Abril de 2008materias.fi.uba.ar/7546/material/COBIT_v2.1.pdf · Medir el desempeño de cada proceso...

CobiTCobiT75 46 Ad i i ió C l d P II75.46 – Administración y Control de Proyectos II

Abril de 2008Abril de 2008

AgendaAgendaAgendaAgenda

PresentaciónPresentaciónIntroducciónP i i i d l M d lPrincipios del ModeloEnfoque de Control de CobiTLos Procesos del ModeloMapeo de los Procesosp

PRESENTACIÓNPRESENTACIÓNCobiT

PRESENTACIÓNPRESENTACIÓN

INTRODUCCIÓNINTRODUCCIÓNCobiT

INTRODUCCIÓNINTRODUCCIÓN

ConceptosConceptosConceptosConceptos

¿Qué es CobiT?¿Qué es CobiT?¿Cuál es el seno de CobiT?¿Cómo evolucionó?¿Cómo evolucionó?¿Cuál es el foco de CobiT?

CobiTCobiT®: Objetivos de Control para la ®: Objetivos de Control para la I f ó l T l í l d I f ó l T l í l d Información y la Tecnología relacionada Información y la Tecnología relacionada

Conjunto de buenas prácticasConjunto de buenas prácticas.Marco de trabajo de dominios y procesos.E t t j bl ló i d Estructura manejable y lógica de actividades.F f d l l Fuertemente enfocadas en el control y menos en la ejecución.

ISACAISACAInformationInformation SystemsSystems AuditAudit and Control and Control AssociationAssociation

Lidera mundialmente la profesión de Lidera mundialmente la profesión de control de TI.Presente en más de 70 paísesPresente en más de 70 países.Tiene más de 65.000 miembros en 140

ípaíses

AntecedentesAntecedentesAntecedentesAntecedentes

1992: objetivos de control1992: objetivos de control.1996: marco de prácticas de control de TI.1998 h i t d i l t ió1998: herramientas de implantación.1999: objetivos de control para redes.2000: tercera edición.2006: cuarta edición.

Cambios desde 1992Cambios desde 1992Cambios desde 1992Cambios desde 1992

Fuerte dependencia de TI en los procesos de Fuerte dependencia de TI en los procesos de negocio críticos.

Se ha incrementado el foco en la administración Se ha incrementado el foco en la administración de valor, riesgos y costos de TI.

Mayor preocupación por el gobierno Mayor preocupación por el gobierno corporativo.

Los estándares de TI han maduradoLos estándares de TI han madurado.

La regulación ha crecido.

Respuesta de Respuesta de CobiTCobiT a los cambiosa los cambiosRespuesta de Respuesta de CobiTCobiT a los cambiosa los cambios

GobiernoGobierno

Administración

Control

Auditoría

CobiT 4CobiT 3CobiT 2CobiT 11996 1998 2000 2005

El foco de El foco de CobiTCobiT 4.04.0El foco de El foco de CobiTCobiT 4.04.0

Gobierno de TIGobierno de TI.

Armonización con otros estándares.

Flujo de procesos.

Lenguaje más conciso y orientado a la Lenguaje más conciso y orientado a la acción.

Consolidación en un libroConsolidación en un libro.

Gobierno de TIGobierno de TIGobierno de TIGobierno de TI

Conducción de las estructuras y procesos Conducción de las estructuras y procesos

organizacionales que garantiza que la TI de la

empresa sostiene y extiende las estrategias y

objetivos de negocioobjetivos de negocio.

Aceptabilidad de Aceptabilidad de CobiTCobiTAceptabilidad de Aceptabilidad de CobiTCobiT

Componentes de Componentes de CobiTCobiTComponentes de Componentes de CobiTCobiT

Secciones de Secciones de CobiTCobiT 4.04.0Secciones de Secciones de CobiTCobiT 4.04.0

1 Resumen ejecutivo1. Resumen ejecutivo.2. Marco CobiT (framework).3 C t id t l (34 ) 3. Contenido central (34 procesos):

a) Objetivos de control.b) G í d d ób) Guías de administración.c) Modelos de madurez.

4. Apéndices.

PRINCIPIOS DEL PRINCIPIOS DEL CobiT

PRINCIPIOS DEL PRINCIPIOS DEL MODELOMODELO


¿Cuáles son los recursos de TI?¿Cuáles son los recursos de TI?¿Cómo se estructuran los procesos de TI?¿Cuáles son los requerimientos de información ¿Cuáles son los requerimientos de información del negocio?¿Cuáles son los criterios de control de la ¿información?¿Cuáles son los dominios de control de TI?

Valor de TIValor de TIValor de TIValor de TI

REC

IN

NECESIDADES

URSO

NFOR

NEGOPROCESOS DE TIO

S

D

MACI

OCIO

PROCESOS DE TI

E

TI

IÓN

RESPUESTAS

Recursos de TIRecursos de TIRecursos de TIRecursos de TI

Datos Aplicaciones Infraestructura Personal

Sistemas informáticos

para procesar la i f ió

Hardware, software de Habilidades

Todos los objetos de datos en su sentido más

amplio

información. software de base, y

elementos de comunicaciones que junto con las aplicaciones

Habilidades, conocimiento y productividad del personal para ejecutar

los procesos de amplio.

Procedimientos y manuales.

las aplicaciones conforman los servicios de TI.

los procesos de TI.

Procesos de TIProcesos de TIProcesos de TIProcesos de TI

Dominios Procesos Actividades

Agrupamiento lógico de los

procesos

Conformadas por un conjunto de tareas y pasosprocesos.

Secuencia lógica de actividades,

roles y responsabilidades.

tareas y pasos.

N i Determina el ciclo de vida de los

procesos de TI.

responsabilidades. Necesarias para alcanzar el

objetivo de un proceso.

Requerimientos de información del Requerimientos de información del negocionegocio

C lid d Fid i i S id dCalidad Fiduciarios(COSO 1992 y 2004)

Seguridad(ISO 17799)

Calidad Eficacia y eficiencia Confidencialidad

Costo Confiabilidad Integridad

Entrega Cumplimiento Disponibilidad

Criterios de Control de la InformaciónCriterios de Control de la InformaciónCriterios de Control de la InformaciónCriterios de Control de la Información

• Relevancia y pertinencia de la información para los procesos del negocio,Efectividad • Que se proporcione de una manera oportuna, correcta, consistente y utilizable.Efectividad

• Optimización de recursos para su generación. Eficiencia

• Protección de información sensitiva contra revelación no autorizada. Confiden-cialidad

• Precisión y completitud de la información. Integridad

• Que la información esté disponible cuando sea requerida por los procesos del Disponibilidad negocio.Disponibilidad

• Leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios. Cumplimiento

• Proporcionar la información apropiada para la gestión del negocio. Confiabilidad

Valor de TI y Valor de TI y CobiTCobiTValor de TI y Valor de TI y CobiTCobiT

REC

IN

NECESIDADES• Planificar y organizar• Adquirir e implementar• Entregar y soportar• Monitorear y evaluar • EficaciaU

RSO

NFOR

NEGOPROCESOS DE TI

Monitorear y evaluar • Eficacia• Eficiencia• Confidencialidad• Integridad• DisponibilidadO

S

D

MACI

OCIO

PROCESOS DE TI • Disponibilidad• Cumplimiento• Confiabilidad

E

TI

IÓN

RESPUESTAS

• Datos• Aplicaciones• Infraestructura• Personal

El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT

Los recursos de TI

son administrados

por los procesos de

TI para alcanzar los

objetivos de TI en

respuesta a los respuesta a los

requerimientos de

ne ocionegocio

ENFOQUE DE ENFOQUE DE CobiT

ENFOQUE DE ENFOQUE DE CONTROL ADOPTADO CONTROL ADOPTADO POR POR COBITCOBITPOR POR COBITCOBIT


¿Qué es Control según CobiT?¿Q g

¿Qué es un Objetivo de Control?

¿Cuáles son los niveles de madurez de los procesos ¿Cuáles son los niveles de madurez de los procesos utilizados por el modelo?

¿Cuáles son las dimensiones de la madurez de los ¿Cuá es so as e s o es e a a u e e os procesos?

¿Cuáles son los tipos de métricas y niveles de ¿ p ymedición?

¿Cuáles son las áreas focales del Gobierno de TI?¿

Recordando…Recordando…Recordando…Recordando…

ControlControlS ú S ú C b TC b TSegún Según CobiTCobiT

P líti di i t á ti Políticas, procedimientos, prácticas y

estructuras organizacionales concebidas g

para brindar garantía razonable de que se

lograrán los objetivos de negocio y que los

t d d i di á eventos no deseados se impedirán o se

detectarán y corregirán oportunamente.y g p

Objetivo de control de TIObjetivo de control de TIObjetivo de control de TIObjetivo de control de TI

Es la declaración del resultado o fin a Es la declaración del resultado o fin a lograr mediante la implementación de procedimientos de control en una procedimientos de control en una determinada actividad de TI.Pueden ser:Pueden ser:◦ Genéricos (para todos los procesos)◦ Detallados (específicos para cada proceso)◦ Detallados (específicos para cada proceso)

Controles Genéricos de ProcesosControles Genéricos de ProcesosControles Genéricos de ProcesosControles Genéricos de Procesos

PC1 Dueño del procesoA i d ñ d C biT d t l l bilid d ◦ Asignar un dueño para cada proceso CobiT de tal manera que la responsabilidad sea clara.

PC2 Repetitivo◦ Definir cada proceso CobiT de tal forma que sea repetitivo.

PC3 M bj iPC3 Metas y objetivos◦ Establecer metas y objetivos claros para cada proceso CobiT para una ejecución

efectiva.

PC4 Roles y responsabilidades◦ Definir roles, actividades y responsabilidades claros en cada proceso CobiT para una

ejecución eficiente.

PC5 Desempeño del proceso◦ Medir el desempeño de cada proceso CobiT en comparación con sus metas.

PC6 Políticas, planes y procedimientos◦ Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas

cualquier política, plan ó procedimiento que impulse un proceso CobiT.

Interrelaciones de los componentes de Interrelaciones de los componentes de C biTC biTCobiTCobiT

De la Estrategia del Negocio a la De la Estrategia del Negocio a la A i C i d TIA i C i d TIArquitectura Corporativa de TIArquitectura Corporativa de TI

Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)

Dimensiones de la madurezDimensiones de la madurezDimensiones de la madurezDimensiones de la madurez

Medición del desempeñoMedición del desempeñoMedición del desempeñoMedición del desempeño

Tres niveles de medición◦ Las metas y métricas de TI: que definen lo que el negocio espera de TI.

◦ Metas y métricas de procesos: que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI

◦ Métricas de desempeño de los procesos: que miden el desempeño del proceso para indicar la probabilidad de alcanzar las metas.

Dos tipos métricas◦ KGI: Definen mediciones para informar a la gerencia (después del

hecho).

◦ KPI: Definen mediciones que determinan el nivel de desempeño del proceso para alcanzar las metas.

Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos.

Relación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y Métricas

Áreas focales del Gobierno de TIÁreas focales del Gobierno de TIÁreas focales del Gobierno de TIÁreas focales del Gobierno de TIAlineación estratégica◦ Se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir, mantener y validar

la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.

Entrega de valor◦ Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI

genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI brindar el valor intrínseco de la TI.

Administración de recursos◦ Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI:,

aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización d d f de conocimiento y de infraestructura.

Administración de riesgos◦ Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro

entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de g q p p qcumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.

Medición del desempeño◦ Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los

recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas que se puedan medir más allá del registro convencional.

CobiTCobiT y las áreas focales del Gobierno y las áreas focales del Gobierno d TId TIde TIde TI

Apoyo de los elementos del modelo CobiT alas distintas áreas focales del Gobierno de TIlas distintas áreas focales del Gobierno de TI.

LOS PROCESOS DEL LOS PROCESOS DEL CobiT

LOS PROCESOS DEL LOS PROCESOS DEL MODELOMODELO


¿Cómo es el ciclo de vida del Gobierno de TI?¿Cómo es el ciclo de vida del Gobierno de TI?

¿Cuáles son los procesos del modelo?

¿Cómo es la estructura de un proceso en el ¿Cómo es la estructura de un proceso en el modelo?

Ejemplo de un procesoEjemplo de un proceso.

El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT

Los recursos de TI

son administrados

por los procesos de

TI para alcanzar los

objetivos de TI en

respuesta a los respuesta a los

requerimientos de

ne cinegocio

Dominios de control en TIDominios de control en TIDominios de control en TIDominios de control en TI

Objetivos de Gobierno de TI

Objetivos de Negocio

InformaciónGobierno

de TI

Monitorear y Evaluar

• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad

Planificar y Organizar

R d TI

• Disponibilidad• Cumplimiento• Confiabilidad

Entregar y Soportar

Recursos de TI

• Información• Aplicaciones• Infraestructura

Adquirir e Implementar

• Personal

Procesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y Organizar

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos la organización y las relaciones de TIPO4 Definir los procesos, la organización y las relaciones de TI.

PO5 Administrar la inversión en TI.

PO6 Comunicar los objetivos y directivas a la gerencia.


d TI

PO7 Administrar los recursos humanos de TI.

PO8 Gestionar la calidad.

PO9 Evaluar y manejar los riesgos de TI.



• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Confiabilidad

Informaciónde TIPO9 Evaluar y manejar los riesgos de TI.

PO10 Administrar los proyectos de TI.


Entregar y Soportar

Recursos de TI

• Información• Aplicaciones• Infraestructura• Personal

Procesos del dominio Adquirir e Procesos del dominio Adquirir e I l I l Implementar Implementar

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Facilitar la operación y el usoAI4 Facilitar la operación y el uso.

AI5 Adquirir los recursos de TI.

AI6 Administrar los cambios.


d TI

AI7 Instalar y acreditar soluciones y cambios.




Informaciónde TI


Entregar y Soportar

Recursos de TI


Procesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y Soportar

ES1 Definir y administrar los niveles de servicio.ES2 Administrar los servicios prestados por terceros.ES3 Administrar la capacidad de desempeño.ES4 Garantizar la continuidad de los servicios de TI.ES5 Garantizar la seguridad de los sistemas.ES6 Identificar y asignar costos.ES7 Educar y entrenar a los usuarios de los servicios de TI.


d TI

ES7 Educar y entrenar a los usuarios de los servicios de TI.ES8 Gestionar la mesa de ayuda e incidentes.ES9 Gestionar la configuración.ES10 Gestionar los problemas




Informaciónde TIES10 Gestionar los problemas.ES11 Gestionar los datos.ES12 Administrar el ambiente físico.ES13 G l


Entregar y Soportar

Recursos de TI


ES13 Gestionar las operaciones.

Procesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y Evaluar

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proporcionar gobierno de TIME4 Proporcionar gobierno de TI.


d TI




Informaciónde TI


Entregar y Soportar

Recursos de TI


Estructura de cada proceso en Estructura de cada proceso en CobiTCobiTEstructura de cada proceso en Estructura de cada proceso en CobiTCobiT

1. Objetivo de control de alto nivel.1. Objetivo de control de alto nivel.

2. Objetivos de control detallado.

3 G í d d i i t ió3. Guías de administración.a) Entradas y salidas de los procesos.

b) Gráficas RACI.

c) Métricas de metas (KGI) y de desempeño (KPI) de ti id d d TIprocesos y actividades de TI.

4. Modelo de madurez del proceso.

El modelo de cascada de El modelo de cascada de CobiTCobiTEl modelo de cascada de El modelo de cascada de CobiTCobiT

Planificar yO i

El control de los

Organizar


P PS

Procesos de TI

Metas del Que satisface las

Entregar ySoportar

Monitorear yEjecutarnegocio

Metas de TI

Poniendo foco en

S l

Ejecutar

Controles clave

Métricas

Se logra con

Y es medido porGobierno

de TI

√ √

Métricas clave

Administraciónde recursos

Dimensiones delGobierno de TI

AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios

MAPEO DE LOS MAPEO DE LOS CobiT

MAPEO DE LOS MAPEO DE LOS PROCESOSPROCESOS


¿Cómo apoyan los procesos a las áreas focales ¿Cómo apoyan los procesos a las áreas focales del Gobierno de TI?

¿ Cómo apoyan los procesos a los Criterios de ¿ Cómo apoyan los procesos a los Criterios de la Información (requerimientos del negocio)?

¿Cuáles son los recursos involucrados en cada ¿Cuáles son los recursos involucrados en cada proceso?

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l A d G bi d TIO i l A d G bi d TIOrganizar con los Aspectos de Gobierno de TIOrganizar con los Aspectos de Gobierno de TI

Aspectos de Gobierno de TI

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R i i d N iO i l R i i d N iOrganizar con los Requerimientos de NegocioOrganizar con los Requerimientos de Negocio

Criterios de la Información de

CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R d TIO i l R d TIOrganizar con los Recursos de TIOrganizar con los Recursos de TI

Recursos de TI de CobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l A d G bi d TII l l A d G bi d TIImplementar con los Aspectos de Gobierno de TIImplementar con los Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R i i d N iI l l R i i d N iImplementar con los Requerimientos de NegocioImplementar con los Requerimientos de Negocio


CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R d TII l l R d TIImplementar con los Recursos de TIImplementar con los Recursos de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l A t d G bi d TIl A t d G bi d TIlos Aspectos de Gobierno de TIlos Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R i i t d N il R i i t d N ilos Requerimientos de Negociolos Requerimientos de Negocio


CobiTDominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R d TIl R d TIlos Recursos de TIlos Recursos de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Mapeo de procesos del dominio Monitorear y Monitorear y E lE l l A d G bi d TI l A d G bi d TIEvaluarEvaluar con los Aspectos de Gobierno de TIcon los Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R i i d N iE l l R i i d N iEvaluar con los Requerimientos de NegocioEvaluar con los Requerimientos de Negocio


CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R d TIE l l R d TIEvaluar con los Recursos de TIEvaluar con los Recursos de TI


Dominio de TI

Procesos del

Dominio

FINFINCobiT

FINFINMUCHAS GRACIASMUCHAS GRACIAS

Abril de 2008materias.fi.uba.ar/7546/material/COBIT_v2.1.pdf · Medir el desempeño de cada proceso...

Documents

Transcript of Abril de 2008materias.fi.uba.ar/7546/material/COBIT_v2.1.pdf · Medir el desempeño de cada proceso...