Abril de 2008materias.fi.uba.ar/7546/material/COBIT_v2.1.pdf · Medir el desempeño de cada proceso...
Transcript of Abril de 2008materias.fi.uba.ar/7546/material/COBIT_v2.1.pdf · Medir el desempeño de cada proceso...
CobiTCobiT75 46 Ad i i ió C l d P II75.46 – Administración y Control de Proyectos II
Abril de 2008Abril de 2008
AgendaAgendaAgendaAgenda
PresentaciónPresentaciónIntroducciónP i i i d l M d lPrincipios del ModeloEnfoque de Control de CobiTLos Procesos del ModeloMapeo de los Procesosp
ConceptosConceptosConceptosConceptos
¿Qué es CobiT?¿Qué es CobiT?¿Cuál es el seno de CobiT?¿Cómo evolucionó?¿Cómo evolucionó?¿Cuál es el foco de CobiT?
CobiTCobiT®: Objetivos de Control para la ®: Objetivos de Control para la I f ó l T l í l d I f ó l T l í l d Información y la Tecnología relacionada Información y la Tecnología relacionada
Conjunto de buenas prácticasConjunto de buenas prácticas.Marco de trabajo de dominios y procesos.E t t j bl ló i d Estructura manejable y lógica de actividades.F f d l l Fuertemente enfocadas en el control y menos en la ejecución.
ISACAISACAInformationInformation SystemsSystems AuditAudit and Control and Control AssociationAssociation
Lidera mundialmente la profesión de Lidera mundialmente la profesión de control de TI.Presente en más de 70 paísesPresente en más de 70 países.Tiene más de 65.000 miembros en 140
ípaíses
AntecedentesAntecedentesAntecedentesAntecedentes
1992: objetivos de control1992: objetivos de control.1996: marco de prácticas de control de TI.1998 h i t d i l t ió1998: herramientas de implantación.1999: objetivos de control para redes.2000: tercera edición.2006: cuarta edición.
Cambios desde 1992Cambios desde 1992Cambios desde 1992Cambios desde 1992
Fuerte dependencia de TI en los procesos de Fuerte dependencia de TI en los procesos de negocio críticos.
Se ha incrementado el foco en la administración Se ha incrementado el foco en la administración de valor, riesgos y costos de TI.
Mayor preocupación por el gobierno Mayor preocupación por el gobierno corporativo.
Los estándares de TI han maduradoLos estándares de TI han madurado.
La regulación ha crecido.
Respuesta de Respuesta de CobiTCobiT a los cambiosa los cambiosRespuesta de Respuesta de CobiTCobiT a los cambiosa los cambios
GobiernoGobierno
Administración
Control
Auditoría
CobiT 4CobiT 3CobiT 2CobiT 11996 1998 2000 2005
El foco de El foco de CobiTCobiT 4.04.0El foco de El foco de CobiTCobiT 4.04.0
Gobierno de TIGobierno de TI.
Armonización con otros estándares.
Flujo de procesos.
Lenguaje más conciso y orientado a la Lenguaje más conciso y orientado a la acción.
Consolidación en un libroConsolidación en un libro.
Gobierno de TIGobierno de TIGobierno de TIGobierno de TI
Conducción de las estructuras y procesos Conducción de las estructuras y procesos
organizacionales que garantiza que la TI de la
empresa sostiene y extiende las estrategias y
objetivos de negocioobjetivos de negocio.
Secciones de Secciones de CobiTCobiT 4.04.0Secciones de Secciones de CobiTCobiT 4.04.0
1 Resumen ejecutivo1. Resumen ejecutivo.2. Marco CobiT (framework).3 C t id t l (34 ) 3. Contenido central (34 procesos):
a) Objetivos de control.b) G í d d ób) Guías de administración.c) Modelos de madurez.
4. Apéndices.
ConceptosConceptosConceptosConceptos
¿Cuáles son los recursos de TI?¿Cuáles son los recursos de TI?¿Cómo se estructuran los procesos de TI?¿Cuáles son los requerimientos de información ¿Cuáles son los requerimientos de información del negocio?¿Cuáles son los criterios de control de la ¿información?¿Cuáles son los dominios de control de TI?
Valor de TIValor de TIValor de TIValor de TI
REC
IN
NECESIDADES
URSO
NFOR
NEGOPROCESOS DE TIO
S
D
MACI
OCIO
PROCESOS DE TI
E
TI
IÓN
RESPUESTAS
Recursos de TIRecursos de TIRecursos de TIRecursos de TI
Datos Aplicaciones Infraestructura Personal
Sistemas informáticos
para procesar la i f ió
Hardware, software de Habilidades
Todos los objetos de datos en su sentido más
amplio
información. software de base, y
elementos de comunicaciones que junto con las aplicaciones
Habilidades, conocimiento y productividad del personal para ejecutar
los procesos de amplio.
Procedimientos y manuales.
las aplicaciones conforman los servicios de TI.
los procesos de TI.
Procesos de TIProcesos de TIProcesos de TIProcesos de TI
Dominios Procesos Actividades
Agrupamiento lógico de los
procesos
Conformadas por un conjunto de tareas y pasosprocesos.
Secuencia lógica de actividades,
roles y responsabilidades.
tareas y pasos.
N i Determina el ciclo de vida de los
procesos de TI.
responsabilidades. Necesarias para alcanzar el
objetivo de un proceso.
Requerimientos de información del Requerimientos de información del negocionegocio
C lid d Fid i i S id dCalidad Fiduciarios(COSO 1992 y 2004)
Seguridad(ISO 17799)
Calidad Eficacia y eficiencia Confidencialidad
Costo Confiabilidad Integridad
Entrega Cumplimiento Disponibilidad
Criterios de Control de la InformaciónCriterios de Control de la InformaciónCriterios de Control de la InformaciónCriterios de Control de la Información
• Relevancia y pertinencia de la información para los procesos del negocio,Efectividad • Que se proporcione de una manera oportuna, correcta, consistente y utilizable.Efectividad
• Optimización de recursos para su generación. Eficiencia
• Protección de información sensitiva contra revelación no autorizada. Confiden-cialidad
• Precisión y completitud de la información. Integridad
• Que la información esté disponible cuando sea requerida por los procesos del Disponibilidad negocio.Disponibilidad
• Leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios. Cumplimiento
• Proporcionar la información apropiada para la gestión del negocio. Confiabilidad
Valor de TI y Valor de TI y CobiTCobiTValor de TI y Valor de TI y CobiTCobiT
REC
IN
NECESIDADES• Planificar y organizar• Adquirir e implementar• Entregar y soportar• Monitorear y evaluar • EficaciaU
RSO
NFOR
NEGOPROCESOS DE TI
Monitorear y evaluar • Eficacia• Eficiencia• Confidencialidad• Integridad• DisponibilidadO
S
D
MACI
OCIO
PROCESOS DE TI • Disponibilidad• Cumplimiento• Confiabilidad
E
TI
IÓN
RESPUESTAS
• Datos• Aplicaciones• Infraestructura• Personal
El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT
Los recursos de TI
son administrados
por los procesos de
TI para alcanzar los
objetivos de TI en
respuesta a los respuesta a los
requerimientos de
ne ocionegocio
ENFOQUE DE ENFOQUE DE CobiT
ENFOQUE DE ENFOQUE DE CONTROL ADOPTADO CONTROL ADOPTADO POR POR COBITCOBITPOR POR COBITCOBIT
ConceptosConceptosConceptosConceptos
¿Qué es Control según CobiT?¿Q g
¿Qué es un Objetivo de Control?
¿Cuáles son los niveles de madurez de los procesos ¿Cuáles son los niveles de madurez de los procesos utilizados por el modelo?
¿Cuáles son las dimensiones de la madurez de los ¿Cuá es so as e s o es e a a u e e os procesos?
¿Cuáles son los tipos de métricas y niveles de ¿ p ymedición?
¿Cuáles son las áreas focales del Gobierno de TI?¿
ControlControlS ú S ú C b TC b TSegún Según CobiTCobiT
P líti di i t á ti Políticas, procedimientos, prácticas y
estructuras organizacionales concebidas g
para brindar garantía razonable de que se
lograrán los objetivos de negocio y que los
t d d i di á eventos no deseados se impedirán o se
detectarán y corregirán oportunamente.y g p
Objetivo de control de TIObjetivo de control de TIObjetivo de control de TIObjetivo de control de TI
Es la declaración del resultado o fin a Es la declaración del resultado o fin a lograr mediante la implementación de procedimientos de control en una procedimientos de control en una determinada actividad de TI.Pueden ser:Pueden ser:◦ Genéricos (para todos los procesos)◦ Detallados (específicos para cada proceso)◦ Detallados (específicos para cada proceso)
Controles Genéricos de ProcesosControles Genéricos de ProcesosControles Genéricos de ProcesosControles Genéricos de Procesos
PC1 Dueño del procesoA i d ñ d C biT d t l l bilid d ◦ Asignar un dueño para cada proceso CobiT de tal manera que la responsabilidad sea clara.
PC2 Repetitivo◦ Definir cada proceso CobiT de tal forma que sea repetitivo.
PC3 M bj iPC3 Metas y objetivos◦ Establecer metas y objetivos claros para cada proceso CobiT para una ejecución
efectiva.
PC4 Roles y responsabilidades◦ Definir roles, actividades y responsabilidades claros en cada proceso CobiT para una
ejecución eficiente.
PC5 Desempeño del proceso◦ Medir el desempeño de cada proceso CobiT en comparación con sus metas.
PC6 Políticas, planes y procedimientos◦ Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas
cualquier política, plan ó procedimiento que impulse un proceso CobiT.
De la Estrategia del Negocio a la De la Estrategia del Negocio a la A i C i d TIA i C i d TIArquitectura Corporativa de TIArquitectura Corporativa de TI
Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)
Dimensiones de la madurezDimensiones de la madurezDimensiones de la madurezDimensiones de la madurez
Medición del desempeñoMedición del desempeñoMedición del desempeñoMedición del desempeño
Tres niveles de medición◦ Las metas y métricas de TI: que definen lo que el negocio espera de TI.
◦ Metas y métricas de procesos: que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI
◦ Métricas de desempeño de los procesos: que miden el desempeño del proceso para indicar la probabilidad de alcanzar las metas.
Dos tipos métricas◦ KGI: Definen mediciones para informar a la gerencia (después del
hecho).
◦ KPI: Definen mediciones que determinan el nivel de desempeño del proceso para alcanzar las metas.
Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos.
Relación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y MétricasRelación entre Procesos, Metas y Métricas
Áreas focales del Gobierno de TIÁreas focales del Gobierno de TIÁreas focales del Gobierno de TIÁreas focales del Gobierno de TIAlineación estratégica◦ Se enfoca en garantizar el vínculo entre los planes de negocio y de TI; en definir, mantener y validar
la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.
Entrega de valor◦ Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrándose en optimizar los costos y en brindar el valor intrínseco de la TI brindar el valor intrínseco de la TI.
Administración de recursos◦ Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI:,
aplicaciones, información, infraestructura y personas. Los temas claves se refieren a la optimización d d f de conocimiento y de infraestructura.
Administración de riesgos◦ Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro
entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de g q p p qcumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusión de las responsabilidades de administración de riesgos dentro de la organización.
Medición del desempeño◦ Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los
recursos, el desempeño de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en acción para lograr las metas que se puedan medir más allá del registro convencional.
CobiTCobiT y las áreas focales del Gobierno y las áreas focales del Gobierno d TId TIde TIde TI
Apoyo de los elementos del modelo CobiT alas distintas áreas focales del Gobierno de TIlas distintas áreas focales del Gobierno de TI.
ConceptosConceptosConceptosConceptos
¿Cómo es el ciclo de vida del Gobierno de TI?¿Cómo es el ciclo de vida del Gobierno de TI?
¿Cuáles son los procesos del modelo?
¿Cómo es la estructura de un proceso en el ¿Cómo es la estructura de un proceso en el modelo?
Ejemplo de un procesoEjemplo de un proceso.
El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT
Los recursos de TI
son administrados
por los procesos de
TI para alcanzar los
objetivos de TI en
respuesta a los respuesta a los
requerimientos de
ne cinegocio
Dominios de control en TIDominios de control en TIDominios de control en TIDominios de control en TI
Objetivos de Gobierno de TI
Objetivos de Negocio
InformaciónGobierno
de TI
Monitorear y Evaluar
• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad
Planificar y Organizar
R d TI
• Disponibilidad• Cumplimiento• Confiabilidad
Entregar y Soportar
Recursos de TI
• Información• Aplicaciones• Infraestructura
Adquirir e Implementar
• Personal
Procesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y Organizar
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos la organización y las relaciones de TIPO4 Definir los procesos, la organización y las relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar los objetivos y directivas a la gerencia.
InformaciónGobierno
d TI
PO7 Administrar los recursos humanos de TI.
PO8 Gestionar la calidad.
PO9 Evaluar y manejar los riesgos de TI.
Planificar y Organizar
Monitorear y Evaluar
• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Confiabilidad
Informaciónde TIPO9 Evaluar y manejar los riesgos de TI.
PO10 Administrar los proyectos de TI.
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
• Información• Aplicaciones• Infraestructura• Personal
Procesos del dominio Adquirir e Procesos del dominio Adquirir e I l I l Implementar Implementar
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software de aplicación.
AI3 Adquirir y mantener la infraestructura tecnológica.
AI4 Facilitar la operación y el usoAI4 Facilitar la operación y el uso.
AI5 Adquirir los recursos de TI.
AI6 Administrar los cambios.
InformaciónGobierno
d TI
AI7 Instalar y acreditar soluciones y cambios.
Planificar y Organizar
Monitorear y Evaluar
• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Confiabilidad
Informaciónde TI
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
• Información• Aplicaciones• Infraestructura• Personal
Procesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y Soportar
ES1 Definir y administrar los niveles de servicio.ES2 Administrar los servicios prestados por terceros.ES3 Administrar la capacidad de desempeño.ES4 Garantizar la continuidad de los servicios de TI.ES5 Garantizar la seguridad de los sistemas.ES6 Identificar y asignar costos.ES7 Educar y entrenar a los usuarios de los servicios de TI.
InformaciónGobierno
d TI
ES7 Educar y entrenar a los usuarios de los servicios de TI.ES8 Gestionar la mesa de ayuda e incidentes.ES9 Gestionar la configuración.ES10 Gestionar los problemas
Planificar y Organizar
Monitorear y Evaluar
• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Confiabilidad
Informaciónde TIES10 Gestionar los problemas.ES11 Gestionar los datos.ES12 Administrar el ambiente físico.ES13 G l
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
• Información• Aplicaciones• Infraestructura• Personal
ES13 Gestionar las operaciones.
Procesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y Evaluar
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proporcionar gobierno de TIME4 Proporcionar gobierno de TI.
InformaciónGobierno
d TI
Planificar y Organizar
Monitorear y Evaluar
• Eficacia• Eficiencia• Confidencialidad• Integridad• Disponibilidad• Cumplimiento• Confiabilidad
Informaciónde TI
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
• Información• Aplicaciones• Infraestructura• Personal
Estructura de cada proceso en Estructura de cada proceso en CobiTCobiTEstructura de cada proceso en Estructura de cada proceso en CobiTCobiT
1. Objetivo de control de alto nivel.1. Objetivo de control de alto nivel.
2. Objetivos de control detallado.
3 G í d d i i t ió3. Guías de administración.a) Entradas y salidas de los procesos.
b) Gráficas RACI.
c) Métricas de metas (KGI) y de desempeño (KPI) de ti id d d TIprocesos y actividades de TI.
4. Modelo de madurez del proceso.
El modelo de cascada de El modelo de cascada de CobiTCobiTEl modelo de cascada de El modelo de cascada de CobiTCobiT
Planificar yO i
El control de los
Organizar
Adquirir e Implementar
P PS
Procesos de TI
Metas del Que satisface las
Entregar ySoportar
Monitorear yEjecutarnegocio
Metas de TI
Poniendo foco en
S l
Ejecutar
Controles clave
Métricas
Se logra con
Y es medido porGobierno
de TI
√ √
Métricas clave
Administraciónde recursos
Dimensiones delGobierno de TI
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
AI6 AI6 –– Administración de CambiosAdministración de CambiosAI6 AI6 Administración de CambiosAdministración de Cambios
ConceptosConceptosConceptosConceptos
¿Cómo apoyan los procesos a las áreas focales ¿Cómo apoyan los procesos a las áreas focales del Gobierno de TI?
¿ Cómo apoyan los procesos a los Criterios de ¿ Cómo apoyan los procesos a los Criterios de la Información (requerimientos del negocio)?
¿Cuáles son los recursos involucrados en cada ¿Cuáles son los recursos involucrados en cada proceso?
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l A d G bi d TIO i l A d G bi d TIOrganizar con los Aspectos de Gobierno de TIOrganizar con los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R i i d N iO i l R i i d N iOrganizar con los Requerimientos de NegocioOrganizar con los Requerimientos de Negocio
Criterios de la Información de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R d TIO i l R d TIOrganizar con los Recursos de TIOrganizar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l A d G bi d TII l l A d G bi d TIImplementar con los Aspectos de Gobierno de TIImplementar con los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R i i d N iI l l R i i d N iImplementar con los Requerimientos de NegocioImplementar con los Requerimientos de Negocio
Criterios de la Información de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R d TII l l R d TIImplementar con los Recursos de TIImplementar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l A t d G bi d TIl A t d G bi d TIlos Aspectos de Gobierno de TIlos Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R i i t d N il R i i t d N ilos Requerimientos de Negociolos Requerimientos de Negocio
Criterios de la Información de
CobiTDominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R d TIl R d TIlos Recursos de TIlos Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Mapeo de procesos del dominio Monitorear y Monitorear y E lE l l A d G bi d TI l A d G bi d TIEvaluarEvaluar con los Aspectos de Gobierno de TIcon los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R i i d N iE l l R i i d N iEvaluar con los Requerimientos de NegocioEvaluar con los Requerimientos de Negocio
Criterios de la Información de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R d TIE l l R d TIEvaluar con los Recursos de TIEvaluar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio