COBIT 5

EDWIN MAMANI TARQUI

IVAN APAZA CHIRI
RODOLFO SIRPA CALDERON

© 2018. La Paz — Bolivia.

Introducción

 Se constituye un recurso clave

para cualquier organización.
 Se crea, se usa, se retiene, se
divulga y se destruye.
 La tecnología juega un papel
clave en dichas actividades.
 La tecnología se está
convirtiendo en parte integral de
todos los aspectos de la vida
personal y comercial.
COBIT

Control Objectives for Information and Related Technology (Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas).
 Es un marco de control interno de Tecnologías de Información.
 Parte de la premisa de que las tecnologías de información requieren proporcionar
información para lograr los objetivos de la organización.
 Promueve el enfoque y la propiedad de los procesos.
Apoya a la organización al proveer un marco que asegura que:
 La Tecnología de Información (TI) esté alineada con la misión y visión.
 La TI capacite y maximice los beneficios.
 Los recursos de TI sean usados responsablemente.
 Los riesgos de TI sean manejados apropiadamente.
COBIT (cont.)

Beneficios para las organizaciones

 Mantener información de calidad para apoyar las decisiones de la organización.
 Generar un valor comercial de las inversiones habilitadas por la Tecnología de la
Información (TI).
 Uso eficiente y fiable de la tecnología.
 Mantener el riesgo relacionado con TI a niveles aceptables.
 Optimizar el costo de la tecnología y los servicios de TI.
Evolución

Gobernanza TI de la empresa

BMIS
Gobernanza IT
Evolución del alcance

(2010)

Administración Val IT 2.0

(2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Principios
Principios (cont.)

1 Satisfacción de las necesidades de las partes interesadas

 Definen los objetivos y las metas tangibles y relevantes, en diferentes
niveles de responsabilidad.
 Filtran la base de conocimiento de COBIT, en base de las metas
corporativas para extraer una orientación relevante para la inclusión en
los proyectos específicos de implementación, mejora o aseguramiento.
 Claramente identifican y comunican qué importancia tienen los
habilitadores (algunas veces muy operacionales) para lograr las metas
corporativas.
Principios (cont.)

2 Cubrir la organización de forma integral

 Integra el gobierno de la TI corporativa en el gobierno corporativo, es
decir, el sistema de gobierno para la TI corporativa propuesto por COBIT 5
se integra, de una manera fluida, en cualquier sistema de gobierno, toda
vez que COBIT 5 está alineado a los últimos desarrollos en gobierno
corporativo.
 Cubre todas las funciones y los procesos dentro de la organización; COBIT
5 no solamente se concentra en la ‘Función de la TI’, sino trata la
tecnología de la información y relacionadas como activos que necesitan
ser manejados como cualquier otro activo, por todos en la Organización.
Principios (cont.)

3 Aplicar un solo marco integrado

 Permite a la organización utilizar COBIT 5 como integrador macro en el
marco de gobierno y administración.
 ISACA está desarrollando el modelo de capacidad de los procesos para
facilitar al usuario de COBIT el mapeo de las prácticas y actividades
contra los marcos y normas de terceros.
Principios (cont.)

4 Posibilitar un enfoque holístico

 Factores que, individual y colectivamente, influyen sobre si algo
funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI
corporativa.
 Impulsados por las metas en cascada, es decir, las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes
habilitadores.
 Descritos por el marco de COBIT 5 en siete categorías.
Principios (cont.)

5 Separar el gobierno de la gestión

 El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y
la Administración.
 Gobierno. En la mayoría de las organizaciones el Gobierno es
responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente.
 Administración. En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente
General.
Modelo de Referencia de Procesos de
COBIT 5
 Procesos de Gobierno de TI
Empresarial
DOMINIO PROCESOS

Analizar y articular los requerimientos para el gobierno de las TI de la

EDM01. Asegurar el establecimiento y empresa y pone en marcha y mantiene efectivas las estructuras, procesos y
mantenimiento del marco de referencia de gobierno: prácticas facilitadoras, con claridad de las responsabilidades y la autoridad
para alcanzar la misión, las metas y objetivos de la empresa.

Optimizar la contribución al valor del negocio desde los procesos de

DOMINIO DE GOBIERNO:
Evaluar, Orientar y Supervisar
(EDM): Asegura que los objetivos
de la empresa sean logrados,
evaluando las necesidades de los
interesados.
EDM02. Asegurar la entrega de beneficios:
EDM03. Asegurar la optimización del riesgo:
EDM04. Asegurar la optimización de recursos:
EDM05. Asegurar la transparencia hacia las partes conformidad y desempeño de las TI de la empresa son transparentes, con
interesadas:
negocios, los de servicios TI y activos de las TI resultado de la inversión
hecha por TI a unos costos aceptables.
Asegurar que el apetito y la tolerancia al riesgo de la empresa son
entendidos, articulados y comunicados y que el riesgo para el valor de la
empresa relacionado con el uso de las TI es identificado y gestionado.
Asegurar que las adecuadas y suficientes capacidades relacionadas con las
TI (personas, procesos y tecnologías) están disponibles para soportar
eficazmente los objetivos de la empresa a un coste óptimo.
Asegurar que la medición y la elaboración de informes en cuanto a
aprobación por las partes interesadas de las metas, las métricas y las
acciones correctivas necesarias.
Procesos para la Gestión de la TI
Empresarial
DOMINIO
DOMINIOS DE GESTION: Alinear, Planear y Organizar
(APO): Este dominio cubre las estrategias y las tácticas,
y tiene que ver con identificar la manera en que TI puede
contribuir mejor con los objetivos del negocio. Es
importante mencionar que la realización de la visión
estratégica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas; y finalmente,
la implementación de una estructura organizacional y
tecnológica apropiada. Este dominio proporciona la
dirección para la entrega de soluciones y la entrega de
servicios.
PROCESOS
APO01. Gestionar el Marco de Gestión de TI:
APO02. Gestionar la Estrategia:
APO03. Gestionar la Arquitectura Empresarial:
APO04. Gestionar la Innovación:
APO05. Gestionar el Portafolio:
APO06. Gestionar el Presupuesto y los Costes:
APO07. Gestionar los Recursos Humanos:
AP008. Gestionar las relaciones:
AP009. Gestionar los acuerdos de servicio:
APO10. Gestionar los Proveedores:
APO11. Gestionar la Calidad:
APO12. Gestionar el Riesgo:
APO13. Gestionar la Seguridad:
 Procesos para la Gestión de la TI
Empresarial
DOMINIO
Construir, Adquirir e Implementar (BAI): La gerencia con este
dominio pretende cubrir, que los nuevos proyectos generen
soluciones que satisfagan las necesidades del negocio, que sean
entregados en tiempo y dentro del presupuesto, que los nuevos
sistemas una vez implementados trabajen adecuadamente y que
los cambios no afecten las operaciones actuales del negocio. Con
el fin de cumplir una estrategia de TI, las soluciones de TI
necesitan ser identificadas, desarrolladas o adquiridas, como
también implementadas e integradas en los procesos del negocio.
PROCESOS
BAI01. Gestión de Programas y Proyectos:
BAI02. Gestionar la Definición de Requisitos:
BAI03. Gestionar la Identificación y Construcción de Soluciones:
BAI04. Gestionar la Disponibilidad y la Capacidad:
BAI05. Gestionar la Facilitación del Cambio Organizativo:
BAI06. Gestionar los Cambios:
BAI07. Gestionar la Aceptación del Cambio y la Transición:
BAI08. Gestionar el Conocimiento:
BAI09. Gestionar los Activos:
BAI10. Gestionar la Configuración:
 Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS

DSS01. Gestionar Operaciones:

Entregar, Dar Servicio y Soporte (DSS): Involucra la entrega en sí de los servicios DSS02. Gestionar Peticiones e Incidentes de Servicio:
requeridos, incluyendo la prestación del servicio, la administración de la seguridad y
de la continuidad, el soporte a los usuarios del servicio, la administración de los DSS03. Gestionar Problemas:
datos y de las instalaciones operativas. El objetivo es lograr que los servicios de TI
se entreguen de acuerdo con las prioridades del negocio, la optimización de costos, DSS04. Gestionar la Continuidad:
asegurar que la fuerza de trabajo utilice los sistemas de modo productivo y seguro,
implantar de forma correcta la confidencialidad, la integridad y la disponibilidad. DSS05. Gestionar Servicios de Seguridad:

DSS06. Gestionar Controles de Proceso de Negocio:

 Procesos para la Gestión de la TI
Empresarial

DOMINIO PROCESOS

Supervisar, Evaluar y Valorar (MEA): La totalidad de los procesos de TI MEA01. Supervisar, Evaluar y Valorar el Rendimiento y la
deben de ser evaluados regularmente en el tiempo, para conocer su calidad y Conformidad.
cumplimiento de los requerimientos de control. Este dominio incluye la
administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno. Con esto se obtendrá de MEA02. Supervisar, Evaluar y Valorar el Sistema de
manera oportuna la detección de problemas por medio de la medición del Control Interno.
desempeño, se garantiza que los controles internos sean efectivos y
eficientes, la vinculación del desempeño de TI con las metas del negocio así
como la medición y reporte de riesgos, además del control, cumplimiento y MEA03. Supervisar, Evaluar y Valorar la Conformidad con
desempeño. los Requerimientos Externos:
COBIT 5 y la Seguridad de la
Información
 Análisis de Madurez y Capacidad de
Procesos

COBIT propone el Modelo de

Evaluación de Procesos, para evaluar
procesos de forma fiable, consistente y
repetible.
 Dimensión del Proceso: Define un
conjunto de procesos
característicos con declaraciones
de propósitos y resultado de cada
proceso.
 Dimensión de la Capacidad del
Proceso: Es el marco de medición
que abarca los seis niveles de
capacidad de proceso y sus
atributos de proceso.
 Análisis de Madurez y Capacidad de
Procesos (cont.)

El proceso no está implementado o no alcanza su propósito. A este nivel hay muy poca
NIVELES DE CAPACIDAD DE LOS

Nivel 0: Incompleto o ninguna evidencia de algún logro sistemático del propósito del proceso.

Nivel 1: Ejecutado El proceso implementado alcanza su propósito.

PROCESOS

El proceso ejecutado está implementado de forma gestionada y los resultados de su

Nivel 2: Gestionado
ejecución están establecidos, controlados y mantenidos apropiadamente.

El proceso gestionado ahora está implementado usando un proceso definido que es

Nivel 3: Establecido
capaz de alcanzar sus resultados de proceso..

El proceso establecido ahora se ejecuta dentro de límites definido para alcanzar sus
Nivel 4: Predecible
resultados de proceso.

El proceso predecible es mejorado de forma continua para cumplir con las metas
Nivel 5: Optimizado
empresariales presente y futuras.
 Análisis de Madurez y Capacidad de
Procesos (cont.)

La organización no tiene una implementación efectiva de los

Nivel 0: Org. Inmadura
procesos.
NIVELES DE MADUREZ DE LA

La organización implementa y alcanza los objetivos de los

Nivel 1: Org. Básica
procesos.
ORGANIZACION

La organización gestiona los procesos y los productos de

Nivel 2: Org. Gestionada
trabajo se establecen, controlan y mantienen.

La organización utiliza procesos adaptados y basados en

Nivel 3: Org. Establecida
estándares..

Nivel 4: Org. Predecible La organización gestiona cuantitativamente los procesos.

La organización mejora continuamente los procesos para

Nivel 5: Org. Optimizado
cumplir los objetivos del negocio.
Análisis de Madurez y Capacidad de
Procesos (cont.)
 Procesos habilitadores (catalizadores)

El Modelo de Referencia de Procesos de

COBIT 5 subdivide las actividades y
prácticas de la Organización relacionadas
con la TI en dos áreas principales –
Gobierno y Administración – con la
Administración a su vez dividida en
dominios de procesos:
 El dominio de Gobierno contiene cinco
procesos de gobierno; dentro de cada
proceso se definen las prácticas para
Evaluar, Dirigir y Monitorear (EDM).
 Los cuatro dominios de la Administración
están alineados con las áreas de
responsabilidad de Planificar, Construir,
Operar y Monitorear (PBRM por su sigla
en inglés).
 Implementación

1. ¿Cuáles son los impulsores?. Porqué lo estamos

haciendo. Factores pueden ser la regulación, cuestión
de marca.
2. ¿Dónde estamos ahora?. Saber donde está parada la
organización. Esto permite saber hasta donde puedo
llegar de acuerdo a los recursos y tiempos. TI debe
evaluarse de forma justa, transparente y correcta.
3. ¿Dónde queremos estar?. Establecer el nivel objetivo. A la
medida que se va trabajando, esta se debe llevar por
etapas semejante al de una rueda. Visión de largo, pero
se debe analizar donde se quiere estar a corto plazo
para evaluar beneficios y resultados.
4. ¿Qué se necesita hacer?. Enfocado a la planeación, a
las personas que van a trabajar, tener claro lo que se va
a desarrollar.
 Implementación (cont.)

5. ¿Cómo vamos a llegar allá?. Corresponde a la

implementación y las acciones. Realizar la medición
correspondiente.
6. ¿Llegamos donde queríamos estar?. Las fases 5 y 6 se
ejecutan de forma paralela para realizar la medición y
evaluación día a día para posibilitar una mejora
continua. También se deben de realizar evaluaciones
periódicas que permitan tomar acciones de mejora.
7. ¿Cómo logramos que el impulso continúe?. Volver a
iterar. Que vaya mejorando. Establecer objetivos
periódicos y nuevas iniciativas. La organización va
mejorando.
Familia de Productos
 Productos Futuros de Apoyo

 Guías Profesionales de Orientación:

 COBIT 5 para la Seguridad de Información
 COBIT 5 para el Aseguramiento
 COBIT 5 para Riesgos
 Guías de Orientación de los Habilitadores:
 COBIT 5: Información Habilitadora
 COBIT En Línea Reemplazo
 COBIT Programa de Evaluación:
 Modelo de Evaluación de Procesos (PAM): Usando COBIT 5
 Guía para Asesores: Usando COBIT 5
 Guía de Auto-Evaluación: Usando COBIT 5
 Conclusiones

 COBIT es un marco de negocio De lo General a lo Particular

para gobierno de gestión de TI.

OTROS MARCOS: COMO

 Exitoso e implementado por

COBIT 5: QUE HACER

muchas empresas.
 Basado en 5 principios:

HACERLO
1. Satisfacer las necesidades de las
partes interesadas.
2. Cubrir la empresa de extremo a
extremo.
3. Aplicar un marco de referencia
único integrado.
4. Hacer posible un enfoque holístico.
5. Separar el gobierno de la gestión.
Gracias por la
atención
dispensada.