Post on 13-Oct-2015
CobiTCobiT75 46 Ad i i i C l d P II75.46 Administracin y Control de Proyectos II
Abril de 2008Abril de 2008
AgendaAgendaAgendaAgenda
y PresentacinPresentaciny Introduccin
P i i i d l M d ly Principios del Modeloy Enfoque de Control de CobiTy Los Procesos del Modeloy Mapeo de los Procesosp
PRESENTACINPRESENTACINCobiT
PRESENTACINPRESENTACIN
INTRODUCCININTRODUCCINCobiT
INTRODUCCININTRODUCCIN
ConceptosConceptosConceptosConceptos
y Qu es CobiT?Qu es CobiT?y Cul es el seno de CobiT?y Cmo evolucion?Cmo evolucion?y Cul es el foco de CobiT?
CobiTCobiT: Objetivos de Control para la : Objetivos de Control para la I f l T l l d I f l T l l d Informacin y la Tecnologa relacionada Informacin y la Tecnologa relacionada
y Conjunto de buenas prcticasConjunto de buenas prcticas.y Marco de trabajo de dominios y procesos.
E t t j bl l i d y Estructura manejable y lgica de actividades.F f d l l y Fuertemente enfocadas en el control y menos en la ejecucin.
ISACAISACAInformationInformation SystemsSystems AuditAudit and Control and Control AssociationAssociation
y Lidera mundialmente la profesin de Lidera mundialmente la profesin de control de TI.y Presente en ms de 70 pasesy Presente en ms de 70 pases.y Tiene ms de 65.000 miembros en 140
pases
AntecedentesAntecedentesAntecedentesAntecedentes
y 1992: objetivos de control1992: objetivos de control.y 1996: marco de prcticas de control de TI.
1998 h i t d i l t iy 1998: herramientas de implantacin.y 1999: objetivos de control para redes.y 2000: tercera edicin.y 2006: cuarta edicin.
Cambios desde 1992Cambios desde 1992Cambios desde 1992Cambios desde 1992
y Fuerte dependencia de TI en los procesos de Fuerte dependencia de TI en los procesos de negocio crticos.
y Se ha incrementado el foco en la administracin Se ha incrementado el foco en la administracin de valor, riesgos y costos de TI.
y Mayor preocupacin por el gobierno y Mayor preocupacin por el gobierno corporativo.
y Los estndares de TI han maduradoy Los estndares de TI han madurado.y La regulacin ha crecido.
Respuesta de Respuesta de CobiTCobiT a los cambiosa los cambiosRespuesta de Respuesta de CobiTCobiT a los cambiosa los cambios
GobiernoGobierno
Administracin
Control
Auditora
CobiT 4CobiT 3CobiT 2CobiT 11996 1998 2000 2005
El foco de El foco de CobiTCobiT 4.04.0El foco de El foco de CobiTCobiT 4.04.0
y Gobierno de TIGobierno de TI.y Armonizacin con otros estndares.y Flujo de procesos.y Lenguaje ms conciso y orientado a la Lenguaje ms conciso y orientado a la
accin.
y Consolidacin en un libroy Consolidacin en un libro.
Gobierno de TIGobierno de TIGobierno de TIGobierno de TI
Conduccin de las estructuras y procesos Conduccin de las estructuras y procesos
organizacionales que garantiza que la TI de la
empresa sostiene y extiende las estrategias y
objetivos de negocioobjetivos de negocio.
Aceptabilidad de Aceptabilidad de CobiTCobiTAceptabilidad de Aceptabilidad de CobiTCobiT
Componentes de Componentes de CobiTCobiTComponentes de Componentes de CobiTCobiT
Secciones de Secciones de CobiTCobiT 4.04.0Secciones de Secciones de CobiTCobiT 4.04.0
1 Resumen ejecutivo1. Resumen ejecutivo.2. Marco CobiT (framework).3 C t id t l (34 ) 3. Contenido central (34 procesos):
a) Objetivos de control.b) G d d b) Guas de administracin.c) Modelos de madurez.
4. Apndices.
PRINCIPIOS DEL PRINCIPIOS DEL CobiT
PRINCIPIOS DEL PRINCIPIOS DEL MODELOMODELO
ConceptosConceptosConceptosConceptos
y Cules son los recursos de TI?Cules son los recursos de TI?y Cmo se estructuran los procesos de TI?y Cules son los requerimientos de informacin Cules son los requerimientos de informacin
del negocio?y Cules son los criterios de control de la
informacin?y Cules son los dominios de control de TI?
Valor de TIValor de TIValor de TIValor de TI
REC
IN
NECESIDADES
URSO
NFOR
NEGOPROCESOS DE TIO
S
D
MACI
OCIO
PROCESOS DE TI
E
TI
IN
RESPUESTAS
Recursos de TIRecursos de TIRecursos de TIRecursos de TI
Datos Aplicaciones Infraestructura Personal
Sistemas informticos
para procesar la i f i
Hardware, software de Habilidades
Todos los objetos de datos en su sentido ms
amplio
informacin. software de base, y
elementos de comunicaciones que junto con las aplicaciones
Habilidades, conocimiento y productividad del personal para ejecutar
los procesos de amplio.
Procedimientos y manuales.
las aplicaciones conforman los servicios de TI.
los procesos de TI.
Procesos de TIProcesos de TIProcesos de TIProcesos de TI
Dominios Procesos Actividades
Agrupamiento lgico de los
procesos
Conformadas por un conjunto de tareas y pasosprocesos.
Secuencia lgica de actividades,
roles y responsabilidades.
tareas y pasos.
N i Determina el ciclo de vida de los
procesos de TI.
responsabilidades. Necesarias para alcanzar el
objetivo de un proceso.
Requerimientos de informacin del Requerimientos de informacin del negocionegocio
C lid d Fid i i S id dCalidad Fiduciarios(COSO 1992 y 2004)
Seguridad(ISO 17799)
Calidad Eficacia y eficiencia Confidencialidad
Costo Confiabilidad Integridad
Entrega Cumplimiento Disponibilidad
Criterios de Control de la InformacinCriterios de Control de la InformacinCriterios de Control de la InformacinCriterios de Control de la Informacin
Relevancia y pertinencia de la informacin para los procesos del negocio,Efectividad Que se proporcione de una manera oportuna, correcta, consistente y utilizable.Efectividad
Optimizacin de recursos para su generacin. Eficiencia
Proteccin de informacin sensitiva contra revelacin no autorizada. Confiden-cialidad
Precisin y completitud de la informacin. Integridad
Que la informacin est disponible cuando sea requerida por los procesos del Disponibilidad negocio.Disponibilidad
Leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios. Cumplimiento
Proporcionar la informacin apropiada para la gestin del negocio. Confiabilidad
Valor de TI y Valor de TI y CobiTCobiTValor de TI y Valor de TI y CobiTCobiT
REC
IN
NECESIDADES Planificar y organizar Adquirir e implementar Entregar y soportar Monitorear y evaluar EficaciaU
RSO
NFOR
NEGOPROCESOS DE TI
Monitorear y evaluar Eficacia Eficiencia Confidencialidad Integridad DisponibilidadO
S
D
MACI
OCIO
PROCESOS DE TI Disponibilidad Cumplimiento Confiabilidad
E
TI
IN
RESPUESTAS
Datos Aplicaciones Infraestructura Personal
El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT
Los recursos de TI
son administrados
por los procesos de
TI para alcanzar los
objetivos de TI en
respuesta a los respuesta a los
requerimientos de
ne ocionegocio
ENFOQUE DE ENFOQUE DE CobiT
ENFOQUE DE ENFOQUE DE CONTROL ADOPTADO CONTROL ADOPTADO POR POR COBITCOBITPOR POR COBITCOBIT
ConceptosConceptosConceptosConceptos
y Qu es Control segn CobiT?Q gy Qu es un Objetivo de Control?y Cules son los niveles de madurez de los procesos Cules son los niveles de madurez de los procesos
utilizados por el modelo?
y Cules son las dimensiones de la madurez de los Cu es so as e s o es e a a u e e os procesos?
y Cules son los tipos de mtricas y niveles de p ymedicin?
y Cules son las reas focales del Gobierno de TI?
RecordandoRecordandoRecordandoRecordando
ControlControlS S C b TC b TSegn Segn CobiTCobiT
P lti di i t ti Polticas, procedimientos, prcticas y
estructuras organizacionales concebidas g
para brindar garanta razonable de que se
lograrn los objetivos de negocio y que los
t d d i di eventos no deseados se impedirn o se
detectarn y corregirn oportunamente.y g p
Objetivo de control de TIObjetivo de control de TIObjetivo de control de TIObjetivo de control de TI
y Es la declaracin del resultado o fin a Es la declaracin del resultado o fin a lograr mediante la implementacin de procedimientos de control en una procedimientos de control en una determinada actividad de TI.y Pueden ser:y Pueden ser:
Genricos (para todos los procesos) Detallados (especficos para cada proceso) Detallados (especficos para cada proceso)
Controles Genricos de ProcesosControles Genricos de ProcesosControles Genricos de ProcesosControles Genricos de Procesos
y PC1 Dueo del procesoA i d d C biT d t l l bilid d Asignar un dueo para cada proceso CobiT de tal manera que la responsabilidad sea clara.
y PC2 Repetitivo Definir cada proceso CobiT de tal forma que sea repetitivo. PC3 M bj iy PC3 Metas y objetivos Establecer metas y objetivos claros para cada proceso CobiT para una ejecucin
efectiva.
y PC4 Roles y responsabilidades Definir roles, actividades y responsabilidades claros en cada proceso CobiT para una
ejecucin eficiente.
y PC5 Desempeo del proceso Medir el desempeo de cada proceso CobiT en comparacin con sus metas.
y PC6 Polticas, planes y procedimientos Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas
cualquier poltica, plan procedimiento que impulse un proceso CobiT.
Interrelaciones de los componentes de Interrelaciones de los componentes de C biTC biTCobiTCobiT
De la Estrategia del Negocio a la De la Estrategia del Negocio a la A i C i d TIA i C i d TIArquitectura Corporativa de TIArquitectura Corporativa de TI
Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)
Dimensiones de la madurezDimensiones de la madurezDimensiones de la madurezDimensiones de la madurez
Medicin del desempeoMedicin del desempeoMedicin del desempeoMedicin del desempeo
y Tres niveles de medicin Las metas y mtricas de TI: que definen lo que el negocio espera de TI. Metas y mtricas de procesos: que definen lo que el proceso de TI debe
generar para dar soporte a los objetivos de TI
Mtricas de desempeo de los procesos: que miden el desempeo del proceso para indicar la probabilidad de alcanzar las metas.
y Dos tipos mtricas KGI: Definen mediciones para informar a la gerencia (despus del
hecho).
KPI: Definen mediciones que determinan el nivel de desempeo del proceso para alcanzar las metas.
y Los indicadores de metas de bajo nivel se convierten en indicadores de desempeo para los niveles altos.
Relacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y Mtricas
reas focales del Gobierno de TIreas focales del Gobierno de TIreas focales del Gobierno de TIreas focales del Gobierno de TIy Alineacin estratgica
Se enfoca en garantizar el vnculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.
y Entrega de valor Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrndose en optimizar los costos y en brindar el valor intrnseco de la TI brindar el valor intrnseco de la TI.
y Administracin de recursos Se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de TI:,
aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin d d f de conocimiento y de infraestructura.
y Administracin de riesgos Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro
entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de g q p p qcumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.
y Medicin del desempeo Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los
recursos, el desempeo de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en accin para lograr las metas que se puedan medir ms all del registro convencional.
CobiTCobiT y las reas focales del Gobierno y las reas focales del Gobierno d TId TIde TIde TI
Apoyo de los elementos del modelo CobiT alas distintas reas focales del Gobierno de TIlas distintas reas focales del Gobierno de TI.
LOS PROCESOS DEL LOS PROCESOS DEL CobiT
LOS PROCESOS DEL LOS PROCESOS DEL MODELOMODELO
ConceptosConceptosConceptosConceptos
y Cmo es el ciclo de vida del Gobierno de TI?Cmo es el ciclo de vida del Gobierno de TI?y Cules son los procesos del modelo?y Cmo es la estructura de un proceso en el y Cmo es la estructura de un proceso en el
modelo?
Ejemplo de un procesoy Ejemplo de un proceso.
El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT
Los recursos de TI
son administrados
por los procesos de
TI para alcanzar los
objetivos de TI en
respuesta a los respuesta a los
requerimientos de
ne cinegocio
Dominios de control en TIDominios de control en TIDominios de control en TIDominios de control en TI
Objetivos de Gobierno de TI
Objetivos de Negocio
InformacinGobierno
de TI
Monitorear y Evaluar
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad
Planificar y Organizar
R d TI
Disponibilidad Cumplimiento Confiabilidad
Entregar y Soportar
Recursos de TI
Informacin Aplicaciones Infraestructura
Adquirir e Implementar
Personal
Procesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y Organizar
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir los procesos la organizacin y las relaciones de TIPO4 Definir los procesos, la organizacin y las relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar los objetivos y directivas a la gerencia.
InformacinGobierno
d TI
PO7 Administrar los recursos humanos de TI.
PO8 Gestionar la calidad.
PO9 Evaluar y manejar los riesgos de TI.
Planificar y Organizar
Monitorear y Evaluar
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Informacinde TIPO9 Evaluar y manejar los riesgos de TI.
PO10 Administrar los proyectos de TI.
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
InformacinAplicaciones Infraestructura Personal
Procesos del dominio Adquirir e Procesos del dominio Adquirir e I l I l Implementar Implementar
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software de aplicacin.
AI3 Adquirir y mantener la infraestructura tecnolgica.
AI4 Facilitar la operacin y el usoAI4 Facilitar la operacin y el uso.
AI5 Adquirir los recursos de TI.
AI6 Administrar los cambios.
InformacinGobierno
d TI
AI7 Instalar y acreditar soluciones y cambios.
Planificar y Organizar
Monitorear y Evaluar
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Informacinde TI
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
InformacinAplicaciones Infraestructura Personal
Procesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y Soportar
ES1 Definir y administrar los niveles de servicio.ES2 Administrar los servicios prestados por terceros.ES3 Administrar la capacidad de desempeo.ES4 Garantizar la continuidad de los servicios de TI.ES5 Garantizar la seguridad de los sistemas.ES6 Identificar y asignar costos.ES7 Educar y entrenar a los usuarios de los servicios de TI.
InformacinGobierno
d TI
ES7 Educar y entrenar a los usuarios de los servicios de TI.ES8 Gestionar la mesa de ayuda e incidentes.ES9 Gestionar la configuracin.ES10 Gestionar los problemas
Planificar y Organizar
Monitorear y Evaluar
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Informacinde TIES10 Gestionar los problemas.ES11 Gestionar los datos.ES12 Administrar el ambiente fsico.ES13 G l
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
InformacinAplicaciones Infraestructura Personal
ES13 Gestionar las operaciones.
Procesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y Evaluar
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proporcionar gobierno de TIME4 Proporcionar gobierno de TI.
InformacinGobierno
d TI
Planificar y Organizar
Monitorear y Evaluar
Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Informacinde TI
Adquirir e Implementar
Entregar y Soportar
Recursos de TI
InformacinAplicaciones Infraestructura Personal
Estructura de cada proceso en Estructura de cada proceso en CobiTCobiTEstructura de cada proceso en Estructura de cada proceso en CobiTCobiT
1. Objetivo de control de alto nivel.1. Objetivo de control de alto nivel.
2. Objetivos de control detallado.
3 G d d i i t i3. Guas de administracin.a) Entradas y salidas de los procesos.
b) Grficas RACI.
c) Mtricas de metas (KGI) y de desempeo (KPI) de ti id d d TIprocesos y actividades de TI.
4. Modelo de madurez del proceso.
El modelo de cascada de El modelo de cascada de CobiTCobiTEl modelo de cascada de El modelo de cascada de CobiTCobiT
Planificar yO i
El control de los
Organizar
Adquirir e Implementar
P PS
Procesos de TI
Metas del Que satisface las
Entregar ySoportar
Monitorear yEjecutarnegocio
Metas de TI
Poniendo foco en
S l
Ejecutar
Controles clave
Mtricas
Se logra con
Y es medido porGobierno
de TI
Mtricas clave
Administracinde recursos
Dimensiones delGobierno de TI
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios
MAPEO DE LOS MAPEO DE LOS CobiT
MAPEO DE LOS MAPEO DE LOS PROCESOSPROCESOS
ConceptosConceptosConceptosConceptos
y Cmo apoyan los procesos a las reas focales Cmo apoyan los procesos a las reas focales del Gobierno de TI?
y Cmo apoyan los procesos a los Criterios de Cmo apoyan los procesos a los Criterios de la Informacin (requerimientos del negocio)?
y Cules son los recursos involucrados en cada y Cules son los recursos involucrados en cada proceso?
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l A d G bi d TIO i l A d G bi d TIOrganizar con los Aspectos de Gobierno de TIOrganizar con los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R i i d N iO i l R i i d N iOrganizar con los Requerimientos de NegocioOrganizar con los Requerimientos de Negocio
Criterios de la Informacin de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R d TIO i l R d TIOrganizar con los Recursos de TIOrganizar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l A d G bi d TII l l A d G bi d TIImplementar con los Aspectos de Gobierno de TIImplementar con los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R i i d N iI l l R i i d N iImplementar con los Requerimientos de NegocioImplementar con los Requerimientos de Negocio
Criterios de la Informacin de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R d TII l l R d TIImplementar con los Recursos de TIImplementar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l A t d G bi d TIl A t d G bi d TIlos Aspectos de Gobierno de TIlos Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R i i t d N il R i i t d N ilos Requerimientos de Negociolos Requerimientos de Negocio
Criterios de la Informacin de
CobiTDominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R d TIl R d TIlos Recursos de TIlos Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Mapeo de procesos del dominio Monitorear y Monitorear y E lE l l A d G bi d TI l A d G bi d TIEvaluarEvaluar con los Aspectos de Gobierno de TIcon los Aspectos de Gobierno de TI
Aspectos de Gobierno de TI
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R i i d N iE l l R i i d N iEvaluar con los Requerimientos de NegocioEvaluar con los Requerimientos de Negocio
Criterios de la Informacin de
CobiTCobiT
Dominio de TI
Procesos del
Dominio
Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R d TIE l l R d TIEvaluar con los Recursos de TIEvaluar con los Recursos de TI
Recursos de TI de CobiT
Dominio de TI
Procesos del
Dominio
FINFINCobiT
FINFINMUCHAS GRACIASMUCHAS GRACIAS