Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
com
Auditoría de Sistemas de Información
Fundamentos de Cobit 5
Fuente: Framework Cobit 5 / Habilitadores de Procesos
www.eduardoleyton.cl
COBIT 5.0
(Auditoria de P.E.D., Auditoría C.P.D., Auditoría de Sistemas,
Auditoría de Informática, Auditoría a Procesos Tecnologicos)
www.eduardoleyton.cl
IEC
IAI ISO COSO
Gobierno de TI
Val IT 2.0
(2008)
Administración
Control
Risk IT
(2009)
Auditoría
www.eduardoleyton.cl
Cobit en la Actualidad
Marco para el gobierno y la gestión de las TI aceptado
internacionalmente
Aplicable a todo tipo de organizaciones
Complementado con herramientas y capacitación
Gratuito
Respaldado por una comunidad de expertos
En evolución permanente
Avalado por una organización sin fines de lucro, con
reconocimiento internacional
Mapeado con otros estándares
www.eduardoleyton.cl
www.eduardoleyton.cl
COBIT 5:
Un Marco de Negocio para el
Gobierno y la Gestión de las TI
de la Empresa
www.eduardoleyton.cl
El marco COBIT 5 se construye sobre cinco principios
básicos, que quedan cubiertos en detalle e incluyen una guía
exhaustiva sobre los catalizadores para el gobierno y la
gestión de las TI de la empresa.
www.eduardoleyton.cl
Desafíos de TI (challenges)
Mantener la TI en funcionamiento
Generar valor con TI
Minimizar costos de TI
Administrar la complejidad de TI
Alinear a TI con el negocio
Cumplir con regulaciones
Seguridad
www.eduardoleyton.cl
Factores (Drivers) que motivaron el
desarrollo de CobiT5:
Entender a todos los stakeholders, sus necesidades, como
consideran que obtienen valor, qué beneficios quieren, que
riesgos quieren asumir, que recursos son requeridos. Algunos
serán más abiertos al riesgo que otros, algunos quieren
resultados a más corto plazo, etc. Pueden presentarse conflictos
entre stakeholders y sus expectativas que hay que dirimir y
administrar. Además, ellos requieren mucha transparencia y
estar al tanto de lo que va sucediendo.
Direccionar Gestionar la dependencia de la empresa frente a
las entidades externas: outsourcers, proveedores, clientes,
consultores, cloud, etc.
La información crece aceleradamente y la compañía debe saber
cual es la información relevante, importante y confiable para
su toma de decisiones.
www.eduardoleyton.cl
Cada vez la TI se integra más con los negocios (Dependencia). La
gente de negocios es clave para tomar decisiones de TI y TI es clave
para tomar decisiones de negocios. Aplica para recursos humanos,
estructuras organizacionales, procesos, riesgos, políticas, etc.
Proveer guía importante en relación con la innovación y tendencias
emergentes de tecnología, en busca de mejorar los productos existentes
o crear nuevos de manera que beneficien en eficiencia, velocidad y/o
calidad.
Cubrir todas las responsabilidades del negocio y de TI, desde los
procesos de gobierno como los de gestión. Fortalecer los controles en las
soluciones de TI.
Crear valor con el uso e innovación de las TI.
Satisfacción de cliente con servicio y compromiso.
Cumplir con leyes internas y externas.
Mejorar la relación entre necesidades de negocio y TI.
Conectarse y complementarse (donde sea requerido y relevante) con
otros frameworks como ITIL, PMBOK, TOGAF, COSO, ISO, etc.
Integrar todos los frameworks de ISACA: BMIS, VALIT, RISIT, etc.
www.eduardoleyton.cl
Beneficios de Cobit 5
www.eduardoleyton.cl
Principios de
Cobit 5
www.eduardoleyton.cl
www.eduardoleyton.cl
Principio 1: Satisfacer necesidades
de los stakeholders
www.eduardoleyton.cl
Las Organizaciones tienen muchas partes interesadas y “crear
valor” significa cosas diferentes – a veces conflictivas – para cada
una de ellas.
www.eduardoleyton.cl
www.eduardoleyton.cl
Principio 3-Aplicar un framework integrado.
Razones por las
cuales Cobit 5 es
un framework
integrado:
ISO 38500
IS0 27000-27008
ISO31000
ISO15504
PRINCE
PMBOOK
Otros
www.eduardoleyton.cl
Otros Estándares
Gobierno
D1: EDM
Gestión
D2: APO
Gestión
D3: BAI
Gestión
Gestión
D4: DSS D5: MEA
www.eduardoleyton.cl
Otros Estándares
www.eduardoleyton.cl
Otros Estándares
www.eduardoleyton.cl
Otros Estándares: ISO27000 SGSI
www.eduardoleyton.cl
www.eduardoleyton.cl
Principio 4:Aplicar un enfoque holístico.
Considera los 7 habilitadores (enablers) que son:
Actúan sobre
Los PROCESOS
de TI
de TI
www.eduardoleyton.cl
Los propósitos de las 4 dimensiones de los habilitadores son:
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
Principio 5: Diferenciar Gobierno de Gestión
Gobierno
Establece la estrategia corporativa con el Dominio EDM
Evalúa necesidades de stakeholders, condiciones y opciones;
dirige priorización y toma de decisiones; monitorea desempeño
y cumplimiento.
Es responsabilidad del board y los altos ejecutivos (CEO, CFO,
CIO, COO, etc.)
Gestión
Pone en funcionamiento la estrategia con PBRM.
PLANEA, CONSTRUYE, EJECUTA Y MONITOREA los
procesos, controles, actividades para lograr la estrategia
corporativa.
Es responsabilidad de la administración.
www.eduardoleyton.cl
Lo anterior se detalla en la siguiente figura:
DOMINIO: 1 EDM
www.eduardoleyton.cl
Los Habilitadores son factores que individual o
colectivamente influyen para que algo funcione, en este
caso el Gobierno y la Gestión de TI.
Los Habilitadores o Catalizadores son:
www.eduardoleyton.cl
Habilitador 1: Principios/ políticas/
frameworks
Son instrumentos para:
Traducir el comportamiento corporativo deseado en
guías prácticas para la gestión día a día.
Comunicar las reglas de la empresa.
Principios: Comportamiento y cultura organizacional deseados.
Las políticas ayudan a poner en práctica los principios, estos
deben estar alineadas con el apetito de riesgo, deben ser
revisadas regularmente y tienen un ciclo de vida cuyo propósito
es lograr las metas definidas.
www.eduardoleyton.cl
Unas buenas políticas deben ser:
Efectivas: Lograr el propósito.
Eficientes: Asegurar que los principios son
implementados de manera eficiente.
No intrusivas: Deben parecer muy lógicas para quien
debe cumplirlas. No traídas de los cabellos.
Las políticas deben describir:
Su alcance y validez.
Las consecuencias de fallas a su cumplimiento.
Como manejar las excepciones.
La manera en que su cumplimiento es chequeado y
medido.
www.eduardoleyton.cl
Lo anterior se detalla en la siguiente figura:
www.eduardoleyton.cl
Habilitador 2: Procesos
Definido como el conjunto organizado de prácticas
(actividades asociadas a los PROCESOS de TI) con sus
actividades, influenciadas por principios y políticas. Recibe
entradas, las transforma y genera salidas como productos o
servicios.
Cobit 5 tiene 5 dominios y 37 procesos.
Cobit 5 tiene 1 dominio para Gobierno:
EDM el cual cuenta con 5 procesos
Cobit 5 tiene 4 dominios para Gestión:
APO con 13 procesos
BAI con 10 procesos
DSS con 6 procesos
MEA con 3 procesos
www.eduardoleyton.cl
Ciclo de vida de procesos:
Definido
Creado
Operado
Monitoreado
Ajustado/actualizado
Retirado
Los objetivos de los procesos se categorizan así:
Intrínsecos, que direccionan la calidad: ¿Es exacto y de
acuerdo con mejores prácticas? ¿Cumple con leyes internas y
externas?
Contextuales, que direccionan las circunstancias: ¿Está el
proceso customizado? ¿Es relevante, entendible y fácil de
usar?
Seguridad, qué direccionan quién y cómo accesan a la
información: ¿El proceso procesa información confidencial?"
www.eduardoleyton.cl
Dentro del contexto global, los procesos se ubican así:
www.eduardoleyton.cl
Habilitador 3: Estructuras Organizativas
Son las entidades para toma de decisión en las empresas.
Algunas buenas prácticas de las estructuras organizacionales son:
Principios de operación (frecuencia y programación de
reuniones, documentación, etc).
Composición: quienes son sus miembros (internos y/o
externos).
Ámbito de control (span of control): Límites para tomar
decisiones.
Nivel de autoridad: Decisiones que la estructura puede tomar.
Delegación de autoridad: Que decisiones puede delegar
Procedimientos de escalamiento: En caso de dificultades en
toma de decisiones.
www.eduardoleyton.cl
Algunas estructuras son:
Gobierno: Board (Junta directiva)
Gestión: CEO (Chief Executive Officer) para toda la
empresa, CFO (Chief Financial Officer), COO (Chief
Operational Officer), CRO (Chief Risk Officer), CIO
(Chief Information Officer), CISO (Chief Information
Security Officer), Strategy Committee (Comité de
estrategia), Architecture board (comité de arquitectura), etc.
Operación: Jefe de recursos humanos, jefe de arquitectura,
jefe de desarrollo, jefe de operaciones, PMO (Programme
Management Office) para proyectos, VMO (Valuue
Management Office) para portafolio de inversiones
www.eduardoleyton.cl
Dentro del contexto global, la estructura organizativa se
entiende así:
www.eduardoleyton.cl
Habilitador 4:
Cultura/ética/comportamiento
Una buena cultura, ética y comportamiento es clave para
lograr el gobierno y gestión de la TI empresarial.
Algunas buenas prácticas para crear, fomentar y mantener el
comportamiento corporativo deseado son:
Comunicación del comportamiento deseado y de los
valores corporativos.
Conciencia del comportamiento deseado, el ejemplo de la
alta dirección.
Incentivos para reforzar el comportamiento deseado.
Reglas y normas para proveer más guías del
comportamiento deseado.
www.eduardoleyton.cl
Las metas (goals) de este habilitador se relacionan con:
Ética organizacional: Valores que la empresa quiere
vivir.
Ética individual: Valores personales que pueden
depender de factores externos como religión, entorno
socioeconómico, geografía y experiencias personales.
Comportamiento individual: colectivamente determina
la cultura empresarial. Algunos tipos de comportamiento
se pueden relacionar con la posición:
Frente al riesgo.
Frente a seguir políticas.
Frente a resultados negativos.
www.eduardoleyton.cl
La Cultura Ética y Comportamiento se comprenden así:
www.eduardoleyton.cl
Habilitador 5: Información
Esta presente en toda la organización.
Este habilitador trata con toda la información relevante
producida y usada por la empresa. No solo la automatizada.
La estructurada o no y la formal o no.
Los 5 pasos del ciclo de metadata son:
www.eduardoleyton.cl
Características de la Información C5
www.eduardoleyton.cl
La Información se entiende así:
www.eduardoleyton.cl
Habilitador 6:
Servicios/Infraestructura/Aplicaciones
Proporcionados por la TI en la organización.
Los 5 principios de la arquitectura que rigen la aplicación y el uso de
los recursos relacionados con las TI:
Reuso (reuse): De los componentes comunes de la arquitectura
ante una transición o cambio.
Comprar vs construir (buy vs build): Las soluciones deben ser
compradas a menos que exista una respuesta aprobada para
construir internamente.
Simplicidad (simplicity): La arquitectura debe ser diseñada y
mantenida lo más simple posible, mientras responde a los
requerimientos de la compañía.
Agilidad (agility): Para responder a las necesidades de cambio de
manera efectiva.
Abierta (openness): Para aprovechar los estándares abiertos.
www.eduardoleyton.cl
Lainformación es definida como una capacidad de servicio,
y las capacidades de servicio son aprovechadas por los
procesos para entregar servicios internos y externos.
www.eduardoleyton.cl
Los Servicios, Infraestructura y Aplicaciones se entienden así:
www.eduardoleyton.cl
Habilitador 7:
Gente/Habilidades/Competencias
Algunas son especiales para gobierno y otras para gestión.
Son requeridas para tomar decisiones apropiadas y realizar lo
correcto.
Algunas buenas prácticas recomiendan:
Identificar las habilidades y competencias requeridas para
cada rol.
Mapear las habilidades con los procesos. CobiT tiene una
tabla para mapear habilidades por cada dominio (EDM,
APO, BAI, DSS, MEA).
Fortalecer con otras mejores prácticas de RRHH. Ej: SFIA:
Skills Framework For Information Age (Marco de
calificación para la era de la información).
www.eduardoleyton.cl
No solo considera las habilidades técnicas, sino también las de
gestión de proyectos, etc.
Competencia = Habilidades + Conocimiento + Actitud.
www.eduardoleyton.cl
Cobit
Interacción entre Habilitadores
Principios, Servicios,
Estructuras Cultura, ética y Gente, habilidades y
políticas y Procesos Información infraestructura y
organizacionales comportamiento competencias
frameworks aplicaciones
Principios, son ejecutados a Reflejan la…
políticas y través de los..
frameworks
son dirigidos reciben y generan son ejecutados por dependen de la … producen y Producen y
por…. para lograr work products las… para lograr generan… requieren…
Procesos implementaciones para otros… resultados
consistentes con satisfactorios y
la estrategia apropiados.
Definen e ejecutan los… Ver consideran la … analizan la…. estan conformadas
Estructuras implementan los… matrices RACI para la toma de para tomar por…
organizacionales decisiones decisiones.
apropiadas.
debe reflejar los contribuyen al Fortalece las …
valores buen resultado de para la
Cultura, ética y
corporativos de los… implementación
comportamiento los … de decisiones
apropiadas
es entrada y/o es requerida para es una capacidad
Información salida de los … la toma de de servicio…
decisiones de las…
Servicios, Son generados y Requieren de la...
infraestructura y requeridos por para la orientación
aplicaciones los.. al servicio.
conforman las…
Gente, habilidades
y competencias
www.eduardoleyton.cl
Procesos Habilitadores
2: Procesos
PROCESO
TI:
actividades
Información
Entrada PROCESO
TI:
actividades
Información
Salida PROCESO
TI:
37 actividades
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
Dominio para Gobierno
EDM: EVALUATE-DIRECT-MONITOR
(EVALUAR-DIRIGIR-SUPERVISAR)
EDM01 Asegurar Analizar y articular los requerimientos de gobierno para la compañía, así como poner a funcionar y mantener
configuración y efectivas estructuras, principios, procesos y prácticas con claras responsabilidades y autoridad para lograr la misión,
mantenimiento del metas y objetivos de la compañía.
framework de gobierno
EDM02 Asegurar realización Optimizar la contribución de valor al negocio desde los procesos de negocio, los servicios de TI y los activos de TI
de beneficios resultantes de las inversiones de TI a costos razonables.
EDM03 Asegurar optimización Asegurar que el apetito de riesgo y tolerancia son entendidos, articulados y comunicados y así mismo los riesgos
de riesgos relacionados con TI son identificados y administrados.
EDM04 Asegurar optimización Asegurar que las capacidades (recursos) requeridos para soportar los objetivos de negocio son efectivos a costos
de recursos óptimos (people, processes and technology).
EDM05 Asegurar Asegurar que las medidas de desempeño/cumplimiento son reportadas de manera transparente y así mismo que los
transparencia con partes stakeholders aprueban los objetivos y las métricas y exigen las acciones correctivas necesarias.
interesadas
www.eduardoleyton.cl
Dominios para Gestión
APO: ALIGN-PLAN-ORGANISE
(ALINEAR-PLANIFICAR-ORGANIZAR)
APO01 Gestionar framework de Clarificar y mantener la visión y misión del gobierno de TI. Implementar y mantner mecanismos y autoridades para
administración de TI gestionar la información y el uso de TI para soportar los objetivos en línea con los principios y políticas.
APO02 Gestionar estrategia Proveer un enfoque holístico del ambiente de negocio y TI actual, así como la dirección futura y las iniciativas
requeridas para migrar al ambiente deseado, aprovechando la arquitectura, servicios externos y capacidades para
lograr una confiable y eficiente respuesta a los objetivos estratégicos.
APO03 Gestionar arquitectura Establecer la arquitectura empresarial considerando las capas de procesos, información, data, aplicación y tecnología
empresarial para alcanzar de manera efectiva y eficiente los objetivos del negocio y de TI, creando modelos y prácticas que
describan la arquitectura baseline y la objetivo. Definir requerimientos para taxonomía, estándares, guidelines,
procedimientos, templates y herramientas así como la integración de dichos componentes para mejorar la
alineación, incrementar la agilidad, mejorar la calida de información y generar ahorro de costos.
APO04 Gestionar innovación Mantener una conciencia de la tecnología de información y tendencias de servicios relacionados, identificar
oportunidades de innovación que beneficien las necesidades de negocio. Analizar que oportunidades para
innovación o mejoramiento del negocio pueden ser creadas a partir de tecnologías emergentes o mejora de las
existentes, innovación de servicios y/o procesos de TI.
APO05 Gestionar portafolio de Ejecutar la dirección estratégica definida para las inversiones en línea con la visión de la arquitectura empresaria y las
inversiones características deseadas de las inversiones y portafolios de servicios relacionados, así mismo considerar las
diferentes categorías de inversiones, los recursos y limitaciones de fondos. Evaluar, priorizar y balancear los
programas y servicios de demanda, basados en la alineación estratégica. Monitorear el desempeño del portafolio de
programas y servicios, proponiendo ajustes cuando sea necesario o por cambio en prioridades de la compañía.
www.eduardoleyton.cl
Dominios para Gestión
APO06 Gestionar presupuesto y Gestionar las actividades financieras relacionadas tanto con el negocio como para TI, cobriendo presupuesto, costos,
costos beneficios y prriorización de gastos, a través del uso de prácticas de presupuesto y el sistema de asignación de costos
que utilice la compañía. Consultar a los stakeholders para identificar y controlar los costos y beneficios dentro del
contexto de la estrategia de TI y los planes tácticos, así como las acciones correctivas donde sea necesario.
APO07 Gestionar recursos Proveer un enfoque estructurado para asegurar óptima estructura, colocación, derechos de decisión y habilidades de
humanos recursos humanos. Esto incluye comunicación de roles y responsabilidades definidos, planes de aprendizaje y
desarrollo, expectativas de desempeño y soportado con la competnecia y motivación de la gente.
APO08 Gestionar relaciones Gestionar las relaciones entre negocio y TI de manera transparente y formalizada para asegurar el enfoque sobre el
logro de objetivos empresariales con resultados satisfactorios y dentro de una tolerancia de riesgos y presupuestos
razonables. La relación debe basarse en confianza mutua, usantdo términos abiertos y entendibles así como un
lenguaje común y disposición para asumir y responder por decisiones clave.
APO09 Gestionar acuerdos de Alinear los servicios de TI y niveles de servicio con las necesidades y expectativas de la empresa; incluyendo la
servicios identificación, especificación, diseño, publicidad, acuerdo y monitoreo de los servicios de TI, niveles de servicio e
indicadores de desempeño.
APO10 Gestionar proveedores Gestionar los servicios de TI proveidos por terceros para satisfacer los requerimientos de la compañía incluyendo la
selección de proveedores, gsetión de relaciones, contratos, así como la supervisión y monitoreo de su efectividad y
cumplimiento.
APO11 Gestionar calidad Definir y comunicar los requerimientos de calidad en todos los procesos, procedimientos y resultados, incluyendo
controles, monitoreo de continuidad y el uso de prácticas y estándares para el mejoramiento continuo y mayores
eficiencias.
APO12 Gestionar riesgos Continuamente identificar, evaluar y reducir los riesgos de TI a los niveles de tolerancia que define y configura la
gerencia ejecutiva de la compañía.
APO13 Gestionar seguridad Definir, operar y monitorear el sistema de gestión para la seguridad de la información.
www.eduardoleyton.cl
Dominios para Gestión
BAI: BUILDING-ACQUIRE-IMPLEMENT
(CONSTRUIR-ADQUIRIR-IMPLEMENTAR)
BAI01 Gestionar los programas Gestionar todos los programas y proyectos del portafolio de inversión in alineación con la estrategia de la compañía y
y proyectos en forma coordinada. Inicio, planeación, control y ejecución de los programas y proyectos así como el cierre y la
revisión post-implementación.
BAI02 Gestionar definición de Identificar soluciones y analizar los requerimientos antes de adquisición o construcción para asegurar que se
requerimientos encuentran alineados con la estrategia y cubre de manera apropiada los procesos de negocio, aplicaciones,
información/data, infraestructura y servicios. Corordinar la revisión de opciones factibles con los stakeholders
afectados, incluir un análisis de costos, beneficios, riesgos y un procedimiento de aprobación de requerimientos y
soluciones propuestas.
BAI03 Gestionar identificación Establecer y mantener soluciones en línea con los requerimientos de la compañía, cubriendo diseño,
y construcción de desarrollo/compra, asociación con proveedores/consultores. Configurar la configuración, pruebas, gestión de
soluciones requerimientos y mantenimiento de procesos de negocio, aplicaciones, información/data, infraestructura y
servicios.
BAI04 Gestionar disponibilidad Balancear las actuales y futuras necesidades de disponibilidad, desempeño y capacidad con provisión de servicios
y capacidad costo efectivos. Incluir una evaluación de capacidades actuales y pronosticar las necesidades futuras, con un análisis
de impacto en el negocio y evaluación de riesgo para planear e implementar acciones para lograr los requerimientos
identificados.
BAI05 Gestionar habilitación Maximizar al probabilidad de éxito implementando sostenibles cambios organizacionales ágilmente, controlando los
de cambios niveles de riesgo y cubriendo un completo ciclo de vida de cambios e involucrando a todos los stakeholders.
www.eduardoleyton.cl
Dominios para Gestión
BAI: BUILDING-ACQUIRE-IMPLEMENT
(CONSTRUIR-ADQUIRIR-IMPLEMENTAR)
BAI06 Gestionar cambios Gestionar todos los cambios de manera controlada, considerando tanto los normales como los de emergencia y
relacionados con procesos de negocio, aplicaciones e infraestructura. Esto incluye procedimientos de cambio,
evaluación de impacto, priorización, autorización, cambios de emergencia, monitoreo, reporte, cierre y
documentación.
BAI07 Gestionar aceptación y Aceptar formalmente y poner en funcionamiento las nuevas soluciones, incluyendo planes de implementación,
transición de cambios conversión de sistemas y datos, pruebas de aceptación, comunicación, preparación para la liberación y entrada a
producción de los nuevos cambios tanto en procesos como en TI, así como un soporte a producción y una revisión
post-implementación.
BAI08 Gestionar conocimiento Mantener la disponibilidad de conocimiento relevante, actualizado, válido y confiable para soportar todos los
procesos y facilitar la toma de decisiones. Generar planes para la identificación, recolección, organización,
mantenimiento, uso y retiro de conocimiento.
BAI09 Gestionar activos Gestionar los activos de TI a través de su ciclo de vida para asegurar que su uso, valor y costo cumplen el propósito,
estan protegidos y son realmente importantes para la disponibilidad, confiabilidad y capacidad de los servicios de TI.
Gestionar las licencias de softwara para asegurar que se cuenta con la cantidad óptima y se cumple con los acuerdos
de licenciamiento.
BAI10 Gestionar configuración Definir y mantener la descripción y relación entre los recursos y las capacidades requeridas para los servicios de TI,
incluyendo su configuración, baselines, verificación y auditoría de dicha configuración y manteniendo actualizados
los repositorios de configuración.
www.eduardoleyton.cl
Dominios para Gestión
DSS: DELIVER-SERVICE-SUPPORT
(ENTREGA-SERVICIO-SOPORTE)
DSS01 Gestionar operaciones Coordinar y ejecutar las actividades y procedimientos operacionales requeridos para los servicios de TI internos y de
outsourcing, incluyendo la ejecución de procedimientos estándares de operación predefinidos y actividades de
monitoreo.
DSS02 Gestionar Proveer oportuna y efectiva respuesta a los requerimientos de usuario así como dejar registro de los mismos.
requerimientos e Resolver todos los tipos de incidentes y restablecer el servicio normal, así como dejar registro de la investigación,
incidentes diagnóstico, escalamiento y solución de dichos incidentes.
DSS03 Gestionar problemas Identificar y clasificar los problemas y sus causas raíz, proveer soluciones oportunas, y ofrecer recomendaciones para
prevenir incidentes recurrentes.
DSS04 Gestionar continuidad Establecer y mantener un plan para negocio y TI que respondan a los incidentes e interrupciones para continuar la
operación de procesos de negocio y servicios de TI críticos manteniendo la disponibilidad de la información a un
nivel aceptable para la compañía.
DSS05 Gestión de la seguridad Proteger la información de la compañía para mantener el riesgo de seguridad de la información en un nivel aceptable
de servicios en concordancia con las políticas de seguridad y así mismo establecer y mantener los roles de seguridad de
información y los accesos privilegiados debidamente monitoreados.
DSS06 Gestionar controles de Definir y mantener apropiados controles de proceso de negocio para asegurar que la información relacionada
procesos de negocio satisface todos los requerimientos. Identificar los controles de información relevantes y procurar su operación.
www.eduardoleyton.cl
Dominios para Gestión
MEA: MONITOR-EVALUATE-ASSESS
(SUPERVISAR-EVALUAR-VALORAR)
MEA01 Monitorear, valorar y Recoger, validar y evaluar las metas e indicadores de los procesos de negocio y de TI. Monitorear que los procesos se
evaluar desempeño y ejecutan de acuerdo con el desempeño y conformidad acordado de metas y métricas, así como proveer estos
cumplimiento reportes sistemática y oportunamente.
MEA02 Monitorear, valorar y Monitorear y evaluar continuamente el ambiente de control, incluyendo autoevaluaciones y revisiones
evaluar control interno independientes. Habilitar a la administración para identificar deficiencias e ineficiencias de control e iniciar las
acciones de mejora. Planear, organizar y mantener estándares para evaluar el control interno y actividades de
aseguramiento.
MEA03 Monitorear, valorar y Evaluar que los procesos de negocio y TI cumplen con leyes, regulaciones y requerimientos contractuales. Asegurar
evaluar cumplimiento que los requerimientos son identificados y se cumplen de manera integrada en toda la compañía.
con regulaciones
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
EJERCICIO
….como trabajar con
COBIT 5
…como hacer un Programa de Auditoria!
www.eduardoleyton.cl
www.eduardoleyton.cl
GRAFICA RACI
Responsable
A rinde cta
C quién consulta
I quién informa
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
Ver formato Programa Auditoria
(OIG),
(OIE),
www.eduardoleyton.cl
Modelo de Madurez
La evaluación de procesos es muy usada como
técnica de benchmarking y ayuda a las
organizaciones a entender como esta su capacidad de
TI, determinar si es o no aceptable y que nivel desea
tener.
www.eduardoleyton.cl
Niveles de capacidad de
ISO15504 con sus atributos
CAPACIDAD ATRIBUTOS DESCRIPCION
Incompleto El proceso no logra su propósito o no
N/A
0 (Incomplete) existe.
Ejecución/desempeño del
Ejecutado (Performed) El proceso existe y logra el propósito.
1 proceso
se gestiona el desempeño del proceso:
Gestión de desempeño planeación, monitoreo y medición.
Gestionado (Managed)
Gestión de productos Se gestionan los productos del proceso:
2 establecen, controlan y mantienen.
Establecido Definición del proceso El proceso es definido basado en mejores
3 (Established) Desarrollo del proceso prácticas.
Gestión de proceso El proceso se realiza dentro de los límites
Predecible (Predictable)
4 Control de proceso definidos.
Optimizado Innovación de proceso
El proceso es mejorado continuamente.
5 (Optimising) Optimización de proceso
www.eduardoleyton.cl
Escala de calificación de atributos
www.eduardoleyton.cl
Beneficios de ISO15504
Evaluación robusta basada en ISO15504.
Alineación del modelo de madurez con un estándar
internacional.
Modelo basado en:
Procesos específicos derivados de PRM de Cobit 4.1 o
Cobit 5.
Habilidad para lograr atributos basados en ISO15504.
Requerimientos claros de evidencias.
Requerimientos de calificación y experiencia para el
asesor/auditor.
Resultados de la evaluación más robustos, objetivos y
repetibles."
www.eduardoleyton.cl
Pasos para la evaluación de
procesos
Iniciación
Planeación
Presentación (briefing)
Recolección
Validación
Rankeo de atributos
Reporte de resultados
www.eduardoleyton.cl
¿Porque es importante la
evaluación de procesos?
www.eduardoleyton.cl
Implementación
www.eduardoleyton.cl
El valor óptimo puede ser logrado con CobiT5, para lo cual
debe ser debidamente adoptado y adaptado a la empresa.
La implementación en cada empresa tiene diferentes
desafíos.
ISACA ofrece una guía de implementación basado en el
ciclo de vida de mejoramiento continuo con 7 fases.
La guía también incluye:
Medidas y herramientas de autoevaluación.
Presentaciones dirigidas a varias audiencias.
Artículos relacionados y explicaciones.
www.eduardoleyton.cl
Otros tópicos importantes para la implementación:
Hacer casos de negocio (business cases) para la
implementación y mejoramiento de gobierno y gestión de TI.
Reconocer los puntos de dolor (pain points) y eventos
disparadores (trigger events).
Crear el apropiado ambiente para la implementación.
Aprovechar a CobiT5 para identificar las brechas y guiar el
desarrollo de los habilitadores.
www.eduardoleyton.cl
Considerar el contexto de la
empresa al implementar Cobit
El contexto depende de factores internos y externos como:
Etica/cultura, regulación, misión/visión/valores, prácticas de
gobierno, modelo de operación, estilo de gerencia, apetito de riesgo,
capacidad y disponibilidad de recursos, prácticas de la industria, etc.
Factores clave de éxito para implementar:
La alta dirección provee la dirección y la iniciativa del proyecto,
así como el compromiso y soporte.
Todas las partes de gobierno y gestión deben participar y
entender el proyecto.
Asegurar efectiva comunicación y habilitación de los cambios.
Adaptar a la empresa las mejores prácticas de Cobit.
Enfocar en victorias tempranas (quick wins) y mejoras que
puedan ser fácilmente implementables.
www.eduardoleyton.cl
Ciclo de vida de
implementación
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl
www.eduardoleyton.cl