Gobierno y Administración de TI con COBIT 5

Dimensiones Habilitadoras de COBIT 5:

• Proporciona una manera común, sencilla y estructurada para tratar los habilitadores.
• Permite a una entidad manejar sus interacciones complejas.
• Facilita resultados exitosos de los habilitadores.

Principio 5: Separar el Gobierno de la Administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración.

• Ambas disciplinas comprenden diferentes tipos de actividades, requieren diferentes estructuras organizacionales y cumplen diferentes propósitos.

Gobierno: En la mayoría de las organizaciones, el gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.

Administración: En la mayoría de las organizaciones, la administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

• El Gobierno asegura que se evalúen las necesidades de las partes interesadas.
• La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas.

COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas. Una compañía puede organizar sus procesos como estime conveniente, siempre y cuando queden cubiertos todos los objetivos necesarios de gobierno y administración. COBIT 5 incluye un Modelo de Referencia de Procesos (PRM), que define y describe en detalle un número de procesos de administración y de gobierno.

Procesos Habilitadores

• Partes interesadas: Internas y Externas.
• Metas: Calidad Intrínseca, Calidad Contextual, Accesibilidad y Seguridad.
• Ciclo de vida: Planificar, Diseñar, Construir/Adquirir/Crear/Implementar, Usar/Operar, Evaluar/Monitorear, Actualizar/Disponer prácticas genéricas para los procesos.
• Buenas prácticas: Prácticas del proceso, Actividades, Actividades detalladas, Productos de trabajo (entradas/salidas).

Procesos para el Gobierno Corporativo de TI

Evaluar, Dirigir y Monitorear (EDM)

• EDM01 Asegurar que se fija el Marco de Gobierno y su Mantenimiento.
• EDM02 Asegurar la Entrega de Valor.
• EDM03 Asegurar la Optimización de los Riesgos.
• EDM04 Asegurar la Optimización de los Recursos.
• EDM05 Asegurar la Transparencia a las partes interesadas.

Monitorear, Evaluar y Valorar (MEA)

• MEA01 Monitorear, Evaluar y Valorar el Desempeño y Cumplimiento.
• MEA02 Monitorear, Evaluar y Valorar el Sistema de Control Interno.
• MEA03 Monitorear, Evaluar y Valorar el Cumplimiento con Requisitos Externos.

Construir, Adquirir e Implementar (BAI)

• BAI01 Administrar Programas y Proyectos.
• BAI02 Administrar la Definición de Requerimientos.
• BAI03 Administrar la Identificación y Construcción de Soluciones.
• BAI04 Administrar la Disponibilidad y Capacidad.
• BAI05 Administrar la Habilitación del Cambio.
• BAI06 Administrar Cambios.
• BAI07 Administrar la Aceptación de Cambios y Transiciones.
• BAI08 Administrar el Conocimiento.
• BAI09 Administrar los Activos.
• BAI10 Administrar la Configuración.

Entregar, Servir y Dar Soporte (DSS)

• DSS01 Administrar las Operaciones.
• DSS02 Administrar las Solicitudes de Servicios y los Incidentes.
• DSS03 Administrar Problemas.
• DSS04 Administrar la Continuidad.
• DSS05 Administrar los Servicios de Seguridad.
• DSS06 Administrar los Controles en los Procesos de Negocio.

El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI en dos áreas principales – Gobierno y Administración – con la Administración a su vez dividida en dominios de procesos:

• El Dominio de GOBIERNO contiene cinco procesos de gobierno; dentro de cada proceso se definen las prácticas para Evaluar, Dirigir y Monitorear (EDM).
• Los cuatro dominios de la ADMINISTRACIÓN están alineados con las áreas de responsabilidad de Planificar, Construir, Operar y Monitorear (PBRM).

Implementación de COBIT 5

La información y la presencia general de la tecnología de información ocupan cada vez más espacio en las organizaciones. La necesidad de generar más valor de las inversiones en la Tecnología y de administrar una gama más amplia de riesgos de TI, junto con una regulación y legislación cada vez más estricta sobre el uso comercial de la información, hacen de COBIT 5 una herramienta fundamental. ISACA ha desarrollado el marco de COBIT 5 para ayudar a las compañías a implementar unos habilitadores de gobierno sanos. Los marcos, mejores prácticas y normas son útiles solamente si son adoptados y adaptados de manera efectiva.

COBIT 5: Implementación cubre los siguientes asuntos:

• Posicionamiento de GEIT en la organización.
• Adopción de los primeros pasos para mejorar GEIT.
• Factores de éxito y retos para la implementación.
• Habilitación del cambio de comportamiento y organizacional relacionado con el GEIT.
• Implementación de una mejora continua que incluye la habilitación del cambio y la gestión del programa.
• Uso de COBIT 5 y sus componentes.

Ciclo de Implementación

1. Cuales son los impulsadores: Iniciar el programa, Establecer el deseo de cambiar, Reconocer las necesidades.
2. Dónde estamos ahora: Definir los problemas y las oportunidades, Formar el equipo de implementación, Evaluar la situación actual.
3. Dónde queremos estar: Definir la ruta a seguir, comunicar el resultado, Definir el objetivo meta.
4. Qué se necesita hacer: Planificar el programa, Identificar los roles clave, construir mejoras.
5. Cómo vamos a llegar allá: Ejecutar el plan, operar y utilizar, Implementar las mejoras.
6. Llegamos donde queríamos estar: Realizar los beneficios, Incorporar nuevos enfoques, Operar y medir.
7. Cómo logramos que el impulso continúe: Revisar la efectividad, Sostener, Monitorear y evaluar.

Productos Futuros de Apoyo

Familia de productos:

• Guías habilitadoras de COBIT: Procesos habilitadores, Información habilitadora, Otras guías habilitadoras.
• Guías Profesionales de orientación COBIT: Implementación, Para la seguridad de la información, Para el aseguramiento, para riesgos, otras guías profesionales.

Guías Profesionales de Orientación:

• COBIT 5 para la Seguridad de Información.
• COBIT 5 para el aseguramiento.
• COBIT 5 para riesgos.

Guías de Orientación de los Habilitadores:

• COBIT 5: Información Habilitadora.

• COBIT En Línea Reemplazo.
• COBIT Programa de Evaluación:
  • Modelo de Evaluación de Procesos (PAM): Usando COBIT 5.
  • Guía para Asesores: Usando COBIT 5.
  • Guía de Auto-Evaluación: Usando COBIT 5.

Extra: Separar Gobierno de Administración

• Gobierno: Evaluar, Dirigir, Monitorear.
• Administración: Planificar (APO), Construir (BAI), Operar (DSS), Monitorear (MEA).

Extra: Evolución del alcance COBIT

Ahora un único marco empresarial completo:

• COBIT 1: Auditoría.
• COBIT 2: Control.
• COBIT 3: Administración.
• COBIT 4: Gobierno de TI.
• COBIT 5: Gobierno y Operación de TI.

Definición de COBIT

COBIT (Control Objectives for Information and related Technology) es una guía de mejores prácticas presentado como marco de trabajo, dirigida al control y supervisión de los objetivos de las tecnologías de la información (TI). Es mantenido por ISACA y el IT GI (IT Governance Institute), contiene recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

El Cuadro de Mando Integral (Balanced Scorecard)

Inicialmente desarrollado por Robert Kaplan y David Norton, es un sistema de control de gestión introducido en el ámbito empresarial en 1992, diseñado para permitir a las empresas conducir y monitorizar sus estrategias. La idea básica es que la evaluación de una organización no debería estar sujeta solo a la tradicional evaluación financiera, sino que debería ser complementada con otras medidas relativas a la satisfacción del cliente, procesos internos y la capacidad de innovar.

Planificación Estratégica, Mapa Estratégico, Métricas e Indicadores

La planificación estratégica es el conjunto de acciones que nos permiten alcanzar los objetivos previstos a largo plazo. Las acciones incluyen normas, planes, procesos y proyectos. La planificación relaciona el futuro con las decisiones actuales para lograr alcanzar los fines u objetivos de la organización. La planificación no es únicamente un intento de pronosticar el futuro, sino también un intento de controlarlo.

Un mapa estratégico es una representación visual de las relaciones causa-efecto entre los componentes de la estrategia de una empresa, proporcionan una manera uniforme y coherente de describir la estrategia de modo que se puedan establecer y gestionar objetivos e indicadores.

Las métricas son medidas que tiene un valor destino, un valor real y un propietario que es el responsable del desempeño de dicha métrica. Una métrica está relacionada con un objetivo estratégico.

Los indicadores son métricas que nos ayudan a medir el éxito en la consecución de un objetivo estratégico.

Las metas indican el nivel de resultado necesario en un determinado periodo para conseguir el objetivo estratégico. Las iniciativas son las acciones o proyectos que se requieren para la consecución de los objetivos.

DevOps, acrónimo inglés de development (desarrollo) y operations (operaciones), básicamente se refiere a la cultura o movimiento que se centra en la comunicación, colaboración e integración entre los equipos de desarrollo de software y los equipos de operaciones de TI (Tecnologías de la Información) de la empresa.

Etapas TI CMI

• Diseño.
• Implementación.
• Seguimiento.
• Integración.

Características del CMI

• Los indicadores poseen semáforos.
• Permite definir relaciones causa-efecto.
• Permite visualizar el detalle del CMI incluyendo todos sus elementos.
• Posee una navegación sencilla e intuitiva.
• Permite definir distintos niveles de seguridad.
• Permite acceder a información histórica.
• Posee informes y gráficos útiles desde el punto de vista Gerencial.