Está en la página 1de 0

Aplicacin del nuevo Modelo de

Evaluacin de Procesos (PAM)


basado en COBIT

A/S Gerardo Alcarraz, CISA, CRISC
Gerardo D. Alcarraz, CISA, CRISC es egresado de la Universidad ORT Facultad de Ingeniera con el
ttulo de Analista de Sistemas. Cuenta con 15 aos de experiencia en tareas relacionadas con Auditoria
de TI y Seguridad de la Informacin desempendose actualmente como Coordinador de Auditoria
Informtica en el Banco de la Repblica Oriental del Uruguay. Posee la certificacion MCP Microsoft
Certified Profesional.

Dentro de las actividades desarrolladas en el mbito de ISACA, ha integrado la Comisin Directiva del
Captulo Montevideo y siendo actualmente Past-President del mismo. Adems, es escritor oficial de
preguntas para el examen CISA, ha participado en la revisin de los Manuales de Revisin para dicha
certificacin entre los aos 2002 y 2011. A nivel acadmico, ha sido expositor en las Conferencias
Latinoamericanas de Auditoria, Seguridad y Control (Latin America Cacs) organizados por ISACA
Internacional, entre 1999 y 2011 desarrollados en la ciudades de Montevideo, San Jos de Costa Rica,
Acapulco, Panam, Bogot y Monterrey, San Juan de Puerto Rico y ha sido miembro del Comit de
Programa de dicha Conferencia en el ao 2006. Asimismo, ha sido expositor en el Information Security
Risk Management (2010) en Bogot y en varios eventos entre los que se destacan las Jornadas de
Seguridad Informtica y en las Jornadas Rioplatenses de Auditora Interna desarrolladas en Montevideo.

Por otra parte, ha sido docente en la Universidad ORT Facultad de Ingeniera sobre la materia Auditoria
y Seguridad en TI, y ha dictado cursos y talleres de preparacin de las certificaciones CIA y CISA a nivel
local e internacional.
Conferencista Biografa
Comprender el nuevo
programa de evaluacin
de procesos COBIT.
Analizar diferencias con
el nivel de madurez
CMMI.
Comprender la relacin
con la norma ISO/IEC
15504.
Ejemplo prctico.

Objetivos
Repaso Modelo de Madurez de COBIT 4.1
Establecimiento y
Medicin de metas
Los procesos administrativos no se aplican del todo.
Los procesos son ad hoc y desorganizados.
Los procesos siguen un patrn regular.
Los procesos se documentan y comunican.
Los procesos son monitoreados y medidos.
Se aplican buenas prcticas y automatizacin.
Atributos Nivel de Capacidad
O No existente
1 Inicial
2 Repetible
3 Definido
4 Administrado
5 Optimizado
Responsabilidad y
rendicin de cuentas
Habilidades y
experiencia
Herramientas y
automatizacin
Polticas, estndares,
y procedimientos
Conciencia y
comunicacin

Modelo de madurez CMMI - Objetivos
IT Process Capability Maturity
Initial Repeatable Defined Managed Optimised
Plan and Organise
PO1 Def ine a strategic IT plan.
PO2 Def ine the inf ormation architecture.
PO3 Determine the technological direction.
PO4 Def ine the IT process, organisation and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage risks.
PO10 Manage projects.
Acquire and Implement
AI1 Identif y automated solutions.
AI2 Acquire and maintain application sof tware.
AI3 Acquire and maintain technology inf rastructure.
AI4 Enable operation and use.
AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and changes.
Deliver and Support
DS1 Def ine and manage service levels.
DS2 Manage third-party services.
DS3 Manage perf ormance and capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identif y and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the conf iguration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
Monitor and Evaluate
ME1 Monitor and evluate IT perf ormance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
Modelo de madurez - Visin General
IT Process/Matdurez Conciencia y
Comunicacin
Pol{iticas, e
st{andares y
Procedimientos

Herramienttas y
Automatizacin

Habilidades y
Experiencia
Responsabilidad y
Rendici{on de
cuentas
Establecimiento y
Medicin de Metas


3 Definido

2 Repetible

1 Inicial

5 Optimizado
4 Administrado
Modelo de Madurez Visin por Atributos
Piloto en COBIT 4.1.
COBIT 5?

Modelo de Evaluacin de Procesos (PAM)
COBIT PAM adapta el contenido existente en COBIT 4.1 y
adaptar el de COBIT 5 al modelo de evaluacin de
procesos establecido en la ISO 15504.
Modelo de Evaluacin de Procesos (PAM)
La pregunta es ya no tenemos modelos de
madurez para los procesos COBIT ?
El nuevo programa de evaluacin de procesos de
COBIT:
Basado en la norma ISO 15504
Alinea la escala de los niveles de madurez de
COBIT con el estndar internacional.
Para lograrlo provee:
Requerimientos especficos para los
procesos COBIT
Pautas para lograr la aplicacin de los
atributos basados en la ISO 15504
Entregar evidencia objetiva de cada uno
de los atributos
Evaluacin independiente.
Los resultados de la evaluacin generalmente
podrn variar respecto a las existentes tomando
como referencia los niveles de madurez.

PAMQu hay de nuevo?
Overview de la Metodologa de Evaluacin
Modelo de Evaluacin de
Procesos
Proceso de Evaluacin
Modelo de Referencia
Objetivos medibles de alto nivel que se lograrn a partir de una
efectiva implementacin del proceso.
Las actividades que, cuando son consistentemente
ejecutadas contribuyen al logro del objetivo del proceso.
Los artefactos asociados con la
ejecucin de un proceso definido
en trminos de entradas y
salidas de un proceso.
Los resultados esperables de un proceso un artefacto,
con un cambio significante de estado que sirve para lograr el
objetivo del proceso
en COBIT 4.1
Process ID DS1
Process Name Define and Manage Service Levels
Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs.
Outcomes (Os) Number Description
DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base
definitions of services, roles, tasks and responsibilities of internal and external service providers and customers.
DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities.
DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs.
DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements.
Base Practices
(BPs)
Number Description Supports
DS1-BP1 Create a framework for defining IT services. DS1-O1
DS1-BP2 Build an IT service catalogue. DS1-O1, O2
DS1-BP3 Define SLAs for critical IT services. DS1-O2
DS1-BP4 Define OLAs for meeting SLAs. DS1-O3
DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4
DS1-BP6 Review SLAs and underpinning contracts. DS1-O4
DS1-BP7 Review and update the IT service catalogue. DS1-O1
DS1-BP8 Create a service improvement plan. DS1-O1
Work Products (WPs)
Inputs
Number Description Supports
PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4
PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4
PO2-WP5 Assigned data classifications DS1-O1
PO5-WP3 Updated IT service portfolio DS1-O4
AI2-WP4 Initial planned SLAs DS1-O3
AI3-WP7 Initial planned OLAs DS1-O3
DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1
ME1-WP1 Performance input to IT planning DS1-O1, O2
Outputs
Number Description Input To Supports
DS1-WP1 Contract review report DS2 DS1-O1, O4
DS1-WP2 Process performance reports ME1 DS1-O4
DS1-WP3 New/updated service requirements PO1 DS1-O2, O3
DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2
DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3
DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4
Mapeo Modelo de Referencia COBIT 4.1
en COBIT 4.1
Process ID DS1
Process Name Define and Manage Service Levels
Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs.
Outcomes (Os) Number Description
DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base
definitions of services, roles, tasks and responsibilities of internal and external service providers and customers.
DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities.
DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs.
DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements.
Base Practices
(BPs)
Number Description Supports
DS1-BP1 Create a framework for defining IT services. DS1-O1
DS1-BP2 Build an IT service catalogue. DS1-O1, O2
DS1-BP3 Define SLAs for critical IT services. DS1-O2
DS1-BP4 Define OLAs for meeting SLAs. DS1-O3
DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4
DS1-BP6 Review SLAs and underpinning contracts. DS1-O4
DS1-BP7 Review and update the IT service catalogue. DS1-O1
DS1-BP8 Create a service improvement plan. DS1-O1
Work Products (WPs)
Inputs
Number Description Supports
PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4
PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4
PO2-WP5 Assigned data classifications DS1-O1
PO5-WP3 Updated IT service portfolio DS1-O4
AI2-WP4 Initial planned SLAs DS1-O3
AI3-WP7 Initial planned OLAs DS1-O3
DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1
ME1-WP1 Performance input to IT planning DS1-O1, O2
Outputs
Number Description Input To Supports
DS1-WP1 Contract review report DS2 DS1-O1, O4
DS1-WP2 Process performance reports ME1 DS1-O4
DS1-WP3 New/updated service requirements PO1 DS1-O2, O3
DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2
DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3
DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4
Relacin de Componentes PAM
Inventario de Productos de Trabajo (WP)
Process ID DS1
Process Name Define and Manage Service Levels
Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs.
Outcomes (Os) Number Description
DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base
definitions of services, roles, tasks and responsibilities of internal and external service providers and customers.
DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities.
DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs.
DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements.
Base Practices
(BPs)
Number Description Supports
DS1-BP1 Create a framework for defining IT services. DS1-O1
DS1-BP2 Build an IT service catalogue. DS1-O1, O2
DS1-BP3 Define SLAs for critical IT services. DS1-O2
DS1-BP4 Define OLAs for meeting SLAs. DS1-O3
DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4
DS1-BP6 Review SLAs and underpinning contracts. DS1-O4
DS1-BP7 Review and update the IT service catalogue. DS1-O1
DS1-BP8 Create a service improvement plan. DS1-O1
Work Products (WPs)
Inputs
Number Description Supports
PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4
PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4
PO2-WP5 Assigned data classifications DS1-O1
PO5-WP3 Updated IT service portfolio DS1-O4
AI2-WP4 Initial planned SLAs DS1-O3
AI3-WP7 Initial planned OLAs DS1-O3
DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1
ME1-WP1 Performance input to IT planning DS1-O1, O2
Outputs
Number Description Input To Supports
DS1-WP1 Contract review report DS2 DS1-O1, O4
DS1-WP2 Process performance reports ME1 DS1-O4
DS1-WP3 New/updated service requirements PO1 DS1-O2, O3
DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2
DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3
DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4
Mapeo Modelo de Referencia COBIT 5
16
Overview de la Metodologa de Evaluacin
Niveles de Capacidad
Incompleto
Ejecutado
Gestionado
Establecido
Predecible
Optimizado
17
9 Atributos
Niveles de Capacidad de los Procesos -
Definicin
Diferencias entre los Modelos
PAM establece mayores exigencias que los niveles de
madurez de CMM.
Niveles 1 y 2 en CMM equivalen a nivel 0 en PAM.
El nivel 3 de CMM difiere en lo conceptual con el
nivel 3 de PAM.
Los niveles de capacidad por lo tanto no son 100 %
compatibles.
En PAM el nivel de capacidad est dado por el logro
de cada uno de los atributos.
Diferencias entre los Modelos

Relacin Niveles de Capacidad y Atributos
Atributos y Niveles de Capacidad
Nivel 0 Incompleto
Incompleto
El proceso no est implementado o tiene
fallas para lograr el propsito del proceso.
Nivel 1 Ejecutado
PA 1.1 Process performance attribute

Ejecutado
El proceso es implementado y
logrado de acuerdo al propsito del
proceso.
Nivel 2 Gestionado
PA 2.1 Performance management attribute
PA 2.2 Work product management attribute
Gestionado
El proceso es gestionado y los
productos de trabajo estn
establecidos, controlados y mantenidos.
Nivel 4 Predecible
PA 4.1 Process measurement attribute
PA 4.2 Process control attribute
Predecible
El proceso es promulgado consistentemente
dentro de lmites definidos.
Nivel 5 Optimizado
PA 5.1 Process innovation attribute
PA 5.2 Process optimization attribute
Optimizado
El proceso es continuamente mejorado para soportar las
metas actuales y proyectadas del negocio.
Nivel 3 Establecido
PA 3.1 Process definition attribute
PA 3.2 Process deployment attribute
Establecido
Un proceso definido es usado basado
en un proceso estndar.
22
La metodologa de evaluacin de procesos COBIT evala
el logro de los atributos del proceso
Atributos del Proceso Escala de Evaluacin
N No logrado 0 a 15%
Existe muy poca o no existe evidencia del logro de/los atributos definidos en el proceso
evaluado.

P Parcialmente logrado> 15% a 50%
Existe poca evidencia de un enfoque, y algn logro de los atributos definidos en el proceso
evaluado.. Algunos aspectos del logro del atributo pueden ser impredecibles.

L Largamente logrado> 50% a 85%
Existe evidencia de un enfoque sistemtico y un significante logro de/los atributos definidos
en el proceso evaluado.. Pueden existir algunas debilidades relativas a este atributo en el
proceso evaluado.

F Completamente (Full) logrado > 85% a 100%
Existe evidencia de un enfoque sistemtico y un logro completo de/los atributos definidos en
el proceso evaluado. Pueden existir debilidades poco significativas relativas a este atributo
en el proceso evaluado.
PA 2.2 Producto de Trabajo
PA 2.1 Gestin de la Performance
Nivel 2 - Gestionado
PA 1.1 Performance del Proceso Nivel 1 - Ejecutado
Nivel 0 - Incompleto
PA 3.2 Deployment
PA 3.1 Definicin
Nivel 3 - Establecido
PA 4.2 Control
PA 4.1 Medicin
Nivel 4 - Predecible
PA 5.1 Innovacin
PA 5.2 Optimizacin
Nivel 5 - Optimizado
1
L
/
F
2
L
/
F
F
F
3
L
/
F
F
4
L
/
F
F
F
F
L
/
F
5
F
F
F
F
L/F = Largely or Fully F= Fully
Escala de Atributos y Niveles de Capacidad

24
Indicadores de Capacidad del Proceso
Nivel 0 Incompleto
Nivel 1 Ejecutado
PA 1.1 Process performance attribute

Nivel 2 Gestionado
PA 2.1 Performance management attribute
PA 2.2 Work product management attribute
Nivel 4 Predecible
PA 4.1 Process measurement attribute
PA 4.2 Process control attribute
Nivel 5 Optimizado
PA 5.1 Process innovation attribute
PA 5.2 Process optimization attribute
Cada Atributo tiene asociado un conjunto
de prcticos genricas (GP) y un conjunto
de Productos de Trabajo genricos (GWP)
que debe contener el proceso a los efectos
de poder lograr COMPLETAMENTE los
resultados
Nivel 3 Establecido
PA 3.1 Process definition attribute
PA 3.2 Process deployment attribute
25
Indicadores de Capacidad
Evaluacin de Atributos

Nivel 1
Evaluacin de Atributos
Criterios asociados a
la escala de
evaluacin
Evaluar el logro del nivel 1
implica una evaluacin ms
detallada que para los
restantes niveles.
Cada proceso tiene definido
especficamente los resultados
a obtener y los productos de
trabajo que sirven para
evidencia.
Nivel 1
Evaluacin de Atributos
Ejemplo Evaluacin Nivel 1
3/3 100% - F
2/3 66% - L
1/3 33% - P
0/3 -- 0% - N
Ejecucin de
actividades
(Base Practice)
Apoyan la
Ejecucin (WP)
Obtencin de
Resultados (WP)
Ejemplo Evaluacin Nivel 1
Evaluar si los RESULTADOS del PROCESO han sido logrados
3/3 100% - F
2/3 66% - L
1/3 33% - P
0/3 -- 0% - N
Trazabilidad de la Evidencia
Evaluar el logro del nivel 2 al
5 implica una evaluacin de
prcticas y productos de
trabajo genricos que se
relacionan con cada uno de
los niveles.
Por lo tanto, no existen
especificaciones o evidencias
para cada PROCESO como
en el nivel 1.
Nivel 2 al 5
Evaluacin de Atributos

Nivel 2 al 5
Evaluacin de Atributos
Criterios asociados a la
escala de evaluacin
Ejemplo Evaluacin Nivel 2
Evaluar cuntos
criterios han sido
logrados para poder
realizar la escala de
evaluacin
4/4 100% - F
3/4 75% - L
2/4 50% - P
1/4 25% - P
0/4 -- 0% - N
NOT PARTIALLY LARGELY FULLY
PA 1.1 Performance del Proceso
PA 2.1 Gestin de la Performance
PA 2.2 Productos de Trabajo
PA 3.1 Definicin
PA 3.2 Deployment
PA 4.1 Medicin
PA 4.2 Control
PA 5.1 Innovacin
PA 5.2 Optimizacin
Evaluacin del Logro de los Atributos
Evaluacin Nivel 2 Para pasar al nivel 3 PA 2.1 y PA 2.2 tienen que estar Completos
Overview de la Metodologa de Evaluacin
36
1 Iniciacin

2 Planificacin

3 Briefing

4 Recoleccin de datos

5 Validacin de datos

6 Escala de valoracin de atributos

7 Reporte de los resultados
Actividades del Proceso de Evaluacin
37
Identificar el sponsor y definir el
propsito de la evaluacin:
Porque se lleva a cabo la evaluacin?
Definir el alcance de la evaluacin:
Qu procesos estn siendo evaluados?
Que limitaciones se aplicaran a la
evaluacin?
Identificar cualquier informacin
adicional que necesita ser obtenida.
Seleccionar los participantes de la
evaluacin, el equipo y definir los roles
de cada integrante.
Definir las entradas y salidas de la
evaluacin.
1. Iniciacin
38
Elaborar un plan de evaluacin que
describe todas las actividades ejecutadas
en el mismo.
Identificar el alcance del proyecto.
Asegurar los recursos necesarios para
ejecutar la evaluacin.
Determinar el mtodo de coleccin,
revisin, validacin y documentacin de la
informacin requerida para la evaluacin.
Coordinar las actividades de evaluacin
con las Unidades Organizacionales que
estn siendo evaluadas.
2. Planificacin
39
El lder de la evaluacin debe
asegurarse que el equipo
comprenda:
Entradas
Procesos
Salidas
Breve evaluacin de la unidad
organizacional
PAM, alcance de la evaluacin,
cronograma, limitaciones, roles
y responsabilidades, recursos,
requerimientos, etc.

3. Briefing
40
El asesor obtiene y documenta la
informacin del proceso,
incluyendo el propsito y los
productos de trabajo suficientes
para facilitar y soportar la
evaluacin.
La estrategia y tcnicas para la
seleccin, coleccin y anlisis de
datos y justificacin de las escalas
estn explcitamente identificadas
y demostrables.
Cada proceso identificado en el
alcance de la evaluacin es
evaluado sobre la base de
evidencias objetivas.


4. Recoleccin de Datos
41
Las acciones que son
tomadas para asegurar que
los datos sean exactos y
cubren el alcance de la
evaluacin incluyendo:
Buscar informacin de
primera mano y de fuentes
independientes.
Utilizacin de resultados de
evaluaciones pasadas.
Realizar sesiones para validar
la informacin obtenida.

5. Validacin de Datos
42
Para cada proceso evaluado,
asignar una escala para cada
atributo.
La escala est basada sobre
los datos validados en la
actividad anterior.
La trazabilidad debe ser
mantenida entre la evidencia
obtenida y la escala de
atributos asignado.
Para cada atributo evaluado
se registra la relacin entre el
indicador y la evidencia.

6. Escala de Valoracin de Atributos
43
Los resultados de la evaluacin son
analizados y presentados en un
reporte.
El reporte tambin cubre cualquier
aspecto clave obtenido durante la
evaluacin tales como:
- Fortalezas y debilidades observadas
- Hallazgos y anlisis de riesgos
- Recomendaciones para lograr el
nivel esperado

7. Reporte de los Resultados
44
Impacto de los Gaps de Capacidad
Nivel de Capacidad
donde el Gap ocurre
Naturaleza del Impacto Valoracin del Impacto
5 Proceso Optimizado Imposibilidad de lograr o evaluar
mejoras en los procesos
4 Proceso Predecible Imposibilidad para cuantificar la
performance o detectar
problemas en forma rpida
3 Proceso Establecido Inconsistente ejecucin del
proceso a travs de la
organizacin
2 Proceso Gestionado Costo o tiempo excesivos,
calidad del producto
impredecible
1 Proceso Ejecutado Productos de trabajo no
encontrados o resultados de
procesos no logrados
Niveles de Capacidad y Riesgos
Conclusiones
Estamos empezando
100 % alineacin
A autoevaluar
A certificar
PREGUNTAS ????????
GRACIAS !!!!!!
Gerardo Alcarraz, CISA, CRISC
gerardoalcarraz@gmail.com
Colaborar Contribuir Conectar
El Knowledge Center es una coleccin de
recursos y comunidades en lnea que conecta los
miembros de ISACA globalmente, sobre
industrias y por enfoque profesional todo en
un solo lugar. Usted puede agregar o responder
a una discusin, publicar un documento o link,
conectar con otros miembros de ISACA, o crear
un wiki por participando en una comunidad hoy!
http://www.isaca.org/Knowledge-Center