Está en la página 1de 28

Nuevo modelo de evaluación de procesos de

TI de ISACA basado en COBIT (PAM)


Salomón Rico B.
Socio de Information & Techonology Risk Services – Deloitte
México
Salomón Rico B.
• Socio responsable de la práctica de Information and
Technology Risk (ITR) en Deloitte México Cluster {Su foto}
Monterrey.
• Cuenta con más de 20 de años de experiencia en
tecnología de información, los últimos 12 años en áreas de
gobierno, auditoria y seguridad de TI.
• Es licenciado en sistemas de computación administrativa y
obtuvo una maestría en administración de empresas por el
Tecnológico de Monterrey en México.
• Cuenta con las certificaciones CISA, CISM y CGEIT de
ISACA y actualmente es coordinador de la certificación
CISM de ISACA Capítulo Monterrey donde fungió como
presidente entre los años 2006 y 2008.
• Es miembro del knowledge board de ISACA Internacional
• Presidente del comité técnico de la conferencia Socio de I&TR services
CACS/ISRM (computer audit, control and security / Deloitte México
information security and risk management) de
Latinoamérica 2012.
Antecedentes
• ¿Qué significa el nuevo modelo de evaluación de procesos de
TI PAM con COBIT?
• ¿Por qué un nuevo modelo de evaluación si ya se tiene uno
actualmente?
• Las respuestas a estas y otras preguntas serán desarrolladas
en esta presentación introductoria a este nuevo modelo de
evaluación de procesos de TI.
• Esta sesión pretende cubrir las dudas que han surgido al
respecto y sentar las bases para iniciar con su aplicación.
• Este material está basado en la presentación de ISACA del
COBIT Assessment Programme con COBIT 4.1
Objetivos de la sesión
• Una comprensión inicial del
nuevo programa de
evaluación de procesos de
COBIT
• Un comprensión de su
relación con ISO/IEC 15504
y por qué ISACA seleccionó
este estandar
• Una revisión con uno de los
procesos clave de COBIT
4.1, DS1 Definir y
administrar los niveles de
servicio
¿Qué es una evaluación
de procesos?
• ISO/IEC 15504-4 identifica la evaluación de procesos
como una actividad que puede ser desarrollada ya
sea como parte de una iniciativa de mejora de
procesos o como parte de un enfoque para la
determinación de capacidades
• El propósito de una mejora de procesos es que
continuamente se mejore la efectividad y la eficiencia
de la empresa
• El propósito de una determinación de capacidades es
identificar las fortalezas, debilidades y riesgos de un
proceso seleccionado con respecto a un requerimiento
partícular del proceso y su alineación con la necesidad
del negocio
• Provee una metodología comprensible, lógica,
repetible, confiable y robusta para evaluar la capcidad
de los procesos de TI
¿Qué es el programa nuevo de
evaluación de procesos de COBIT?
• El programa de evaluación de COBIT (PAM)
incluye:
– COBIT Process Assessment Model (PAM): Using
COBIT 4.1
– COBIT Assessor Guide: Using COBIT 4.1
– COBIT Self Assessment Guide: Using COBIT 4.1

• El PAM contiene de manera integrada dos “pesos


pesados” ya probados en la arena de TI, ISO e
ISACA

• EL PAM adapta el contenido existente de COBIT


4.1 dentro de un modelo de evaluación de
procesos que cumple con el estándar ISO 15504
¿Qué es diferente entonces?
• ¿Pero no tenemos ya modelos de madurez para los procesos de
COBIT 4.1?
• El programa nuevo de evaluación de COBIT es:
– Un proceso de evaluación robusto basado en ISO 15504
– Una alineación del modelo de madurez de COBIT con el estandar
internacional
– Un modelo nuevo de evaluación basado en capacidades, el cual incluye:
• Requerimientos específicos de procesos obtenidos de COBIT 4.1
• La habilidad para lograr los atributos de los procesos basada en ISO 15504
• La evidencia de los requerimientos
• Requerimientos de experiencia y califiaciones por un asesor
• Da como resultado una evaluación más robusta, objetiva y repetible
• ¡Los resultados de la evaluación seguramente variarán respecto a los
modelos de madurez existentes!
Diferencias vs el modelo de

madurez actual de COBIT
El PAM utiliza un marco de medición que es similar en la terminología que existe
con los modelos de madurez actuales de COBIT 4.1
• Aún y cuando las palabras son similares, las escalas NO son las mismas:
– El PAM utiliza la escala de capacidades del ISO/IEC 15504, mientras que los modelos
actuales de madurez de COBIT usan una escala basada en SEI\CMM
– El nivel 3 de PAM NO es el mismo nivel 3 de CMM
– Las evalauciones que son hechas con PAM seguramente tendrán resultados “más bajos”
– Las evaluaciones con PAM están basadas en atributos mucho más definidos y defendibles
Nivel de madurez Procesos con ISO/IEC 15504
Procesos COBIT 4.1 Nivel de capacidad Atributo
5 Optimised 5 Optimizing PA 5.1 Process innovation
PA 5.2 Process optimization
4 Managed and 4 Predictable PA 4.1 Process measurement
measurable PA 4.2 Process control
3 Defined 3 Established PA 3.1 Process definition
PA 3.2 Process deployment
2 Repeatable but 2 Managed PA 2.1Performance management
intuitive PA 2.2 Work product management
1 Initial/ad hoc 1 Performed PA 1.1 Process performance
0 Non-existent 0 Incomplete
Introducción a la evaluación

Modelo de evaluación
De procesos

Proceso de evaluación

Este gráfico está basado en el ISO 15504-2:2003 con el permiso de ISO en www.iso.org. Copyright permanece con ISO.
Modelo de referencia de procesos (PRM)

Los objetivos medibles a alto nivel de desarrollar el proceso


y las salidas probables por una implementación efectiva del
proceso
Modelo de referencia de procesos (PRM)

Un resultado evidenciable del proceso – un artefacto, un


cambio significativo de estado o la consideración de
limitaciones específicas
Las actividades que, cuando son consistentemente
desarrolladas, contribuyen al logro del propósito del proceso

Los artefactos asociados con la


ejecución de un proceso –
definido en terminos de
“entradas” del proceso y “salidas”
del proceso
PRM Basado en COBIT 4.1
Process ID DS1
Process Name Define and Manage Service Levels
Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs.
Outcomes (Os) Number Description
DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base
definitions of services, roles, tasks and responsibilities of internal and external service providers and customers.
DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities.
DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs.
DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements.
Base Practices Number Description Supports
(BPs) DS1-BP1 Create a framework for defining IT services. DS1-O1
DS1-BP2 Build an IT service catalogue. DS1-O1, O2
DS1-BP3 Define SLAs for critical IT services. DS1-O2
DS1-BP4 Define OLAs for meeting SLAs. DS1-O3
DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4
DS1-BP6 Review SLAs and underpinning contracts. DS1-O4
DS1-BP7 Review and update the IT service catalogue. DS1-O1
DS1-BP8 Create a service improvement plan. DS1-O1
Work Products (WPs)
Inputs
Number Description Supports
PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4
PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4
PO2-WP5 Assigned data classifications DS1-O1
PO5-WP3 Updated IT service portfolio DS1-O4
AI2-WP4 Initial planned SLAs DS1-O3
AI3-WP7 Initial planned OLAs DS1-O3
DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1
ME1-WP1 Performance input to IT planning DS1-O1, O2
Outputs
Number Description Input To Supports
DS1-WP1 Contract review report DS2 DS1-O1, O4
DS1-WP2 Process performance reports ME1 DS1-O4
DS1-WP3 New/updated service requirements PO1 DS1-O2, O3
DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2
Copyright ISACAOLAs
DS1-WP5 2012. All rights
DS4 toreserved
DS8, DS11, DS13 DS1-O3 Slide 12
DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4
PRM Basado en COBIT 4.1
Process ID DS1
Process Name Define and Manage Service Levels
Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs.
Outcomes (Os) Number Description
DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions
of services, roles, tasks and responsibilities of internal and external service providers and customers.
DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities.
DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs.
DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements.
Base Practices Number Description Supports
(BPs) DS1-BP1 Create a framework for defining IT services. DS1-O1
DS1-BP2 Build an IT service catalogue. DS1-O1, O2
DS1-BP3 Define SLAs for critical IT services. DS1-O2
DS1-BP4 Define OLAs for meeting SLAs. DS1-O3
DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4
DS1-BP6 Review SLAs and underpinning contracts. DS1-O4
DS1-BP7 Review and update the IT service catalogue. DS1-O1
DS1-BP8 Create a service improvement plan. DS1-O1
Work Products (WPs)
Inputs
Number Description Supports
PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4
PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4
PO2-WP5 Assigned data classifications DS1-O1
PO5-WP3 Updated IT service portfolio DS1-O4
AI2-WP4 Initial planned SLAs DS1-O3
AI3-WP7 Initial planned OLAs DS1-O3
DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1
ME1-WP1 Performance input to IT planning DS1-O1, O2
Outputs
Number Description Input To Supports
DS1-WP1 Contract review report DS2 DS1-O1, O4
DS1-WP2 Process performance reports ME1 DS1-O4
DS1-WP3 New/updated service requirements PO1 DS1-O2, O3
DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2
DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3
Copyright ISACA 2012. All rights reserved Slide 13
DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4
Introducción a la evaluación

Este gráfico está basado en el ISO 15504-2:2003 con el permiso de ISO en www.iso.org. Copyright permanece con ISO.
Niveles de capacidad de procesos
Optimizado Nivel 5 Proceso optimizado
PA 5.1 Process innovation attribute
El proceso es mejorado continuamente para lograr las
PA 5.2 Process optimization attribute
metas relevantes del negocio actuales y proyectadas
Predecible
El proceso es institucionalizado
NIvel 4 Proceso predecible
PA 4.1 Process measurement attribute
consistentemente con limites establecidos
PA 4.2 Process control attribute

Establecido
Un proceso definido es utilizado Nivel 3 Proceso establecido
basado en un proceso estándar PA 3.1 Process definition attribute
PA 3.2 Process deployment attribute

Nivel 2 Proceso administrado Administrado


PA 2.1 Performance management attribute
El proceso está administrado y los
PA 2.2 Work product management attribute productos del trabajo están
establecidos, controlados y
mantenidos
Nivel 1 Proceso ejecutado Ejecutado
PA 1.1 Process performance attribute El proceso está implementado y
logra su propósito

Incompleto
Nivel 0 Proceso Incompleto El proceso no está implementado o falla para
lograr su propósito
Marco para la medición
• El proceso de evalaución de COBIT mide la extensión en la cual un
proceso dado logra los atributos específicos relativos a ese proceso
– “atributos del proceso”
• El proceso de evaluación de COBIT define 9 atributos de los
procesos (basados en ISO/IEC 15504-2)
– PA 1.1 Process performance
– PA 2.1 Performance management
– PA 2.2 Work product management
– PA 3.1 Process definition
– PA 3.2 Process deployment
– PA 4.1 Process measurement
– PA 4.2 Process control
– PA 5.1 Process innovation
– PA 5.2 Continuous optimisation
Ejemplos de atributos de procesos
Proceso de evaluación de COBIT

Este gráfico está basado en el ISO 15504-2:2003 con el permiso de ISO en www.iso.org. Copyright permanece con ISO.
Atributos de procesos y niveles de
capacidad
Optimizing
Predictable

ISO Established 9 Process Attributes Process Attribute Indicators


(PAI)
Managed

Performed

Incomplete

COBIT
Atributos de procesos y niveles de
capacidad
Optimizing
Predictable

Established

Managed

Performed

Incomplete

Este gráfico está basado en el ISO 15504-2:2003 con el permiso de ISO en www.iso.org. Copyright permanece con ISO. Slide 20
Rankeo de los atributos de procesos
• Los indicadores de la evaluación en el PAM son
utilizados para soportar el juicio de los asesores
en el rankeo de los atributos de los procesos:
– Proveen la base para la repetibilidad en las
evaluaciones
• El rankeo se asigna basado en una evidencia
objetiva y validada para cada atributo del
proceso
• Debe mantenerse la traceabilidad entre el rankeo
de un atributo y la evidencia objetiva utilizada
para determinar ese rankeo
Ejemplo de COBIT 4.1:
DS1 Define and manage service levels
Proceso de evaluación - Introducción

Este gráfico está basado en el ISO 15504-2:2003 con el permiso de ISO en www.iso.org. Copyright permanece con ISO.
Actividades en el proceso de
evaluación
1 Iniciación
2 Planeación
3 Presentación (Briefing)
4 Recolección de datos
5 Validación de datos
6 Rankeo de los atributos de procesos
7 Reportar los resultados
Información de Contacto

COBIT Assessment Programme: www.isaca.org/cobit-assessment-programme

srico@deloittemx.com
@salomon_rico
+52 81 81337351
Monterrey, N.L. México

www.deloitte.com/mx
Preguntas y Respuestas
¡Muchas Gracias
por su atención!

También podría gustarte