COBIT Control Objectives for Information and related Technology
COBIT Control Objectives for Information and related Technology
Gobierno de TI � Gobierno de TI es responsabilidad de ejecutivos y consejo de administración (junta directiva) y consiste en el liderazgo, estructuras de organización y procesos que aseguren que el área de TI de la empresa soporta y extiende las estrategias y objetivos de la organización. � (IT Governance Institute)
Principios de gobierno de TI � Dirección y control – hacia donde va TI para apoyar el negocio y asegurar que los objetivos son alcanzables � � � Responsabilidad Rendición de cuentas Actividades
Misión de COBIT � Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado y aceptado internacionalmente para su adopción por parte de las empresas para el uso diario de gerentes de negocio, profesionales de TI y responsables de la seguridad
Características de COBIT Marco de referencia de buenas prácticas para gobierno de TI • No estándar o metodología Reconocido mundialmente Representa el consenso • Revisión por miembros de “Information Systems Audit & Control Association” Entrega una visión de punta a punta de TI • A lo largo del ciclo de vida Integrador de buenas prácticas • Marco de trabajo de alto nivel • Se alinea con otros marcos como ITIL, ISO Enfoca en el control mas que en la ejecución • No impone como hacerlo Flexible • Puede implementarse acorde a las necesidades
Co. BIT como integrador COBIT Administración de servicios Desarrollo de aplicaciones Planeación de TI Admin de proyectos ……. Seguridad de TI ITIL CMM ? ? ? Risk - IT
Características principales � � Enfocado al negocio Orientado a procesos Basado en controles Impulsado por mediciones
Enfocado al negocio
Definiendo metas de TI y arquitectura de la institución para TI Estrategia de la empresa Metas de negocio para TI Metas de TI Scorecard para TI Arquitectura para TI
Metas de negocio para TI (17 metas en 4 grupos) Financiero Cliente Interno Aprendizaje y crecimiento
Metas de negocio para TI � Financiero � Proporcionar un buen retorno de la inversión en TI � Administrar los riesgos de negocio relacionados con TI � Mejorar el gobierno y transparencia corporativos
Metas de negocio para TI (Cont. ) � Cliente � Mejorar el servicio y orientación al negocio � Ofrecer productos y servicios competitivos � Establecer la continuidad y disponibilidad en el servicio � Generar agilidad (ante a los requerimientos del negocio) � Optimización de costos en la entrega del servicio � Obtener información útil y confiable para toma de decisiones estratégicas
Metas de negocio para TI (Cont. ) � Internas � Mejorar y mantener la funcionalidad de los procesos � Disminuir costo de los procesos � Cumplimiento - normas y regulaciones externas � Cumplimiento – políticas internas � Administrar cambio en el negocio � Mejorar y mantener la productividad operacional y del staff
Metas de negocio para TI (Cont. ) � Aprendizaje y crecimiento � Administrar innovación del negocio y de productos � Adquirir y mantener personas capacitadas y motivadas
Definiendo metas de TI y arquitectura de la institución para TI Estrategia de la empresa Metas de negocio para TI Metas de TI Scorecard para TI Arquitectura para TI
Metas de TI � Establecen 28 Metas de TI 1. Responder a los requerimientos de negocio en alineación con la estrategia de negocio …. . 3. Asegurar la satisfacción del usuario con los servicios ofertados y los niveles de servicio …… 28. Asegurar que TI muestra un servicio de calidad eficiente en costo, en mejora continua y listo para cambios futuros
Relación metas de negocio para TI y metas de TI 1 Financiero Cliente / usuario 2 Adm los riesgos de 2 negocio relacionados con TI 14 17 18 19 20 21 22 3 Mejorar la transparencia y 2 gobernabilidad 4 Mejorar la orientación y 3 corporativa servicio al usuario 18 23
Definiendo metas de TI y arquitectura de la institución para TI Estrategia de la empresa Metas de negocio para TI Metas de TI Scorecard para TI Arquitectura para TI
Arquitectura � El área de TIC administra mediante procesos infraestructura para generar una salida de valor para al área de negocios de la empresa
Orientado a procesos
Principio básico de COBIT � Para obtener la información que requiere la empresa para obtener sus objetivos, esta necesita invertir en, administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida
Manejo de procesos en COBIT administra los procesos considerando 3 niveles: � Dominios � Procesos Actividades
Manejo de procesos en COBIT Dominios 4 Procesos 34 Actividades {PO, AI, DS, ME} Procesos
Dominios de COBIT � � Planear y Organizar [PO] Adquirir e Implementar [AI] Entregar y soportar [DS] Monitorear y evaluar [ME]
Orientación a procesos � � � Pasos iniciales en pos de un buen gobierno Proporciona un marco de trabajo Permite la asignación de propiedad de procesos (R y A)
Planear y organizar
Definiendo metas de TI y arquitectura de la institución para TI Estrategia de la empresa Metas de negocio para TI Metas de TI Scorecard para TI Arquitectura para TI
Basado en controles
C � COBIT define objetivos de control � Políticas, procedimientos, practicas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales
� Cada proceso tiene: � objetivo de control de alto nivel Identificado como PCn � objetivos n = {1, …, 6} de control específicos � Identificados como: siglas del dominio + num de proceso +. num de objetivo � PO 8. 4, AI 3. 2, DS 1. 2, etc.
� � � � Objetivos de control genéricos aplicables a todos los procesos PC 1: Metas y objetivos de proceso PC 2 – Propietario del proceso PC 3 – Repetibilidad de los proceso PC 4 – Roles y responsabilidades PC 5 – Políticas, planes y procedimientos PC 6 – Mejora del desempeño de los procesos
� Conjunto completo de requerimientos � Enunciados de acciones para incrementar el valor o reducir el riesgo � Consisten de políticas, procedimientos, practicas y estructuras organizacionales � Diseñados para proporcionar un aseguramiento razonable de que : Se logran los objetivos institucionales Se evitan eventos no deseados ó se detectan y corrigen
Adopción de controles de los procesos � Decisión sobre � Seleccionar los que son aplicables � Decidir cuales se implementarán � Determinar como se implementaran � Aceptar el riesgo de no implementar
Definiendo metas de TI y arquitectura de la institución para TI Estrategia de la empresa Metas de negocio para TI Metas de TI Scorecard para TI Arquitectura para TI
Dirigido por mediciones
Modelo de madurez � � Forma de medición a través del uso de un modelo de madurez Permite comparación � Como estamos en relación a buenas prácticas aceptadas � Como estamos frente a similares � Se realiza lo necesario? � Identificar que se necesita realizar para lograr el nivel de procesos
Nivel de madurez Descripción 0 - No existe Carencia de reconocimiento del proceso 1 - Inicial Procesos no estandarizados 2 - Repetible No existe entrenamiento o comunicación forma 3 - Definido Estandarizado y documentado 4. Administrado 5. Optimizado Procesos siguiendo las mejores practicas
Atributos de madurez � � � Conciencia y comunicación Políticas, estándares y procedimientos Herramientas y automatización Habilidades y experiencia Responsabilidad y rendición de cuentas Establecimiento de objetivos y medición
Valor del atributo Políticas estándares y procedimientos 1 Hay acercamiento ad hoc a los procesos y prácticas. Los procesos y prácticas no están definidos 2 Emergen procesos comunes y similares, pero son altamente intuitivos por la experiencia individual. Algunos aspectos del proceso son repetibles 3 Emerge el uso de mejores prácticas. Los procesos, políticas y procedimientos están definidos y documentados para todas las actividades clave 4 El proceso es sano y está completo, se aplican las mejores prácticas internas. Todos los aspectos delos procesos están documentados y son repetibles 5 Se aplican las mejores prácticas y estándares externos. La documentación de procesos ha evolucionado a flujos de trabajo evolucionado
Medición de desempeño � Se definen tres niveles de métricas: � Metas de TI y métricas � Procesos y métricas � Actividades y métricas � Dos tipos de métricas � Mediciones de salida � Indicadores de desempeño
� � � La implementación del MAAGTIC supone un gran reto para los CPI. Es mejor aprovechar este reto y el esfuerzo que conlleva para generar el conocimiento interno mediante el entendimiento de estos marcos. Ganancia adicional obtener la certificación
- Slides: 41