leyes, regulaciones y políticas aplicables• Misión, visión y valores• Políticas y prácticas de gobierno• Plan de negocio y perspectivas estratégicas• Modelo operativo• Estilo de gestión• Apetito de riesgo• Capacidades y recursos disponibles• Prácticas de la industria
Factores internos y externos de la empresa
CURSO COBIT 5.0 FUNDAMENTOS
• Que la organización entienda que se trata de un cambiocultural orientado a la generación de valor.
• Que la Alta Dirección respalde abiertamente la iniciativa, asícomo su compromiso continuo.
• Que todas las partes que apoyan a los procesos de gobiernoy gestión entiendan los objetivos del negocio y de TI.
• Asegurar una comunicación y habilitación efectiva de loscambios necesarios
• Adaptar COBIT y otras buenas prácticas y estándares deapoyo de modo que calcen con el contexto único de laempresa.
• Enfocarse en las ganancias rápidas (quick wins) y priorizarlas mejores, más beneficiosas que sean fáciles deimplementar.
Factores claves de éxito
CURSO COBIT 5.0 FUNDAMENTOS
52
Implementación de COBIT 5 – Fase 1
CURSO COBIT 5.0 FUNDAMENTOS
• Iniciar el programa (Gestión del programa)• Establecer el deseo de cambiar (Habilitación del cambio)• Reconocer la necesidad de actuar (ciclo de vida de mejorar
continua)
Fase 1 - ¿Cuáles son los motivos?
CURSO COBIT 5.0 FUNDAMENTOS
53
• Generalmente se reconoce la necesidad de un gobierno deTI, nuevo o mejorado, debido a los puntos débiles y/o loseventos desencadenantes
• El Directorio y la Gerencia deberían:• Analizar los puntos débiles para identificar las causas raíces• Buscar oportunidades durante los eventos desencadenantes
• La meta de esta fase del ciclo de vida incluye:• Delinear el caso de negocio• Identificar las partes interesadas, responsabilidades y roles• Una “convocatoria” general del programa de gobierno de TI y
el inicio de las comunicaciones.
Fase 1 - ¿Cuáles son los motivos?
CURSO COBIT 5.0 FUNDAMENTOS
• Iniciativas fallidas de TI.• Incremento de los costos.• Percepción de que las
inversiones en TI proporcionan un bajo valor para el negocio
• Incidentes significativos en la relación con el riesgo de las TI (ejemplo: pérdida de datos)
• Problemas en la entrega de servicios de TI.
• Falla en cumplimiento de requisitos legales, regulatorios o contractuales.
• Hallazgos de auditoria por mal
desempeño de TI• Gastos de TI ocultos o sin
justificación.• Desperdicio de recursos ante
la duplicación o superposición en las iniciativas de TI.
• Recursos de TI insuficientes.• Personal de TI agotado /
insatisfecho.• Miembros del Directorio o
gerentes seniors reacios a comprometerse con las TI.
• ……
Fase 1 – Puntos débiles típicos
CURSO COBIT 5.0 FUNDAMENTOS
54
Fase 1 – Puntos débiles típicos
CURSO COBIT 5.0 FUNDAMENTOS
• Fusión, adquisición o traspaso.
• Cambio en la posición de mercado, de economía o competitiva.
• Cambio en el modelo operativo del negocio, o contratos de provisión de recursos.
• Nuevos requisitos regulatorios o de cumplimiento.
• Cambio tecnológico
significativo o de paradigma.
• Una nueva estrategia de negocio o prioridad.
• Un enfoque o proyecto de gobierno para toda la empresa.
• Un nuevo CEO, CIO, CFO o COO.
• Auditorias externas o evaluaciones de consultores.
Fase 1 – Eventos desencadenantes relevantes
CURSO COBIT 5.0 FUNDAMENTOS
55
• Al usar puntos débiles o eventos desencadenantes como la punta de lanzamiento para las iniciativas de gobierno de TI, el caso de negocio para la mejora de GEIT puede estar relacionado con los temas a gestionar, lo que mejorará la aceptación del caso de negocio.
Fase 1 – Eventos desencadenantes relevantes
CURSO COBIT 5.0 FUNDAMENTOS
Fase 2 – ¿Dónde estamos ahora?
CURSO COBIT 5.0 FUNDAMENTOS
56
• Definir los problemas y oportunidades (Gestión delprograma)• Comprender los puntos débiles que han sido identificados como
problemas de gobierno• Tomar ventaja de los eventos desencadenantes que proporcionan la
oportunidad de mejorar
• Formar un equipo sólido (Habilitación del cambio)• Conocimiento del ambiente de negocios• Contar con una visión sobre los factores que influyen
• Revisar el estado vigente (Ciclo de vida de mejora continua).• Identificar las metas de TI respecto de las metas corporativas• Identificar los procesos más importantes• Entender el apetito de riesgo de la gerencia• Entender la madurez del gobierno existente• Identificar los procesos relacionados
Fase 2 – ¿Dónde estamos ahora?
CURSO COBIT 5.0 FUNDAMENTOS
Fase 3 – ¿Dónde queremos estar?
CURSO COBIT 5.0 FUNDAMENTOS
57
• Definir la hoja de ruta (Gestión del programa)• A alto nivel, describir los objetivos y el plan para la habilitación
del cambio
• Comunicar la visión deseada (Habilitación del cambio)• Desarrollar una estrategia de comunicación• Comunicar la visión• Articular los fundamentos y beneficios del cambio• Establecer la pauta desde la administración superior
• Definir el estado objetivo y efectuar un análisis gap (Ciclo devida de mejora continua).• Definir el objetivo de mejora• Analizar las deficiencias• Identificar las mejoras potenciales
Fase 3 – ¿Dónde queremos estar?
CURSO COBIT 5.0 FUNDAMENTOS
Fase 4 – ¿Qué es preciso hacer?
CURSO COBIT 5.0 FUNDAMENTOS
58
• Planificar el programa (Gestión del programa)• Priorizar las potenciales iniciativas• Desarrollar proyectos formales y justificables• Usar planes que incluyan la contribución y los objetivos del programa
• Potenciar a los protagonistas clave e identificar resultadosrápidos (Habilitación del cambio)• Primero deberían implementarse las iniciativas sencillas de mayor beneficio• Obtener el compromiso de los stakeholders claves afectados por el cambio• Identificar fortalezas en los procesos existentes y aprovecharlos en forma
acorde
• Diseñar y construir mejoras (Ciclo de vida de mejoracontinua).• Trazar mejoras sobre una matriz para ayudar en la priorización• Considerar enfoques, entregables, recursos necesarios, costos, escalas de
tiempo estimados, dependencias del proyecto y los riesgos
Fase 4 – ¿Qué es preciso hacer?
CURSO COBIT 5.0 FUNDAMENTOS
Fase 5 – ¿Cómo logramos llegar allí?
CURSO COBIT 5.0 FUNDAMENTOS
59
• Ejecutar el plan (Gestión del programa)• Ejecutar proyectos según un plan de programa integrado• Proporcionar reportes actualizados de manera regular a las partes
interesadas• Documentar y supervisar la contribución de los proyectos junto con
la gestión de los riesgos identificados
• Habilitar la operación (Habilitación del cambio)• Aprovechar el impulso y la credibilidad de las implementaciones
rápidas.• Planificar los aspectos culturales y de comportamiento de la
transición mayor.• Definir métricas de éxito
• Implementar mejoras (Ciclo de vida de mejora continua).• Adoptar y adaptar las mejores prácticas en función al enfoque de la
empresa a los cambios en las políticas y procesos
Fase 5 – ¿Cómo logramos llegar allí?
CURSO COBIT 5.0 FUNDAMENTOS
Fase 6 – ¿Hemos conseguido llegar?
CURSO COBIT 5.0 FUNDAMENTOS
60
• Obtener beneficios (Gestión del programa)• Monitorear el desempeño general del programa versus los objetivos
del caso de negocio• Monitorear y medir la rentabilidad de la inversión
• Incorporar nuevos enfoques (Habilitación del cambio)• Proporcionar la transición del modo proyecto al modo negocio de
manera natural• Verificar si se han asumido los nuevos roles y responsabilidades• Hacer seguimiento y evaluar los objetivos de los planes de respuesta
al cambio• Mantener y asegurar una comunicación continua entre las partes
interesadas
• Operar y medir (Ciclo de vida de mejora continua).• Establecer objetivos para cada métrica• Medir métricas contra objetivos• Comunicar resultados y ajustar las metas según sea necesario
Fase 6 – ¿Hemos conseguido llegar?
CURSO COBIT 5.0 FUNDAMENTOS
Fase 7 – ¿Cómo mantenemos vivo el impulso?
CURSO COBIT 5.0 FUNDAMENTOS
61
• Mejoras continuas: mantener el momentum (impulso) esfundamental para sostener el ciclo de vida
• Revisar la efectividad de los beneficios delprograma(Gestión del programa)
• Sostener (Habilitación del cambio)• Refuerzo consciente (recompensa por logros)• Campaña de comunicación continua (retroalimentación del
desempeño)• Compromiso continuo de la alta dirección
• Supervisar y evaluar (Ciclo de vida de mejora continua).• Identificar nuevos objetivos de gobierno basados en la experiencia
del programa• Comunicar las lecciones aprendidas y demás requisitos de mejora
para la siguiente iteración del ciclo
Fase 7 – ¿Cómo mantenemos vivo el impulso?
CURSO COBIT 5.0 FUNDAMENTOS
• Descritas las siete fases y mostrado cuales son los pasos de la gestión deprograma con que se relacionan, esta sección describe los sietehabilitadores del cambio (anillo rojo) y su relación con las siete tareas dela gestión de programa (anillo azul o exterior)
Relaciones entre los habilitadores del cambio y los pasos de la gestión del programa
CURSO COBIT 5.0 FUNDAMENTOS
62
• Ahora echemos un vistazo a la vinculación de los siete habilitadores delcambio (anillo rojo) y las siete tareas de ciclo de vida de mejora continua(anillo celeste o interior)
Relaciones entre los habilitadores del cambio y los pasos de la gestión del programa
CURSO COBIT 5.0 FUNDAMENTOS
• Las características de un buen caso de negocio• La importancia de un caso de negocio no puede ser infra o
sobrevalorada. Se debe inculcar un nivel adecuado de urgenciay las principales partes interesadas deben estar conscientes delriesgo de no tomar una acción. Una iniciativa debe serpropiedad de un patrocinador (senior), involucrar a todas laspartes interesadas claves y basarse en un caso de negocio.
• Al principio esto puede ser un caso de negocio de alto nivelque aborda los beneficios y costos estratégicos, paraposteriormente, progresar a un caso de negocio más detallado.Es una valiosa herramienta disponible para la gerencia en labúsqueda de creación de valor para el negocio.
Creación del caso de negocio
CURSO COBIT 5.0 FUNDAMENTOS
63
• Como mínimo, un buen caso de negocio debería incluir:• Los beneficios de negocios que se lograrán• Los cambios requeridos en el negocio• Las inversiones necesarias• Los costos de operación de TI• Las restricciones y dependencias derivadas de la evaluación del
riesgo• Los roles, responsabilidades y rendición de cuentas en relación
con otras iniciativas• Los mecanismos de supervisión de la inversión.
Características de un buen caso de negocio
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: Capacidad de Procesos de COBIT
64
• Conocer los hechos, términos y conceptos relacionados con elModelo de Capacidad de Procesos, específicamente pararecordar:
• Los seis niveles de capacidad basado en ISO 15504• Los nueve atributos basados en ISO 15504• La escala de calificación basada en ISO 15504• La definición de términos clave en ISO 15504
• Entender el Modelo de Capacidad de Procesos y losconceptos básicos de ISO 15504, específicamente paraidentificar:
• Las razones para llevar a cabo una evaluación de procesos• El alcance del Programa de Evaluación de COBIT, específicamente el
propósito de las tres guías• Las diferencias entra una Evaluación de Madurez y una de Capacidad
Capacidad de procesos
CURSO COBIT 5.0 FUNDAMENTOS
• El propósito de un Modelo de Referencia de Procesos (PRM)• Cómo se utiliza un Modelo de Referencia de Procesos en el Modelo
de Evaluación de Procesos• Las características del Modelo de Referencia de Procesos, que cumple
con el estándar ISO 15504• Las diferencias entre los atributos genéricos y específicos descritos en
el Modelo de Evaluación de Procesos• Los beneficios del enfoque de Evaluación de Capacidad• Cómo se utilizan las escalas de calificación en una evaluación
Capacidad de procesos
CURSO COBIT 5.0 FUNDAMENTOS
65
• ISO/IEC 15504-4 identifica la evaluación de procesos comouna actividad que puede realizarse como parte de unainiciativa de mejora de procesos, o como parte de un enfoquede determinación de la capacidad.
• El propósito de la mejora de procesos es mejorarcontinuamente la eficacia y la eficiencia de la empresa.
• El propósito de la determinación de la capacidad de procesoes identificar los puntos fuertes, débiles y de riesgo de losprocesos seleccionados con respecto a requisitos particulares,especificado a través de los procesos utilizados y su alineacióncon las necesidades del negocio.
• Proporciona una metodología comprensible, lógica, repetible,fiable y robusta para evaluar la capacidad de los procesos deTI.
¿Qué es una evaluación de procesos?
CURSO COBIT 5.0 FUNDAMENTOS
• El enfoque del Programa de Evaluación de COBIT esconsiderado por ISACA como un método de evaluación decapacidad de procesos más robusto, confiable y repetible.
• El Programa de Evaluación de COBIT apoya:• Evaluaciones formales realizadas por asesores acreditados• Autoevaluaciones para el análisis de gaps y para la planificación
de la mejora de procesos.
• El Programa de Evaluación de COBIT permite potencialmentea una empresa obtener una evaluación independiente ycertificada alineada con el estándar ISO /IEC
Evaluación de la capacidad de procesos
CURSO COBIT 5.0 FUNDAMENTOS
66
• El programa de evaluación COBIT incluye:• Modelo de Evaluación de Procesos (PAM) usando COBIT 4.1/5.0
Presenta las bases del nuevo modelo de evaluación de capacidad de procesos con baseen la ISO 15504
• Guía del Asesor COBIT usando COBIT 4.1/5.0Provee el proceso detallado de cómo se debe realizar una evaluación por parte de unevaluador acreditado
• Guía de Autoevaluación COBIT usando 4.1/5.0Incluye una relación general de aspectos a considerar en un proceso preliminar deautoevaluación. No es un tipo de evaluación formal con base en la norma ISO 15504
• El Modelo de Evaluación de Procesos COBIT (PAM) reúne ados entidades probadas en TI, ISO e ISACA
• El nuevo Modelo de Capacidad de Procesos basado en ISO15504, reemplaza al Modelo de Madurez de Capacidad deProceso utilizado en versiones anteriores de COBIT
¿Cuál es el programa de evaluación COBIT?
CURSO COBIT 5.0 FUNDAMENTOS
• Históricamente, la mayoría de los marcos de referencia desdede COBIT, ITIL a PRINCE 2 han adoptado el enfoque CMMI deSEI (Software Engineering Institute) que combina unaEvaluación de Capacidad y una de Madurez en una solaevaluación.
• ISO 15504 sostiene que existen dos evaluacionesindependientes:
• Se realiza una Evaluación de Madurez a nivel organizacional o deempresa, y se utiliza una escala de medición diferente a unaevaluación de capacidad, así como diferentes criterios y atributos
• Una Evaluación de Capacidad se realiza a nivel de procesos y se hacepara la mejora de proceso.
Diferencias entre una evaluación de capacidad y una de madurez
CURSO COBIT 5.0 FUNDAMENTOS
67
• El nuevo Programa de Evaluación de COBIT considera:• Un proceso de evaluación sólido basado en ISO 15504• Alinea la escala del modelo de madurez COBIT con el estándar ISO
15504.• El nuevo Modelo de Evaluación basado en la capacidad incluye:
• Requisitos de proceso específicos derivados de COBIT 4.1• Habilidad de procesos para lograr los atributos de procesos basados en
ISO 15504• Requisitos de evidencia• Requisitos de calificaciones y experiencia del asesor
• Resulta en una evaluación más sólida, objetiva y repetible• Los resultados de la evaluación de capacidad probablemente
variarán respecto de los modelos de madurez existentes enCOBIT
¿Cuáles son las diferencias en un modelo CMM?
CURSO COBIT 5.0 FUNDAMENTOS
• La diferencia clave a tener en cuenta a partir de lasdefiniciones anteriores:
• Una Evaluación de Madurez se realiza a un nivel organizacionalo de empresa y utiliza una escala de medición diferente queuna evaluación de capacidad y diferentes criterios y atributos.
• Una Evaluación de Capacidad se realiza a un nivel de proceso yse hace con fines de mejora del proceso
Las diferencias de la Evaluación de Capacidad de Procesos de COBIT 4.1 y COBIT 5.0
CURSO COBIT 5.0 FUNDAMENTOS
68
• Un proceso de evaluación sólido basado en estándares ISO• Una alineación de escalas desde el modelo de madurez hacia
el estándar internacional.• Un nuevo modelo de evaluación basadas en la capacidad que
incluye:• Requisitos específicos de proceso derivados de COBIT 4.1 y
COBIT 5.0• Habilidad para lograr los atributos de proceso basado en ISO
15504• Requisitos de evidencia
• Requisitos de calificaciones y experiencia del Asesor• Resultados en una evaluación más sólida, objetiva y repetible
Ventajas del enfoque de ISO 15504
CURSO COBIT 5.0 FUNDAMENTOS
• Enfoque mejorado en el proceso que se esta evaluando, paraconfirmar que realmente esta logrando su propósito
• Se mejora la usabilidad de los resultados de evaluación decapacidad de procesos, ya que el enfoque es más rigurosospara propósitos internos y externos
• El cumplimiento de un estándar de evaluación de procesosgeneralmente aceptado y por lo tanto un fuerte apoyo por unenfoque global
Beneficios del enfoque
CURSO COBIT 5.0 FUNDAMENTOS
69
• Propósito del proceso: los objetivos medibles de alto nivel ylos resultados probables de la aplicación efectiva de laimplementación del proceso.
• Resultados del proceso: un resultado (artefacto, un cambiosignificativo del estado o la ocurrencia de las restriccionesespecificadas) observable de un proceso
• Prácticas de base: las actividades que, al realizarseconsistentemente, contribuyen al logro de la finalidad delproceso
• Producto del trabajo: un objeto asociado con la ejecución deun proceso, definido en términos de entradas y salidas delproceso
Definiciones claves de ISO 15504
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5 Modelo de Referencia de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
Evaluar, Dirigir y Monitorear Procesos para el Gobierno Corporativo de TI
Procesos para la Administración de TI Corporativa
Alinear, Planear y Organizar
Construir, Adquirir e Implementar
Entregar, Servir y Dar Soporte
Monitorear, Evaluary Valorar
EDM01 Asegurarque se fija el Marco de Gobierno y su Mantenimiento
EDM02 Asegurarla Entrega de Valor
EDM03 Asegurarla Optimización de
los Riesgos
EDM04 Asegurarla Optimización de
los Recursos
EDM05 Asegurarla Transparencia a
las partes interesadas
APO01 Administrar el Marco de la
Administración de TI
APO02 Administrarla Estrategia
APO04 Administrar la Innovación
APO03 Administrarla Arquitectura
Corporativa
APO05 Administrar el Portafolio
APO06 Administrarel Presupuesto y los
Costos
APO07 Administrar el Recurso Humano
APO08 Administrar las Relaciones
APO09 Administrar los Contratos de
Servicios
APO11 Administrarla Calidad
APO10 Administrarlos Proveedores
APO12 Administrar los Riesgos
APO13 Administrar la Seguridad
BAI01 AdministrarProgramas y
Proyectos
BAI02 Administrarla Definición de Requerimientos
BAI04 Administrar la Disponibilidad y
Capacidad
BAI03 Administrarla Identificación y Construcción de
Soluciones
BAI05 Administrar la Habilitación del
Cambio
BAI06 Administrar Cambios
BAI07 Administrar la Aceptación de
Cambios y Transiciones
BAI08 Administrar el Conocimiento
BAI09 Administrar los Activos
BAI10 Admnistrar la Configuración
DSS01 Administrar las Operaciones
DSS02 Administrar las Solicitudes de
Servicios y los Incidentes
DSS04 Administrar la Continuidad
DSS03 Administrar Problemas
DSS05 Administrar los Servicios de
Seguridad
DSS06 Administrar los Controles en los
Procesos de Negocio
MEA01 Monitorear, Evaluar y Valorar el
Desempeño y Cumplimiento
MEA02 Monitorear, Evaluar y Valorar el Sistema de Control
Interno
MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con
Requisitos Externos
70
COBIT 5 Modelo de Referencia de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
Estructura del proceso• ID del Proceso: APO13• Nombre del proceso: Gestionar la Seguridad• Descripción del proceso: definir, operar y monitorear un sistema para
gestión de seguridad de la información• Propósito del proceso: Mantener el impacto y la incidencia de la
existencia de los incidentes de seguridad de la información dentro de losniveles de apetito de riesgos de la empresa
• Resultados:• APO 13-01• APO 13-02• APO 13-03
• Practicas base (BP):• APO13-BP01• APO13-BP02
• Salidas (producto del trabajo):• APO13-WP1• APO13-WP2
Alcance del PAM• Un modelo de Evaluación de Procesos toma uno o más
proceso del Modelo de Referencia de Procesos, como basepara la obtención de evidencia y calificación de la capacidadde los mismos
• Un modelo de Evaluación de Procesos deberá abordar, paraun proceso determinado, todos, o un subconjunto continuode niveles (a partir del nivel 1) del marco de referencia demedición de capacidad de procesos para cada uno de losprocesos dentro de su alcance
Modelo de Evaluación de Procesos
CURSO COBIT 5.0 FUNDAMENTOS
71
• ISO 15504 define dos niveles:• Una dimensión de Capacidad de procesos (niveles 1 a 5) basada
e indicadores de atributo de procesos (PAI) que tratanúnicamente con atributos genéricos
• Una dimensión de Proceso que contiene indicadoresadicionales para las evaluaciones de desempeño de procesosbasados en indicadores de desempeño muy específicos
• El modelo de Referencia de Procesos se utiliza solo para ladimensión de Proceso en el Nivel 1. Los niveles 2 a 5 se centransolo en la dimensión de Capacidad basadas en atributosgenéricos
Modelo de Evaluación de Procesos
CURSO COBIT 5.0 FUNDAMENTOS
Evaluación de procesos con COBIT 5 PRM
CURSO COBIT 5.0 FUNDAMENTOS
72
Evaluación de procesos con COBIT 5 PRM
CURSO COBIT 5.0 FUNDAMENTOS
• Un modelo de Evaluación de Procesos proporcionará unmapeo explicito a partir de los elementos relevantes delmodelo para los procesos seleccionados del PRM y a losatributos de proceso relevantes del marco de referencia demedición.
• El mapeo será completo, claro e inequívoco. El mapeo de losindicadores dentro del Modelo de Evaluación de Procesosconsideran:
• Los propósitos y los resultados de los procesos en el Modelo deReferencia de Procesos especificado
• Los atributos de proceso (incluyendo todos los resultados de logroslistados para cada atributo del proceso) en el marco de referencia demedición
Mapeo con PRM
CURSO COBIT 5.0 FUNDAMENTOS
73
Niveles de Capacidad de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
Niveles de Capacidad de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
74
Niveles de Capacidad de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
Niveles de Capacidad de Proceso
CURSO COBIT 5.0 FUNDAMENTOS
75
• El proceso de Evaluación de COBIT mide el grado en que undeterminado proceso logra atributos específicos en relacióncon ese proceso: “Atributos de Proceso”
• El Proceso de Evaluación de COBIT define 9 atributos deProcesos (basado en ISO/IEC 15504-2)
• PA1.1 Desempeño del proceso• PA2.1 Gestión del desempeño• PA2.2 Gestión de productos de trabajo• PA3.1 Definición del proceso• PA3.2 Despliegue del proceso• PA4.1 Medición del proceso• PA4.2 Control del proceso• PA5.1 Innovación del proceso• PA5.2 Optimización continua del proceso
Marco de referencia de medición
CURSO COBIT 5.0 FUNDAMENTOS
• Existe la necesidad de asegurar un grado coherente deinterpretación a la hora de decidir qué calificación asignar.La tabla establece los niveles de calificación en términos deescala de calificación y dichas calificaciones se tradujeron enuna escala de porcentaje que muestra el grado de logro.
Escala de calificación de atributos de proceso
CURSO COBIT 5.0 FUNDAMENTOS
76
• El proceso de Evaluación de COBIT mide el grado en que undeterminado proceso logra los “Atributos de Proceso”
• N (No Alcanzado) – Hay muy poca o ninguna evidencia de que sealcanza el atributo definido en el proceso de evaluación.
• P (Parcialmente Alcanzado) – Hay alguna evidencia de aproximacióna, y algún logro del atributo definido en el proceso evaluado. Algunosaspectos del logro del atributo pueden ser impredecibles.
• L (Ampliamente Alcanzado) – Hay evidencias de un enfoquesistemático y de un logro significativo del atributo definido en elproceso evaluado. Pueden encontrarse algunas debilidadesrelacionadas con el atributo en el proceso evaluado.
• F (Completamente Alcanzado) – Existe evidencia de un completo ysistemático enfoque y un logro completo del atributo definido en elproceso evaluado. No existen debilidades significativas relacionadascon el atributo en el proceso evaluado.
Escala de calificación de atributos de proceso
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: Actividades del proceso de Evaluación
77
1. Inicio
2. Planificación de la evaluación
3. Instrucciones
4. Recopilación de datos
5. Validación de datos
6. Clasificación del atributo de proceso
7. Informe de los resultados
1. Actividades del Proceso de Evaluación
CURSO COBIT 5.0 FUNDAMENTOS
• Identificar al patrocinador y definir el propósito de laevaluación ¿para qué se realiza?
• Definir el alcance de la evaluación:– Cuáles son los procesos que se están evaluando
– Qué restricciones, si las hay, aplican a la evaluación
• Identificar cualquier información adicional que se requierereunir
• Seleccionar a los participantes de la evaluación, el equipode evaluación y definir los roles de los miembros delequipo
• Definir entradas y salidas de la evaluación:– Tenerlas aprobadas por el patrocinador
1. Inicio
CURSO COBIT 5.0 FUNDAMENTOS
78
• Un plan de evaluación que describe todas las actividades aejecutarse en la realización de la evaluación es:– Desarrollado y
– Documentado junto con
– Un cronograma de evaluación
• Identificar el alcance del proyecto
• Garantizar los recursos necesarios para realizar laevaluación
• Determinar el método para recopilar, revisar, validar ydocumentar la información necesaria para la evaluación
• Coordinar las actividades de evaluación con el área(Unidad Organizacional) que se está evaluando.
2. Planificación de la evaluación
CURSO COBIT 5.0 FUNDAMENTOS
• El líder del equipo de evaluación asegura que el equipo deevaluación comprende la evaluación, en relación a:– Entradas
– Proceso y
– Salidas
• Informar a la Unidad Organizacional sobre el desarrollo dela evaluación:– El PAM, alcance de la evaluación, el cronograma de actividades,
limitaciones, roles y responsabilidades, necesidades de recursos,etc.
3. Información
CURSO COBIT 5.0 FUNDAMENTOS
79
• El asesor logra (y documenta) un entendimiento de los procesos,incluyendo el propósito, entradas, salidas y productos de trabajodel proceso, suficientes para habilitar y apoyar la evaluación.
• Los datos necesarios para la evaluación de los procesos dentrodel alcance de la evaluación se recogen de manera sistemática.
• Explícitamente, se identifican y demuestran la estrategia ytécnicas para la selección, recopilación, análisis de datos y lajustificación de las calificaciones.
• Cada proceso identificado en el alcance de la evaluación seevalúa sobre la base de evidencia objetiva:– La evidencia objetiva reunida para cada atributo de cada proceso de
evaluación debe ser suficiente para cumplir el alcance y propósito dela evaluación
– La evidencia objetiva que apoya el juicio de los asesores de lascalificaciones de atributo de proceso se registra y se mantiene en elRegistro de la Evaluación.
4. Recopilación de datos
CURSO COBIT 5.0 FUNDAMENTOS
• Se toman acciones para asegurar que los datos seanexactos y cubran lo suficiente el alcance de la evaluación,incluyendo:– Búsqueda de información de primera mano, fuentes
independientes
– El uso de los resultados de evaluaciones anteriores y
– Organizar sesiones de retroalimentación para validar lainformación recogida
• Es posible (y deseable) validar los datos mientras estos seestán recolectando.
5. Validación de datos
CURSO COBIT 5.0 FUNDAMENTOS
80
• En cada proceso evaluado, se asigna una calificación paracada atributo de proceso, lo que puede llegar al más altonivel de capacidad definido en el alcance de la evaluación.
• La calificación se basa en datos validados en la actividadanterior
• Se mantendrá trazabilidad entre la evidencia objetivarecogida y las calificaciones de atributos de procesoasignadas
• Para cada atributo de proceso calificado, se registra larelación entre los indicadores y la evidencia objetiva
6. Calificación de atributos de proceso
CURSO COBIT 5.0 FUNDAMENTOS
• Los resultados de la evaluación son analizados ypresentados en un informe.
• El informe también cubre cualquier situación claveplanteada durante la evaluación tales como:– Las áreas fuertes y débiles observadas
– Resultados de alto riesgo, es decir, la magnitud del gap entre lacapacidad evaluada y la capacidad deseada y/o requerida
7. Informe de los resultados
CURSO COBIT 5.0 FUNDAMENTOS
81
• Funciones de Evaluación de Procesos COBIT– Asesor Líder: un asesor competente responsable de supervisar las
actividades de evaluación
– Asesor: profesional que realiza las actividades de evaluación y estádesarrollando competencias de asesor.
• Competencias del Asesor:– Conocimiento, habilidades y experiencia:
• En el Modelo de Referencia de Procesos (PRM), el Modelo deEvaluación de Procesos (PAM), métodos y herramientas, procesos decalificación, entre otros.
• En los procesos/dominios que se están evaluando.
• Atributos personales que contribuyen a un desempeño efectivo
Certificación del Asesor
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5: Productos Futuros de Apoyo
82
Fuente: COBIT® 5, Figura 11. © 2012 ISACA® Todos derechos reservados.
COBIT®
5 ImplementaciónOtras Guías
Profesionales
COBIT® 5 Ambiente Colaborativo En Línea
Guías de Habilitadores de COBIT® 5
COBIT®
5: Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5 Para la Seguridadde la Información
COBIT ® 5
Para elAseguramiento
COBIT®
5 Para Riesgos
COBIT®
5:
Guias Profesionales de Orientación de COBIT® 5
La Familia de Productos de COBIT 5
CURSO COBIT 5.0 FUNDAMENTOS
COBIT 5 Productos Futuros de ApoyoProductos Futuros de Apoyo:
• Guías Profesionales de Orientación:
• COBIT 5 para la Seguridad de Información
• COBIT 5 para el Aseguramiento
• COBIT 5 para Riesgos
• Guías de Orientación de los Habilitadores:
• COBIT 5: Información Habilitadora
• COBIT En Línea Reemplazo
• COBIT Programa de Evaluación:
• Modelo de Evaluación de Procesos (PAM): Usando COBIT 5
• Guía para Asesores: Usando COBIT 5
• Guía de Auto-Evaluación: Usando COBIT 5
© ISACA 2012. El presente trabajo así como cualesquier derivados del mismo no podrá ser ofrecido para la venta, ni solo ni como parte de ninguna otra publicación o producto.
CURSO COBIT 5.0 FUNDAMENTOS
83
COBIT 5 for (Information) Security: la novedad …
CURSO COBIT 5.0 FUNDAMENTOS
COBIT®
5 ImplementaciónOtras Guías
Profesionales
COBIT® 5 Ambiente Colaborativo En Línea
Guías de Habilitadores de COBIT® 5
COBIT®
5: Procesos Habilitadores
Otras Guías
Habilitadoras
COBIT ® 5
Información Habilitadora
COBIT®
5 Para la Seguridadde la Información
COBIT ® 5
Para elAseguramiento
COBIT®
5 Para Riesgos
COBIT®
5:
Guias Profesionales de Orientación de COBIT® 5
Familia de Productos COBIT 5 – un nuevo miembro
© 2012 ISACA. All rights reserved.
CURSO COBIT 5.0 FUNDAMENTOS
84
• COBIT 5 toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visión integral y sus componentes a la nueva versión
© 2012 ISACA. All rights reserved.
COBIT 5 – Integra los componentes del BMIS
CURSO COBIT 5.0 FUNDAMENTOS
Introducción al BMISModelo de negocios para la Seguridad de la Información
⁻ Presenta un enfoque integral y orientado al negocio para la gestión de la seguridad de la información
⁻ Establece un lenguaje común para referirse a la protección de la información
⁻ Desafía la visión convencional de la inversión en seguridad de la información
⁻ Explica en forma detallada el modelo de negocio para gestionar la seguridad de la información, invitando a utilizar una perspectiva sistémica
⁻ Información (en inglés) disponible en: www.isaca.org/bmis
© 2012 ISACA. All rights reserved.
CURSO COBIT 5.0 FUNDAMENTOS
85
⁻ Varios de los componentes del BMIS han sido integrados al COBIT 5, como habilitadores que interactúan y respaldan la gestión en la organización para alcanzar sus objetivos de negocio y crear valor.
⁻ Estos componentes son:
• Organización
• Procesos
• Personas
• Factores Humanos
• Tecnología
• Cultura
• Habilitación y soporte
• Gobierno
• Arquitectura
• “Emergence”
© 2012 ISACA. All rights reserved.
COBIT 5 – Integra los componentes del BMIS
CURSO COBIT 5.0 FUNDAMENTOS
© 2012 ISACA. All rights reserved.
COBIT 5 y la Seguridad de la Información
CURSO COBIT 5.0 FUNDAMENTOS
86
- Se proyecta como una guía específica para los profesionales de laSeguridad de la Información y otros interesados
- Se construye sobre el marco del COBIT 5, un enfoque robustopara el gobierno y la gestión de la seguridad de la información,sobre la base de los procesos de negocios de la organización
- Presentará una visión extendida del COBIT 5 , que explica cadauno de sus componentes desde la perspectiva de la seguridad
- Creará valor para todos los interesados a través de explicaciones,actividades, procesos y recomendaciones
- Propondrá una visión del gobierno y la gestión de la seguridad dela información mediante una guía detallada para establecerla,implementarla y mantenerla, como parte de las políticas, procesosy estructuras de la organización.
COBIT 5 for (Information) Security
CURSO COBIT 5.0 FUNDAMENTOS
• Principales contenidos:
– Directrices sobre los principales drivers y beneficios de laseguridad de la información para la organización
– Aplicación de los principios de COBIT 5 por parte de losprofesionales de la seguridad de la información
– Mecanismos e instrumentos para respaldar el gobierno y lagestión de la seguridad de la información en laorganización
– Alineamiento con otros estándares de seguridad de lainformación
COBIT 5 for (Information) Security
CURSO COBIT 5.0 FUNDAMENTOS
87
• Estado actual del COBIT 5 for (Information) Security:
– Se distribuyó un borrador a un grupo de expertos en lamateria (SME) en enero de 2012.
– Durante el mes de febrero, el equipo “COBIT SecurityTask Force” de ISACA revisará e incorporará el feedbacken el texto.
COBIT 5 for (Information) Security
CURSO COBIT 5.0 FUNDAMENTOS
CURSO COBIT 5.0 FUNDAMENTOS
¡Gracias por su Atención!