• Categories
• Cobit
• Toma de decisiones
• Tecnología
• Planificación
• Información

Citation preview

ESCUELA POLITÉCNICA DEL LITORAL MSIA V Tema a investigar:

COBIT 5: Evaluar, Dirigir y Monitorear Investigación realizada por:

Alberto Balda Gonzalo Ordoñez Alex Silva Angélica Vélez

Contenido COBIT 5 ................................................................................................................................................ 2 1.

Abarcar las necesidades de los interesados ................................................................................ 3

2.

Cubrir la empresa de extremo a extremo ................................................................................... 4

3.

Aplicar un solo marco integrado ................................................................................................. 5

4.

Habilitar un enfoque holístico ..................................................................................................... 6

5. Separar gobierno de administración ............................................................................................... 8 Gobierno: Evaluar, Dirigir y Monitorear............................................................................................ 10 EDM contiene 5 procesos para el gobierno de TI ..................................................................... 10 EDMO1 - GARANTIZAR DEFINIR Y MANTENER EL MARCO DE GOBIERNO ................................ 12 EDM02 - GARANTIZAR LA ENTREGA DE BENEFICIOS ................................................................ 15 EDM03 - GARANTIZAR OPTIMIZACIÓN DE RIESGOS ................................................................. 15 EDM04 - GARANTIZAR OPTIMIZACIÓN DE LOS RECURSOS ....................................................... 17 EDM05 - GARANTIZAR TRANSPARENCIA CON LAS PARTES INTERESADAS ............................... 17 Conclusiones ..................................................................................................................................... 18

COBIT 5 COBIT 5 ayuda a crear valor óptimo de TI por mantener un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. Permite que la información y la tecnología relacionada sean gobernadas y gestionadas de manera integral para toda la empresa abarcando de principio a fin el negocio y áreas funcionales, teniendo en cuenta los intereses de las partes interesadas internas y externas. Los 5 principios de COBIT y sus facilitadores son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o del sector público. Los principios son los siguientes: •

Satisfacer las necesidades de los interesados.

•

Cubrir la empresa de extremo a extremo.

•

Aplicar un solo marco integrado.

•

Habilitar un enfoque holístico.

•

Separar gobierno de administración.

1. Abarcar las necesidades de los interesados

Figura 1: Primer principio de Cobit 5: Satisfaciendo las necesidades de los interesados

Los indicadores clave de metas y de proceso, (KGI y KPI, por sus siglas en inglés), que finalmente traducen las necesidades de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada “cascada de metas”, que comienza con las metas de la empresa, continúa con las metas relacionadas de TI, que a su vez recaen en lo que Cobit llama “habilitadores”, y finalmente se alcanzan al desarrollar las actividades de las metas. Este esquema de cascada de metas, basado en mapeos y tablas provistas por Cobit 5, proporciona una guía orientadora para establecer un vínculo coherente y consistente que permita traducir las necesidades de todos los interesados del negocio en objetivos específicos de la empresa, que dan origen a objetivos de TI y a objetivos facilitadores.

2. Cubrir la empresa de extremo a extremo

Figura 2: Segundo principio de Cobit 5: Cubriendo la empresa de extremo a extremo

Considera todas las funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el gobierno de TI, pues ahora considera la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro. ¿Y cómo lo hace? Gestionando TI como si fuera una empresa, tomando en consideración los requerimientos para la estrategia, táctica y operación; integrando de esta forma el gobierno empresarial de TI en el gobierno corporativo. Integra el gobierno de TI en el gobierno Empresario, de manera fácil, con cualquier sistema de gobierno, porque está alineado con las últimas versiones de Gobierno. Cubre todas las funciones y procesos dentro de la empresa, es decir, no solo se enfoca en la función TI, trata la información y las tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro en la empresa.

3. Aplicar un solo marco integrado

Figura 3: Tercer principio de COBIT 5: Aplicando un solo marco integrado

Para cumplir con este principio, Cobit incorpora los estándares y marcos más relevantes de la industria:


COSO (Committee of Sponsoring Organizations of the Treadway Commission), que ha sido reconocido como un marco apropiado y exhaustivo para el control interno.




ISO/IEC 9000, estándar para el control de calidad en procesos empresariales.




ISO/IEC 31000, estándar de administración de riesgos, principios y directrices, la cual tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar los riesgos empresariales con efectividad.




ISO-38500, estándar para el gobierno corporativo de TI.




ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI.




The Open Group Architecture Framework (TOGAF), que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información.




La familia ISO-27000, enfocada en el tema de seguridad informática con el establecimiento de un sistema de gestión de seguridad de la información (SGSI) y los controles asociados.

La idea de contar con todo lo anterior es que las empresas utilicen Cobit como un marco integrador de gobierno y administración de TI.

4. Habilitar un enfoque holístico

Figura 4: Posibilitando un enfoque holístico

En esta nueva versión se introducen los habilitadores, que son factores mínimos a cumplir para que el gobierno y la administración empresarial de TI funcionen de manera correcta al ayudar a optimizar la información, la inversión en tecnología y su uso para el beneficio de todos los interesados. Se habla de un enfoque holístico porque los habilitadores introducidos caen en siete categorías diferentes: 1. Principios, políticas y marcos. Son las pautas a seguir para traducir el comportamiento deseado en una guía práctica para la gestión del día a día.

2. Procesos. Describen de forma estructurada y organizada un conjunto de actividades para lograr ciertos objetivos y producir un conjunto de salidas en la búsqueda de las metas de TI.

3. Estructuras organizacionales. Son las entidades clave de toma de decisiones en una organización.

4. Cultura, ética y comportamiento. Tanto de los individuos como de la organización (cuestión a menudo subestimada como factor de éxito en las actividades de gobierno y gestión, principalmente en lo correspondiente a trabajo en equipo, transferencia de conocimiento, valores, etcétera).

5. La información. Se refiere a toda la información producida y utilizada por la empresa. Es necesaria para mantener funcionando la organización y, en el plano operativo, la información es el producto clave de la propia empresa, por lo que habrá que implantar controles para su seguridad.

6. Servicios, infraestructura y aplicaciones. Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la empresa servicios y procesamiento de la información.

7. Personas, habilidades y competencias. Son necesarios para completar con éxito todas las actividades. En este sentido, Cobit incluye una matriz RACI para todos sus procesos, considerando de manera genérica una base de perfiles de puestos bastante completa.

5. Separar gobierno de administración Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta directiva, mientras que la administración es responsabilidad de la alta administración, bajo el liderazgo del CEO. Por eso se agregó un dominio particular enfocado a gobierno y se actualizaron los cuatro que ya tenía para la administración. Comenzaremos con la definición de Gobierno que nos brinda COBIT 5, a partir de su influencia desde la ISO 38500, donde claramente se diferencia el Gobierno de TI de la Administración TI, tal como se aprecia en el siguiente gráfico con sus definiciones posteriores.

Figura 5: Quinto principio: División entre Gobierno de TI y Administración de TI.

Gobierno: Evaluar, Dirigir y Monitorear Asegura que los objetivos de la empresa son alcanzados evaluando las necesidades de las partes interesadas, condiciones y alternativas; dirigiendo a través de la priorización y la toma de decisiones y monitoreando el rendimiento, la conformidad y el progreso contra la dirección acordada y los objetivos establecidos (EDM).

EDM contiene 5 procesos para el gobierno de TI

COBIT 5 trae un nuevo Dominio específico para el Gobierno de TI, el cual incluye 5 procesos, y dentro de cada proceso, prácticas de evaluar, dirigir y monitoria (EDM) son definidas como observamos en el siguiente gráfico:

Figura 6: procesos del gobierno de la TI Empresarial

Evaluar, Dirigir y Monitorear (EDM) PROCESO

DESCRIPCION

EDM01

Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno

EDM02

Asegurar la entrega de beneficios

EDM03

Asegurar optimización de riesgos

EDM04

Asegurar optimización de los recursos

EDM05

Asegurar transparencia con las partes interesadas

Para cada uno de los procesos mencionados en el nuevo Dominio de COBIT 5 referido a “Evaluar, Dirigir y Monitorear”, se incluyen 3 prácticas de gobierno (con sus inputs, outputs y actividades), junto con los roles necesarios para un adecuado Gobierno de TI a través de lo especificado por COBIT 5 en las diversas matrices RACI.

EDMO1 - GARANTIZAR DEFINIR Y MANTENER EL MARCO DE GOBIERNO

Analizar y articular los requerimientos para el gobierno de la empresa de TI, y establecer y mantener efectivas estructuradas, principios, procesos y prácticas habilitantes con claras responsabilidades y autoridad para lograr la misión, metas y objetivos de la empresa. Ejemplos de Metas de TI que soporta este proceso y algunas métricas posibles relacionadas: Alineamiento entre TI y la estrategia del Negocio -

Métrica: % de objetivos estratégicos de la empresa que son soportados por objetivos estratégicos de TI.

Compromiso de Administración Ejecutiva para la toma de decisiones relacionadas con TI. -

Métrica: % de roles de Administración Ejecutiva con responsabilidades claras para las tomas de decisiones de TI.

Entrega de Servicios de TI en línea con los requerimientos del Negocio -

Métrica: Número de interrupciones en el Negocio causados por incidentes de TI.

Se obtiene Aseguramiento de que el sistema de Gobierno de TI está funcionando en forma efectiva. -

Métrica: Frecuencia de revisiones independientes del sistema de Gobierno de TI.

Matriz RACI de este proceso EDM01 según COBIT 5 Matriz RACI: una de las herramientas que más nos ayudan para definir responsabilidades en la estructura organizacional de las empresas es lo que corresponde a la matriz RACI, que en esta versión cuenta con 26 diferentes roles o estructuras (la versión anterior de COBIT solo proponía 11). Para cada práctica de gobierno o administración, se define quiénes pueden ser los responsables de ejecutar las prácticas, quién es el responsable final o auditable, a quién se le debe consultar y, por último, a quién se debe informar. Debemos recordar que es solo una guía y que depende de la estructura organizacional de la empresa a la que le estemos realizando el análisis, qué puestos corresponden a qué perfiles o estructuras.

Figura 7: Matriz RACI proceso EDM01

Prácticas de Gobierno incluidas en este proceso, con sus ejemplos de Input, Outputs y Actividades: EDM01.01: Evaluar el sistema de Gobierno de TI -

Input: Tendencias del entorno del Negocio

-

Output: Principios y lineamientos de Gobierno Empresarial

-

Actividades: Analizar e identificar los factores internos y externos relacionados con el contexto legal, regulatorio y las tendencias en el Negocio que podrían influenciar el diseño del sistema de Gobierno de TI.

EMD01.02: Dirigir el sistema de Gobierno de TI -

Input: COBIT 5 no específica inputs específicos para esta práctica de Gobierno de TI, más allá de lo recibido desde EDM01.01

-

Output: Sistema de incentivos para impulsar la adopción del nuevo sistema del Gobierno de TI en la cultura organizacional

-

Actividades: Asignar responsabilidades y autoridades en línea con los principios diseñados y consensuados para el Gobierno de TI.

EDM01.03: Monitorear el sistema de Gobierno de TI -

Input: Reportes de rendimiento sobre el sistema de Gobierno de TI

-

Output: Retroalimentación sobre la efectividad y el rendimiento del sistema d Gobierno de TI.

-

Actividades: Evaluar la efectividad del sistema de Gobierno de TI diseñado e identificar acciones para rectificar los desvíos detectados.

EDM02 - GARANTIZAR LA ENTREGA DE BENEFICIOS

Optimizar la contribución de valor para el negocio, de los procesos del negocio, servicios y recursos de TI resultantes de las inversiones habilitadas de TI, en un costo aceptable.

EDM03 - GARANTIZAR OPTIMIZACIÓN DE RIESGOS

Asegurar que son entendidos, articulados y comunicados, del Risk Appetite y Risk Tolerance de la empresa, y que son identificados y administrados los riesgos sobre el valor de la empresa relacionados al uso de TI.

Administración de riesgos en COBIT 5 Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados de las amenazas ambientales que aprovechan las vulnerabilidades habilitador.

Figura 8: EDM3 y AP012 en la optimización y administración de riesgos.

-

EDM03 Garantizar optimización del riesgo asegura que el enfoque de riesgo de los terceros interesado este enfocado a cómo serán tratados los riesgos que enfrenta la empresa, mientras que APO12 que se encuentra en la Administración de Cobit nos habla sobre la Gestión de Riesgo, se trata de proporcionar a las empresas la gestión de riesgos (ERM) las disposiciones que aseguren que la dirección dada por los terceros interesados es seguida por la empresa.

-

Todos los demás procesos incluye prácticas y actividades que son diseñadas para tratar el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).

EDM04 - GARANTIZAR OPTIMIZACIÓN DE LOS RECURSOS

Asegurar que están disponibles adecuadas y suficientes capacidades (personas, proceso y tecnología) relacionados con TI para soportar efectivamente los objetivos de la empresa en un óptimo costo.

EDM05 - GARANTIZAR TRANSPARENCIA CON LAS PARTES INTERESADAS

Asegurar que son transparentes la medición y reporte del desempeño y la conformidad de la empresa de TI, con los involucrados claves aprobando las metas y métricas y las acciones de remediación necesarias.

Conclusiones Cobit 5.0 es la mayor evolución estratégica de Cobit y representa el único marco de trabajo globalmente aceptado para el gobierno de TI que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos, riesgos del negocio y apoyar a las organizaciones a alcanzar objetivos estratégicos. Cobit 5 permite el desarrollo de las políticas y buenas prácticas para el control de la tecnología en toda la organización. Para implementar Cobit 5.0 es recomendable establecer un proyecto basado en fases, estableciendo los objetivos empresariales. Cobit 5 está desarrollada para ayudar a organizaciones de todos los tamaños y de cualquier sector a obtener el valor óptimo de las tecnologías de información, tratando de satisfacer las necesidades de los interesados internos y externos mediante la creación de valor para la empresa a través de TI. Cobit 5 está enfocado en el gobierno empresarial de las tecnologías de información, a diferencia de su antecesor, enfocado principalmente al gobierno de TI. A partir de la influencia con la ISO 38500, se diferencia el Gobierno de la Gestión. Siendo el gobierno el que asegura que los objetivos de la empresa son alcanzados evaluando las necesidades, condiciones y alternativas; dirigiendo a través de la priorización y la toma de decisiones y monitoreando la performance, el cumplimiento y el progreso contra la dirección acordada y los objetivos establecidos (EDM), por otro lado la Gestión se encarga de planificar, construir, ejecutar y monitorear actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar los objetivos empresariales (PBRM).

El Gobierno de TI con COBIT 5 tiene 5 procesos, el primer proceso EDM01 que fija las “reglas de juego” para el Gobierno de TI, el EDM02, EDM03 y EDM04 responden a cada uno de los Objetivos del Gobierno Empresarial y el EDM05 busca garantizar la transparencia las partes interesadas.