You are on page 1of 29

COBIT 5

EDWIN MAMANI TARQUI
IVAN APAZA CHIRI
RODOLFO SIRPA CALDERON

© 2018. La Paz — Bolivia.

Introducción

 Se constituye un recurso clave
para cualquier organización.
 Se crea, se usa, se retiene, se
divulga y se destruye.
 La tecnología juega un papel
clave en dichas actividades.
 La tecnología se está
convirtiendo en parte integral de
todos los aspectos de la vida
personal y comercial.

 La TI capacite y maximice los beneficios. Apoya a la organización al proveer un marco que asegura que:  La Tecnología de Información (TI) esté alineada con la misión y visión.  Los recursos de TI sean usados responsablemente.  Promueve el enfoque y la propiedad de los procesos.COBIT Control Objectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas).  Los riesgos de TI sean manejados apropiadamente.  Es un marco de control interno de Tecnologías de Información. .  Parte de la premisa de que las tecnologías de información requieren proporcionar información para lograr los objetivos de la organización.

.) Beneficios para las organizaciones  Mantener información de calidad para apoyar las decisiones de la organización.  Mantener el riesgo relacionado con TI a niveles aceptables.  Uso eficiente y fiable de la tecnología.  Optimizar el costo de la tecnología y los servicios de TI.COBIT (cont.  Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI).

1 COBIT 5 1996 1998 2000 2005/7 2012 .Evolución Gobernanza TI de la empresa BMIS Gobernanza IT Evolución del alcance (2010) Administración Val IT 2.0/4.0 (2008) Control Risk IT (2009) Auditoría COBIT1 COBIT2 COBIT3 COBIT4.

Principios .

Principios (cont.  Filtran la base de conocimiento de COBIT. en base de las metas corporativas para extraer una orientación relevante para la inclusión en los proyectos específicos de implementación.  Claramente identifican y comunican qué importancia tienen los habilitadores (algunas veces muy operacionales) para lograr las metas corporativas. .) 1 Satisfacción de las necesidades de las partes interesadas  Definen los objetivos y las metas tangibles y relevantes. mejora o aseguramiento. en diferentes niveles de responsabilidad.

 Cubre todas las funciones y los procesos dentro de la organización. . por todos en la Organización. es decir. en cualquier sistema de gobierno.Principios (cont. el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra. de una manera fluida. toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.) 2 Cubrir la organización de forma integral  Integra el gobierno de la TI corporativa en el gobierno corporativo. COBIT 5 no solamente se concentra en la ‘Función de la TI’. sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo.

Principios (cont. .  ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.) 3 Aplicar un solo marco integrado  Permite a la organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración.

individual y colectivamente. influyen sobre si algo funcionará – en el caso de COBIT.  Descritos por el marco de COBIT 5 en siete categorías.) 4 Posibilitar un enfoque holístico  Factores que. es decir. Gobierno y Administración sobre la TI corporativa.  Impulsados por las metas en cascada. las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.Principios (cont. .

bajo el liderazgo del Gerente General. la Administración es responsabilidad de la Gerencia Ejecutiva.Principios (cont.  Administración. .  Gobierno. En la mayoría de las organizaciones.) 5 Separar el gobierno de la gestión  El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.

Modelo de Referencia de Procesos de COBIT 5 .

Evaluar. con interesadas: aprobación por las partes interesadas de las metas. interesados. procesos y mantenimiento del marco de referencia de gobierno: prácticas facilitadoras. Asegurar que las adecuadas y suficientes capacidades relacionadas con las EDM04. las métricas y las acciones correctivas necesarias. procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo. Asegurar el establecimiento y empresa y pone en marcha y mantiene efectivas las estructuras. Asegurar la optimización de recursos: TI (personas. los de servicios TI y activos de las TI resultado de la inversión DOMINIO DE GOBIERNO: hecha por TI a unos costos aceptables. Procesos de Gobierno de TI Empresarial DOMINIO PROCESOS Analizar y articular los requerimientos para el gobierno de las TI de la EDM01. . articulados y comunicados y que el riesgo para el valor de la evaluando las necesidades de los empresa relacionado con el uso de las TI es identificado y gestionado. Asegurar la transparencia hacia las partes conformidad y desempeño de las TI de la empresa son transparentes. Asegurar la entrega de beneficios: negocios. Orientar y Supervisar (EDM): Asegura que los objetivos Asegurar que el apetito y la tolerancia al riesgo de la empresa son de la empresa sean logrados. las metas y objetivos de la empresa. Asegurar que la medición y la elaboración de informes en cuanto a EDM05. Asegurar la optimización del riesgo: entendidos. EDM03. con claridad de las responsabilidades y la autoridad para alcanzar la misión. Optimizar la contribución al valor del negocio desde los procesos de EDM02.

Es importante mencionar que la realización de la visión APO06. AP008. Gestionar el Portafolio: contribuir mejor con los objetivos del negocio. comunicada y APO07. Este dominio proporciona la dirección para la entrega de soluciones y la entrega de APO10. Gestionar los acuerdos de servicio: tecnológica apropiada. y finalmente.Procesos para la Gestión de la TI Empresarial DOMINIO PROCESOS APO01. APO11. Gestionar el Marco de Gestión de TI: APO02. Gestionar la Innovación: y tiene que ver con identificar la manera en que TI puede APO05. APO04. Gestionar los Recursos Humanos: administrada desde diferentes perspectivas. Planear y Organizar APO03. Gestionar la Calidad: APO12. Gestionar el Riesgo: APO13. Gestionar la Arquitectura Empresarial: (APO): Este dominio cubre las estrategias y las tácticas. Gestionar el Presupuesto y los Costes: estratégica requiere ser planeada. Gestionar las relaciones: la implementación de una estructura organizacional y AP009. Gestionar los Proveedores: servicios. Gestionar la Estrategia: DOMINIOS DE GESTION: Alinear. Gestionar la Seguridad: .

Gestionar los Cambios: el fin de cumplir una estrategia de TI. que sean BAI04. Gestionar la Disponibilidad y la Capacidad: entregados en tiempo y dentro del presupuesto. Gestionar los Activos: BAI10. Gestionar la Identificación y Construcción de Soluciones: dominio pretende cubrir. Procesos para la Gestión de la TI Empresarial DOMINIO PROCESOS BAI01. que los nuevos proyectos generen soluciones que satisfagan las necesidades del negocio. Gestionar la Aceptación del Cambio y la Transición: necesitan ser identificadas. que los nuevos BAI05. Gestionar la Facilitación del Cambio Organizativo: sistemas una vez implementados trabajen adecuadamente y que los cambios no afecten las operaciones actuales del negocio. Gestionar el Conocimiento: BAI09. como también implementadas e integradas en los procesos del negocio. Gestionar la Configuración: . Con BAI06. Adquirir e Implementar (BAI): La gerencia con este BAI03. desarrolladas o adquiridas. Gestión de Programas y Proyectos: BAI02. las soluciones de TI BAI07. BAI08. Gestionar la Definición de Requisitos: Construir.

incluyendo la prestación del servicio. Gestionar Operaciones: Entregar. la optimización de costos. DSS05. la administración de la seguridad y de la continuidad. Gestionar la Continuidad: asegurar que la fuerza de trabajo utilice los sistemas de modo productivo y seguro. DSS04. Gestionar Problemas: datos y de las instalaciones operativas. Dar Servicio y Soporte (DSS): Involucra la entrega en sí de los servicios DSS02. Procesos para la Gestión de la TI Empresarial DOMINIO PROCESOS DSS01. Gestionar Servicios de Seguridad: DSS06. la administración de los DSS03. la integridad y la disponibilidad. Gestionar Peticiones e Incidentes de Servicio: requeridos. el soporte a los usuarios del servicio. El objetivo es lograr que los servicios de TI se entreguen de acuerdo con las prioridades del negocio. Gestionar Controles de Proceso de Negocio: . implantar de forma correcta la confidencialidad.

los Requerimientos Externos: . además del control. el cumplimiento regulatorio y la aplicación del gobierno. Supervisar. Supervisar. para conocer su calidad y Conformidad. Con esto se obtendrá de MEA02. Evaluar y Valorar (MEA): La totalidad de los procesos de TI MEA01. Evaluar y Valorar el Sistema de manera oportuna la detección de problemas por medio de la medición del Control Interno. Procesos para la Gestión de la TI Empresarial DOMINIO PROCESOS Supervisar. cumplimiento y MEA03. Supervisar. cumplimiento de los requerimientos de control. la vinculación del desempeño de TI con las metas del negocio así como la medición y reporte de riesgos. desempeño. Evaluar y Valorar la Conformidad con desempeño. Evaluar y Valorar el Rendimiento y la deben de ser evaluados regularmente en el tiempo. Este dominio incluye la administración del desempeño. se garantiza que los controles internos sean efectivos y eficientes. el monitoreo del control interno.

COBIT 5 y la Seguridad de la Información .

para evaluar procesos de forma fiable.  Dimensión de la Capacidad del Proceso: Es el marco de medición que abarca los seis niveles de capacidad de proceso y sus atributos de proceso. Análisis de Madurez y Capacidad de Procesos COBIT propone el Modelo de Evaluación de Procesos. .  Dimensión del Proceso: Define un conjunto de procesos característicos con declaraciones de propósitos y resultado de cada proceso. consistente y repetible.

. PROCESOS El proceso ejecutado está implementado de forma gestionada y los resultados de su Nivel 2: Gestionado ejecución están establecidos.) El proceso no está implementado o no alcanza su propósito. El proceso establecido ahora se ejecuta dentro de límites definido para alcanzar sus Nivel 4: Predecible resultados de proceso. controlados y mantenidos apropiadamente. El proceso gestionado ahora está implementado usando un proceso definido que es Nivel 3: Establecido capaz de alcanzar sus resultados de proceso. El proceso predecible es mejorado de forma continua para cumplir con las metas Nivel 5: Optimizado empresariales presente y futuras.. Análisis de Madurez y Capacidad de Procesos (cont. Nivel 1: Ejecutado El proceso implementado alcanza su propósito. A este nivel hay muy poca NIVELES DE CAPACIDAD DE LOS Nivel 0: Incompleto o ninguna evidencia de algún logro sistemático del propósito del proceso.

. Optimizado cumplir los objetivos del negocio. Establecida estándares. NIVELES DE MADUREZ DE LA La organización implementa y alcanza los objetivos de los Nivel 1: Org.) La organización no tiene una implementación efectiva de los Nivel 0: Org. . Gestionada trabajo se establecen. ORGANIZACION La organización gestiona los procesos y los productos de Nivel 2: Org. controlan y mantienen. La organización mejora continuamente los procesos para Nivel 5: Org. Predecible La organización gestiona cuantitativamente los procesos. Nivel 4: Org. Básica procesos. Análisis de Madurez y Capacidad de Procesos (cont. Inmadura procesos. La organización utiliza procesos adaptados y basados en Nivel 3: Org.

Análisis de Madurez y Capacidad de Procesos (cont.) .

Operar y Monitorear (PBRM por su sigla en inglés).  Los cuatro dominios de la Administración están alineados con las áreas de responsabilidad de Planificar. dentro de cada proceso se definen las prácticas para Evaluar. Procesos habilitadores (catalizadores) El Modelo de Referencia de Procesos de COBIT 5 subdivide las actividades y prácticas de la Organización relacionadas con la TI en dos áreas principales – Gobierno y Administración – con la Administración a su vez dividida en dominios de procesos:  El dominio de Gobierno contiene cinco procesos de gobierno. . Construir. Dirigir y Monitorear (EDM).

4. Saber donde está parada la organización. Porqué lo estamos haciendo. Esto permite saber hasta donde puedo llegar de acuerdo a los recursos y tiempos. Implementación 1. Factores pueden ser la regulación. esta se debe llevar por etapas semejante al de una rueda. Visión de largo. tener claro lo que se va a desarrollar. pero se debe analizar donde se quiere estar a corto plazo para evaluar beneficios y resultados. . ¿Dónde queremos estar?. Establecer el nivel objetivo. ¿Dónde estamos ahora?. 3. cuestión de marca. 2. A la medida que se va trabajando. ¿Cuáles son los impulsores?. ¿Qué se necesita hacer?. TI debe evaluarse de forma justa. Enfocado a la planeación. a las personas que van a trabajar. transparente y correcta.

Que vaya mejorando.) 5. . 7. Las fases 5 y 6 se ejecutan de forma paralela para realizar la medición y evaluación día a día para posibilitar una mejora continua. Corresponde a la implementación y las acciones. La organización va mejorando. 6. ¿Cómo vamos a llegar allá?. Volver a iterar. ¿Cómo logramos que el impulso continúe?. ¿Llegamos donde queríamos estar?. Implementación (cont. Establecer objetivos periódicos y nuevas iniciativas. Realizar la medición correspondiente. También se deben de realizar evaluaciones periódicas que permitan tomar acciones de mejora.

Familia de Productos .

Productos Futuros de Apoyo  Guías Profesionales de Orientación:  COBIT 5 para la Seguridad de Información  COBIT 5 para el Aseguramiento  COBIT 5 para Riesgos  Guías de Orientación de los Habilitadores:  COBIT 5: Información Habilitadora  COBIT En Línea Reemplazo  COBIT Programa de Evaluación:  Modelo de Evaluación de Procesos (PAM): Usando COBIT 5  Guía para Asesores: Usando COBIT 5  Guía de Auto-Evaluación: Usando COBIT 5 .

Hacer posible un enfoque holístico. Satisfacer las necesidades de las partes interesadas. 2. 5. OTROS MARCOS: COMO  Exitoso e implementado por COBIT 5: QUE HACER muchas empresas. Separar el gobierno de la gestión. 4. Aplicar un marco de referencia único integrado. Conclusiones  COBIT es un marco de negocio De lo General a lo Particular para gobierno de gestión de TI.  Basado en 5 principios: HACERLO 1. 3. Cubrir la empresa de extremo a extremo. .

.Gracias por la atención dispensada.