Implementando COBIT

Por: Vctor Julio Ziga.MBA

eado
Alin

tiempo
or
Mej

Riesgos
De TI

Calidad
del
Servicio

Soporte al
Negocio

LOS MODELOS DE MEJORES PRCTICAS Y LAS METAS DE TI

Contro
lados
seguro
s

tiempo

tiempo

Mn

imo

tiempo

Tiempo de
Entrega

Costo del
Servicio

ALTA DIRECCIN

Rp

ido

tiempo

Modelo COBIT

(Control

objectives for Information Systems and related

Technology)

Modelo para evaluar y/o auditar la gestin y control

de los Sistemas de Informacin y Tecnologa (IT):

Guas
de
Auditora,
para
evaluar
y
seleccionar
las
reas
de
mejoramiento

Para
medir
la
Gestin de TI y
evaluar el avance
en
el
Mejoramiento.

Modelo COBIT
(Control objectives for
Information
Systems
and related Technology)

Modelo para evaluar y/o auditar

la gestin y control de los
Sistemas de Informacin y
Tecnologa (IT):

Es el resultado de una investigacin con expertos de

varios paises, desarrollado por la Information, Systems
Audit and Control Association ISACA.
Esta asociacin se ha constituido en el
organismo
normalizador y orientador en el control y la auditora de
los sistemas de Informacin y Tecnologa (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el mbito mundial.
4

Objetivos y Beneficios

Proveer un marco nico reconocido a nivel mundial de

las mejores prcticas de control y seguridad de TI

Consolidar y armonizar estndares originados en

diferentes paises desarrollados.

Concientizar a la comunidad sobre importancia del

control y la auditora de TI.

Enlaza los objetivos y estrategias de los negocios con la

estructura de control de la TI, como factor crtico de
xito

Aplica a todo tipo de organizaciones independiente de

sus plataformas de TI

Ratifica la importancia de la informacin, como uno de

los recursos ms valiosos de toda organizacin exitosa

COBIT - Misin

Investigar, desarrollar, publicitar, promover y mantener,

Un conjunto de Objetivos de Control de
Informacin y Tecnologa relacionada (IT),
Reconocidos y generalmente aceptados
en el mbito internacional
Para el uso permanente de los
Gerentes del negocio y los Auditores.

Regla de Oro del COBIT

A fin, de proveer la informacin

que la organizacin requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un
conjunto
de
procesos,
agrupados de forma adecuada y
normalmente aceptada.

La Estructura COBIT
La Estructura COBIT ha sido limitada a objetivos de
control de alto nivel en la forma de una necesidad del
negocio dentro de un proceso particular de TI, el logro
del cual est posibilitado por un objetivo de control,
para el cual se debe prestar consideracin a los
controles potencialmente aplicables.

La Estructura COBIT
COBIT se puede enfocar desde tres puntos ventajosos:

Next

Objetivos
del Negocio

COBIT

Informacin

Monitoreo

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento Legal
Confiabilidad

COBIT
Estructura
del Modelo

Planeacin y
Organizacin

Recursos de T.I.

Entrega y
Soporte

Datos
Aplicativos
Tecnologa
Facilidades
Personas

Adquisicin e
Implementacin
10

Consejos para Implementar CobiT?

Como CobiT est orientado al negocio, se lo puede utilizar directamente para
comprender los objetivos de control de TI para administrar los riesgos del
negocio relacionados con TI:
Comience en la Estructura con sus objetivos del negocio
Seleccione de los Objetivos de Control, los procesos y objetivos de

control de TI apropiados para su empresa

Opere desde su plan de negocios
Evale con las guas de Auditora los procedimientos y resultados
Evale con las Guas de Administracin el estado de su organizacin,

identifique las actividades crticas conducentes al xito y mida el

desempeo para alcanzar los objetivos de la empresa.

11

Actividades para Implantar

el Modelo COBIT

12

Evale con las guas de Auditora las Prcticas actuales.

Acepte los principios del Modelo Cobit y defina que la

organizacin lo adoptar e implementar
Como ha decidido adoptarlo tiene que familiarizarse
con l y ajustar sus procesos a sus requerimientos
Por lo tanto debe capacitarse y capacitar a
todos los funcionarios que tendrn relacin
no olvide que se parte de la estrategia
empresarial
Proceda a la Realizacin de la Evaluacin
de riesgos y a elaborar el Plan de
Evaluacin
13

APLICACIONES
TECNOLOGIA
FACILIDADES
DATOS
PERSONAS

P S

;;;

P P

Apego de Requerimient.
Externos
Evaluar Riesgos

P P

P P

S S

;;;;;

P P

P P

S ;;;;;

Planeacin y
Organizacin
P: Primario S: Secundario

P06
P07
P08
P09

RECURSOS

Comunicar la Dire, y
Objetivos
Administ. Recursos
Humanos

DOMINIO PO:

P
R
O
C
E
S
O
S

CRITERIOS
EFECTIVIDAD
EFICIENCIA
CONFIDENC.
INTEGRIDAD
DISPONIBILID
CUMPLIMIENTO
CONFIABILIDAD

COBIT - Navegacin

P10

Administrar Proyectos

P11

Administracin de la
calidad

S S ;
;
S S ;;;

14

OBJETIVOS DE CONTROL DE TI - DE ALTO NIVEL

DOMINIO PO: Planeacin y Organizacin
El control
sobre el

Proceso:
PO11:
Administrar
Calidad

Que satisface los

requerimientos
del negocio de:
Satisfacer
los
requerimientos
del cliente

Se logra
mediante:
La
planeacin,
implementacin
y
mantenimiento
de
estndares y sistemas
de administracin de
calidad por parte de la
organizacin.

Y tiene en
consideracin:
Estructura del Plan de
Calidad
Responsabilidades de
aseguramiento de la
Calidad.
Metodologas del ciclo
de vida de desarrollo
de sistemas.
Revisiones y reportes
de aseguramiento de la
calidad

15

Guas de Administracin de TI
La Administracin de TI y sus procesos con sus metas de
agregar valor al negocio, mientras balancean el riesgo
versus retorno
Asegurar la entrega de informacin al negocio que
requiere informacin crtica y es medible por los KGIs
Es facilitada por la creacin y mantenimiento de
un sistema de procesos y control apropiado para
el negocio y que dirige y monitorea el valor
agregado que entrega TI al negocio
Considera los CSFs que dirigen todos los
recursos de TI y que son medidos por los
KPIs
16

Estimacin de la Curva de Madurez de TI

No
Inicial Repetido
Existente

Smbolos utilizados

Definido Administrado

Optimizado

Smbolos utilizados

Estatus Empresarial Actual

0 No Existente Administracin de procesos no se aplicada a todos

Guas Estndares Internacionales

1 Inicial Los procesos son ad hoc y desorganizados

Mejores Prcticas de la Industria

2 Repedidos Los procesos siguen un patrn regular

Estrategia Empresarial

3 Definidos Los procesos son documentados y comunicados

4 Administrados Los procesos son monitoreados y medidos
5 Optimizados Se siguen las mejores prcticas y se automatizan

17

Modelo de la Curva de Madurez de TI

Se refiere a los requerimientos del negocio (KGI) y los aspectos

disponibles (KPI) en los diferentes niveles

Es una escala que se presenta para realizar una comparacin
pragmtica
Es una escala donde la diferencia puede ser hacerse medible en una
manera fcil
Es reconocida como un perfil empresarial en relacin con la
administracin y control de TI.
Asiste en la determinacin del Cmo es y el Ser, posiciones
relativas de la administracin y control maduro de la TI
Permite realizar el anlisis de la brecha para determinar que necesita
hacer alcanzar un determinado nivel
Generalmente no es aplicable a una industria especfica, la
naturaleza del negocio es quien determina cual es el nivel apropiado

18

Guas de Administracin de TI
Factores Crticos de xito
Las actividades de la Administracin de TI son integradas en la administracin de

los procesos empresariales y en la conducta de mando

La administracin de TI se enfoca en las metas empresariales, iniciativas

estratgicas, el uso de tecnologa para realizar el negocio y en disponer de

suficientes recursos y capacidades para responder a las demandas del negocio
Las actividades de la Administracin de TI son definidas con un claro propsito,

documentado e implementado, basado en las necesidades empresariales y con

responsabilidades que no sean ambigas
Las prcticas administrativas incrementan la eficiencia y optimizan el uso de los

recursos e incrementan la efectividad de los procesos de TI

Las prcticas organizacionales facilitan: control del ambiente/cultura; estimacin

del riesgo como una prctica estndar; grado de adeherencia a establecer

estndares; monitoreo y seguimiento de deficiencias de control y riesgo
19

Guas de Administracin de TI
Indicadores Claves de Metas
Realzar el desempeo y administracin de costos
Mejora el retorno de inversin de TI
Mejorar el tiempo de mercado
Incrementar la calidad, innovacin y la administracin del riesgo
Apropiada integracin y estandarizacin de los procesos de

negocio
Satisfacer a los clientes actuales y conseguir nuevos clientes
Reunir requerimientos y expectativas de los clientes de los
procesos
Adeherencia a las leyes, regulaciones, estndares de la industria y
acuerdos contractuales
Benchmarking de Administracin Madura de TI
Creacin de nuevos canales de entrega de servicios
20

Guas de Administracin de TI Ejemplos

Indicadores Claves de Desempeo
Mejorar el costo eficiencia de los procesos de TI (costo vs.

entrega)
Incrementar el nmero de planes de accin de TI para el

mejoramiento de los procesos

Incrementar la utilizacin de la infraestructura de TI
Incrementar la satisfaccin de los accionistas
Mejorar la productividad del staff (nmero de entregas)
Incrementar disponibilidad de conocimiento e informacin para la
administracin empresarial
Incrementar la liga entre la administracin de Ti y la empresarial
Mejorar el rendimiento mediante la medicin usando el Cuadro de
Mando Integral de TI
21

COMO EMPLEAR LOS RESULTADOS DEL BENCHMARK

Anlisis de las brechas y sus impactos
Porqu se dan las Brechas ?

Porque las Prcticas

Administrativas
De la Empresa aplicadas a la
Tecnolga de Informacin,
son diferentes a las
propuestas por el
Modelo COBIT.

Porque los niveles de

madurez objetivo y actual son
diferentes, porque hay
brechas en las mediciones
desarrolladas por medio de
los Factores claves de xito,
los indicadores de
cumplimiento de metas y los
indicadores del desempeo.

Anlisis de las brechas y sus impactos

22

COBIT- Aplicacin del Modelo

ALTA GERENCIA - UNIDADES de NEGOCIO - GERENCIA TI
EVALUACION

Dominios
TI (4)

ADMINISTRATIVA

Procesos/
Actividades
(34)

EVALUACION

(318)Objetivos
de control
(34) Guas
Auditoria de TI

AUDITORIA 3

PERSONALIZACIN DE LAS GUIAS

EJECUCIN DE LA AUDITORIA
1: Alto Nivel Control 2: Nivel Detallado Control 3: Nivel Detallado Auditora
23

Como Administrar el Proceso?

COMO EL PROCESO ES COMPLEJO Y REQUIERE DEL
MODELAJE DE INFORMACIN Y SU PROCESAMIENTO, EN LA
IMPLANTACIN SE REQUIERE DE UNA HERRAMIENTA
DE PRODUCTIVIDAD QUE LO SOPORTE

CON LA FINALIDAD DE PODER MEDIR LOS CAMBIOS EN LOS

PROCESOS DE NEGOCIO Y SU POSTERIOR IMPACTO EN LA
TECNOLOGA DE INFORMACIN

24

LOS MODELOS DE MEJORES PRCTICAS Y LAS METAS DE TI

La asignacin de responsabilidades
para realizar actividades especficas,
para grupos o individuos en la
Organizacin
Las Personas que soportan
Efectiva y eficientemente la
Administracin de los servicios
De TI

Estructura
Y
Roles
Gente
Gente

Mtricas
Metricas

Procesos

Controles
Controles
Los controles asignados a los
Procesos de TI, para asegurar la
Eficiencia y efectividad en la
atencin de los requerimientos
de los usurios.

La asignacin de
indicadores que permitirn
medir todas las actividades
realizadas por los recursos
de TI.

Tecnologa

Las actividades que son

realizadas por los clientes
internos y externos para
producir los productos de la
Organizacin.

La tecnologa que es
soportada y entregada por la
TI

25

LOS MODELOS DE MEJORES PRCTICAS Y LAS METAS DE TI

ITIL
ISO 17799
COBIT V3
Estructura
Y
Roles

Por determinar
Gente
Gente

COBIT V3
ISO 17799

COBIT V3
Mtricas
Metricas

Procesos

Controles
Controles
Tecnologa

COBIT
ITIL
ISO 17799

ITIL
26

COMO COMBINAR LOS MODELOS DE MEJORES

PRCTICAS ?

Qu vamos
A ser?

Visin y Objetivos

Qu somos
Ahora ?

Evaluacin de
Prcticas
Actuales

Como lo vamos a
Lograr ?

Diseo de los
Procedimientos
De TI

Como sabemos
Que lo logramos ?

Mtricas

BS 15000
ISO 17799
COBIT

ITIL
ISO 17799
COBIT

Cobit V3. Management Guides

27

COMO IMPLEMENTAR EL MODELO

Preguntas?

28