DIPLOMADO EN GOBIERNO

DE TECNOLOGÍAS, RIESGOS
Y SEGURIDAD DE LA
INFORMACIÓN
CURSO 1: GOBIERNO DE TECNOLOGÍAS DE
LA INFORMACIÓN CON COBIT 5

ING. JULIO CÉSAR MAMANI AMANCA

1
 o Nombre

o Rubro que laboran…

o ¿Cuál es su experiencia con Cobit?

o ¿Cuáles son sus expectativas del curso?

2
  Familiarización con los principios, habilitadores, introducción a la
implementación y evaluación de la capacidad de los procesos.
 Un vocabulario estandarizado para describir los procesos del marco de
trabajo.
 Un entendimiento de la relevancia de reconocer el Gobierno y la Gestión de
TI para mi organización.
 Preparación para el examen de certificación de COBIT 5 por APMG ®

3
 Tiempo
Título
aproximado
Introducción 1 hora
Visión y características clave de COBIT 5 1 horas
Principios de COBIT 5 4 horas
Habilitadores de COBIT 5 4 horas
Introducción a la implementación de COBIT 5 2 horas
Modelo de evaluación de la Capacidad de Procesos 3 horas
Total: 15 horas

4
 ⦁ Propósito del curso de fundamentos de COBIT 5.
⦁ Audiencia objetivo
⦁ Introducción y propósito de las guías de facilitadores.
⦁ Estructura del material
⦁ Preparación del examen.

5
  Tener el suficiente conocimiento y entendimiento
de las guías del COBIT 5, que conlleve al
entendimiento del Gobierno y Gestión de TI.

 Crear concientización a los ejecutivos de negocio y

la gerencia de TI.

 Evaluar el estado actual de TI de la organización

con los objetivos del alcance de los aspectos de
COBIT 5 que son apropiados para implementar.
 El curso y certificado del nivel de fundamentos es
un pre-requisito para los cursos de acreditación:
o Implementación & Assesor.
Fundations Training & certificate
Implementation Training &
certificate.
Assessor Training & certificate.
Implementing NIST Cybersecurity
Framework Using COBIT 5

Assesor for Security.

6
  Alta Dirección de la empresa.
 Alta Dirección de TI.
 Gerencia Ejecutiva / VP.
 Auditores Internos, Externos de TI.
 Profesionales de Seguridad de la Información.
 Consultores de TI.
 Analistas de TI.

7
 ⦁ El candidato al examen debe conocer los principios clave y terminología de COBIT 5.

⦁ Específicamente el candidato debe conocer y entender:

◦ Los motivadores del desarrollo del framework.
◦ Los beneficios del negocio usando COBIT 5.
◦ Arquitectura de COBIT 5.
◦ Los problemas y retos de la gestión de TI que afectan a la organización.
◦ Los 5 Principios clave de COBIT 5 para el Gobierno y la Gestión de TI.
◦ Como COBIT 5 habilita a TI para ser gobernada y gestionada de una manera
holística en toda la organización.
◦ Entender los conceptos clave en el Process Capability Assessment y de los
atributos clave del COBIT 5 PAM (Process Assessment Model).
◦ Como los Procesos de COBIT 5 y el Modelo de Referencia de Procesos (PRM) sirve
como ayuda guía para la creación de los 5 principios y 7 habilitadores del Gobierno
y la Gestión.

8
9
 La Asociación de Auditoría y Control de Sistemas de Información (Information Systems
Audit and Control Association) - web: www.isaca.org.
 1967: Es un grupo pequeño de personas con trabajos similares relacionados a
controles de auditoría en los sistemas que se estaban haciendo cada vez más críticos
y que discutieron la necesidad de tener una fuente centralizada de información y
guía.
 1969: El grupo se llamo EDP Auditors Association (Asociación de Auditores de
Procesamiento Electrónico de Datos).
 1976: La asociación se denominó como ISACA para llevar a cabo proyectos de
investigación de gran escala para expandir los conocimientos y el valor del campo de
la gobernabilidad y el control de TI.

10
 ISACA se encuentra presente en Asia, Norte y Latinoamérica, Europa, Africa y
Oceanía. Entre sus miembros incluyen auditores internos y externos, CEO’s, CFO’s,
CIO’s y profesionales en la educación, profesionales de control y seguridad de la
información, gerentes de negocio, estudiantes y consultores de TI.
Actualmente existen 200 capítulos en más de 80 países.

11
  Visión general y características clave de COBIT 5
 5 Principios de COBIT 5
 7 Habilitadores de COBIT 5
 Introducción a la implementación de COBIT 5
 Modelo de evaluación de capacidad de procesos
 Simulacro de examen de certificación

12
 Visión General de COBIT 5

13
 I. Introducción
II. Razones para el desarrollo de COBIT 5.
III. La historia de COBIT 5.
IV. Los motivadores para el desarrollo del Framework.
V. Los beneficios de utilizar COBIT 5.
VI. Formato y arquitectura del producto COBIT 5.
VII. COBIT 5 y otros marcos de trabajo.

14
  COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar
sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una
manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo
el equilibrio entre la generación de beneficios y la optimización de los niveles de
riesgo y el uso de recursos.

 Información disponible en: www.isaca.org/cobit

© 2012 ISACA. All rights reserved.

15
 - Compendio de mejores prácticas aceptadas
internacionalmente.
- Orientado al gerenciamiento de las
tecnologías de información.
- Complementado con herramientas y
capacitación.
- Gratuito.
- Respaldado por una comunidad de expertos
- Está en evolución permanente.
- Mantenido por una organización sin fines de
lucro, con reconocimiento internacional.
- Mapeado con otros estándares.
- Orientado a Procesos, sobre la base de
Dominios de Responsabilidad.

16
 - Estándares internacionales, una metodología.
- La solución a todos los problemas de TI.
- Sólo para empresas medianas y grandes.
- Muy costoso de implementar.
- El reemplazo a todos los demás estándares y
buenas prácticas de la industria.
- Obligatorio de implementar para las empresas
del sector financiero.

17
 ⦁ COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima
generación de guías sobre el Gobierno y la Administración de la información y los
Activos Tecnológicos de las Organizaciones.

⦁ Construido sobre más de 20 años de aplicación práctica, ISACA desarrolló COBIT 5

para cubrir las necesidades de los interesados, y alinearse a las actuales tendencias
sobre técnicas de gobierno y administración relacionadas con la TI

Lectura recomendada: «Where have all the Control Objetive Gone?»

Fuente: ISACA Journal

18
  Considerar la dependencia creciente del éxito de la
empresa en contratistas externos, proveedores, nube,
consultores, clientes.
 Tratar con la cantidad de información, que ha crecido
significantemente en el tiempo.
 Tratar TI mucho más parte integral de la empresa en los
proyectos empresariales, estructuras de organización,
gestión de riesgos, políticas, técnicas, procesos, etc.
 Proporcionar orientación adicional en el ámbito de la
innovación y las tecnologías emergentes.
 Cubrir completamente las responsabilidades funcionales
de TI y del negocio, y todos los aspectos que llevan a la
gestión y el gobierno eficaz de las TI de la empresa.
 Adquirir mejor control sobre soluciones de TI adquiridas
y controladas por los usuarios.

19
 Gobierno Corporativo de TI
Evolución del alcance

Alineamiento de TI y Negocio

Gestión de TI

Auditoría de TI

Control
interno
COBIT1 COBIT2 COBIT3 COBIT4/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Fuente: ITTi © 2012 ISACA® Todos los derechos reservados.

20
21
22
 ⦁ Val IT es un marco de referencia de gobierno que incluye principios rectores
generalmente aceptados y procesos de soporte relativos a la evaluación y
selección de inversiones de negocios de TI.

⦁ Risk IT es un marco de referencia normativo basado en un conjunto de

principios para una gestión efectiva de riesgos de TI.

⦁ BMIS (Business Model for Information Security) una aproximación holística y

orientada al negocio para la administración de la seguridad informática.

⦁ ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y

reporte de auditorias de TI y de tareas de evaluación de cumplimiento.

© 2012 ISACA. All rights reserved.

23
 Fuente COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.

24
  Proveer guía sobre:
o La arquitectura de la empresa.
o La gestión de activos y servicios de TI (desde un enfoque del negocio).
o Servicios emergentes y modelos organizacionales.
o Innovación y tecnologías emergentes.
 Responsabilidades en todo el negocio y en todo TI.
 Controles para los usuarios que inician las operaciones y para las soluciones
controladas por TI.

* Drivers / Conductores

25
 La empresa tiene necesidad de lograr:

o Crear valor a través del uso efectivo e innovador de TI.

o Satisfacción de los usuarios del negocio con el nivel de compromiso y los
servicios de TI.
o Mejorar la relación entre negocio y TI.
o Cumplir con leyes, regulaciones y políticas internas.
o Relaciones mejoradas entre necesidades de negocio y metas TI.
o Conecta y alinea con otros Frameworks y estándares importantes (p.e: NIST,
TOGAF, PRINCE2, PMBOK, ITIL, etc).

* Drivers / Conductores

26
 ¡NO es simplemente TI y no es sólo para empresas grandes!

◦ COBIT 5 trata sobre Gobernar y Gestionar la información

🞄 En cualquier medio donde sea utilizada.
🞄 A través de toda la empresa.
◦ La información es igualmente importante para:
🞄 Negocios globales y multinacionales.
🞄 Gobierno nacional, regional, local.
🞄 Empresas de caridad y sin ánimo de lucro.
🞄 Pequeñas y medianas empresas
🞄 Clubes y asociaciones.

27
  Gobierno: Asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través de
la priorización y la toma de decisiones; asimismo,
monitoreando el rendimiento y el cumplimiento
respecto a la dirección y metas acordadas.

 Gestión: Planifica, construye, ejecuta y controla

actividades alineadas con la dirección
establecida por el cuerpo de Gobierno para
alcanzar las metas empresariales.

28
  Las organizaciones y sus ejecutivos están
haciendo esfuerzos para: ¿Cómo se logran estos
◦ Mantener información de calidad para apoyar beneficios con el fin de crear
las decisiones del negocio. valor para las partes
◦ Generar un valor al negocio a partir de las interesadas de la organización?
inversiones habilitadas por TI. Es decir, lograr
metas estratégicas y mejoras al negocio
mediante el uso eficaz e innovador de la TI.
◦ Lograr una excelencia operativa mediante la
aplicación eficiente y fiable de la tecnología.
◦ Mantener el riesgo relacionado con TI a niveles
aceptables.
◦ Optimizar el costo de la tecnología y los
servicios de TI.

29
  Entregar valor a las partes interesadas de la organización, se requiere un buen
Gobierno y Gestión de los activos de TI y de la información.

 Los directivos, gerentes y ejecutivos de las organizaciones deben apoyar a TI como

cualquier otra parte importante del negocio.

 Cumplimiento de requisitos legales, regulatorio y contractual relacionados con el uso

de la información y la tecnología en la organización, amenazando el patrimonio si no
se cumplen.

 Dar marco integral que ayuda a las organizaciones a lograr su metas y entregar valor
mediante un gobierno y una gestión efectivos de la TI de la organización.

 Proporcionar orientación adicional en el ámbito de la innovación y las tecnologías

emergentes.

30
  Ayuda a las organizaciones a crear un valor óptimo a partir de la TI, al mantener un
equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y
utilización de los recursos.

 Permite que las TI se gobiernen y gestionen de una manera holística a nivel de toda la
organización, incluyendo el alcance completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los intereses relacionados con la TI de las
partes interesadas internas y externas.

 Los principios y habilitadores de COBIT 5 son genéricos y útiles para las organizaciones
de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

 Cubrir completamente las responsabilidades funcionales de TI y del negocio, y todos los

aspectos que llevan a la gestión y el gobierno eficaz de las TI de la empresa, tales como
estructuras organizativas, políticas y cultura, además de los procesos.

 Crea un lenguaje común entre TI y el negocio para el gobierno y la gestión de TI de la

empresa.

31
 Las empresas están bajo presión constante de:
◦ Incrementar la realización de beneficios mediante el
uso efectivo e innovación de TI.
🞄 Generar valor de negocio de nuevas inversiones
empresariales invirtiendo en TI como apoyo.
🞄 Lograr una excelencia operacional de la aplicación
de la tecnología.
◦ Mantener los riesgos de TI a niveles aceptables.
◦ Controlar los costos de servicios de TI y tecnologías.
◦ Asegurar la colaboración de TI y el negocio, que
conduzca a la satisfacción del usuario de negocio con
el compromiso de TI y sus servicios.
◦ Cumplir con las leyes, regulaciones y políticas
internas.

32
 ⦁ Simplificado:
◦ COBIT 5 directamente se enfoca en las necesidades del lector desde distintas
perspectivas.
◦ El desarrollo continua con guías profesionales específicas.
⦁ COBIT 5 presenta inicialmente 3 volúmenes:
◦ El Marco de Trabajo (Framework).
◦ La guía de Referencia de Procesos.
◦ La guía de Implementación.
⦁ COBIT 5 está basado en:
◦ 5 principios
◦ 7 habilitadores / facilitadores/catalizadores

33
34
35
 1. ISO/IEC 38500
6 principios del ISO están mapeados con COBIT 5 (Apéndice E).

2. ITIL®
Las siguientes áreas y dominios de COBIT 5 están cubiertas por ITIL:
◦ Un subconjunto de procesos en el domino DSS.
◦ Un subconjunto de procesos en el dominio BAI.
◦ Algunos procesos en el dominio APO.

3. ISO/IEC 27000:
Las siguientes áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000:
◦ Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.
◦ Varias actividades relacionadas con la seguridad dentro de procesos en otros
dominios.
◦ Actividades de supervisión y evaluación del dominio MEA.

36
 4. ISO/IEC 31000
Las siguientes áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 31000:
◦ Procesos relativos a la gestión del riesgo en los dominios EDM y APO.

5. Integración de Modelos de Madurez de las Capacidades (CMMI)

◦ Procesos relativos con construir y adquirir aplicaciones en BAI.
◦ Algunos procesos relacionados con calidad y organización en APO.

6. PRINCE2® (Projects IN Controlled Enviroments) – ISO 21500

Las siguientes áreas y dominios COBIT 5 están cubiertas por PRINCE2:
◦ Los procesos relativos al Portafolio en el dominio APO.
◦ Procesos de gestión de Programas y Proyectos en el dominio BAI.

37
 Fuente: ISACA. “COBIT 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la
Empresa», fig. 25.
38
 7. TOGAF® (The Open Group Architecture Framework)
◦ Procesos relativos a los recursos en el dominio EDM (gobierno) .
◦ Los componentes TOGAF en el Comité de Arquitectura y áreas de Gobierno.
Varios componentes de TOGAF se mapean con la práctica COBIT 5 de provisión de
servicios para la arquitectura de la empresa. Esto incluye:
– Gestión de los Requisitos ADM.
– Principios de Arquitectura.
– Gestión de las Partes Interesadas.
– Evaluación de la Disposición a la Transformación del Negocio.
– Gestión del Riesgo.
– Planificación basada en las Capacidades.
– Conformidad con la Arquitectura.
– Contratos de Arquitectura.

39
  Simplificado:
◦ COBIT 5 directamente se enfoca en las necesidades del lector desde diferentes
perspectivas.
◦ El desarrollo continua con guías profesionales específicas.
 COBIT 5 presenta inicialmente 3 volúmenes:
◦ El Framework.
◦ La guía de referencia de procesos.
◦ La guía de implementación.
 COBIT 5 está basado en:
◦ 5 principios.
◦ 7 habilitadores / facilitadores / catalizadores.

40
41
  Visión y características clave de COBIT 5

 7 Habilitadores de COBIT 5
 Introducción a la implementación de COBIT 5

 Modelo de evaluación de capacidad de procesos

 Simulacro de examen de acreditación

42
  Principio 1: Satisfacer las necesidades de las Partes Interesadas
 Principio 2: Cubrir la Compañía de Forma Integral
 Principio 3: Aplicar un solo Marco Integrado
 Principio 4: Habilitar un Enfoque Holístico
 Principio 5: Separar el Gobierno de la Gestión

43
 COBIT 5 resumió 5 acciones que las
organizaciones pueden realizar para
Gobernar y Gestionar efectivamente
su información y su tecnología. Los
principios, que forman la base del
marco de referencia COBIT 5, pueden
beneficiar a cualquier empresa, sin
importar su tamaño, ubicación o
industria.

44
 Las compañías existen para crear valor para sus partes interesadas (stakeholders).

Necesidades de
las partes
interesadas

Objetivos del Gobierno: Creación de valor

Realización de Optimización del Optimización de

Beneficios Riesgo Recursos

Creación de valor: Realización de beneficios con el uso óptimo de recursos mientras

que se optimizan los riesgos.
Fuente: COBIT® 5, Figura 3. © 2012 ISACA® Todos los derechos reservados.

45
 ⚫ Las necesidades de las Partes Interesadas deben Impulsadoresde las Partes Interesadas
(Medio Ambiente, Evolución Tecnológica, …)
ser transformadas en una estrategia accionable
para la organización. Influencian

Necesidades de las Partes Interesadas

⚫ Las metas en cascada de COBIT 5 traducen las
Realización Optimización Optimización
necesidades de las Partes Interesadas en metas de Beneficios de Riesgos de Recursos
específicas, accionables y personalizadas dentro
del contexto de la organización, de las metas Se traduce en
relacionadas con la TI y de las metas
habilitadoras. Metas de la Organización

Define a Pasan a

Proporciona una guía orientadora para establecer un

vínculo coherente y consistente que permita traducir las Metas Relacionadas con TI
necesidades de todos los interesados del negocio en
objetivos específicos de la empresa, que dan origen a Se cumple con Pasan a

objetivos de TI y a objetivos habilitadores.

Metas Habilitadoras

46 Fuente: COBIT® 5, Figura 4. © 2012 ISACA® Todos los derechos reservados

 Los beneficios de las Metas en Cascada de COBIT 5:
⚫ Permite definir las prioridades para implementar, mejorar y asegurar el gobierno
corporativo de la TI, en base de los objetivos (estratégicos) de la organización y los
riesgos relacionados.

⚫ En la práctica, las metas en cascada:

• Definen los objetivos y las metas tangibles y relevantes, en diferentes niveles de
responsabilidad.
• Filtran la base de conocimiento de COBIT 5, en base de las metas corporativas
para extraer una orientación relevante para la inclusión en los proyectos
específicos de implementación, mejora o aseguramiento.
• Identifican claramente y comunican qué importancia tienen los habilitadores
(algunas veces muy operacionales) para lograr las metas corporativas.

47
 Las preocupaciones de los stakeholder externos incluyen:

Stakeholders Externos Necesidades

Socios de negocio, proveedores,  ¿Cómo puedo saber que las operaciones de mi
accionistas, reguladores/gobierno, socio de negocio son seguras y confiables?
usuarios externos, clientes,
auditores externos, consultores y  ¿Cómo puedo saber que la organización
entre otros. cumple con las reglas y regulaciones
aplicables?

 ¿Cómo puedo conocer si la empresa mantiene

un sistema efectivo de control interno?

48
 Las preocupaciones de los stakeholder internos incluyen:

Stakeholders Internos Necesidades

Consejo de la Dirección,  ¿Cómo puedo obtener valor del uso de TI?
CIO, CFO, CISO, CPO, CRO,  ¿Cómo puedo administrar el rendimiento de TI?
Jefe de Producción,  ¿Cómo puedo mejor explotar las nuevas tecnologías
auditores internos, entre para nuevas oportunidades estratégicas?
otros.  ¿Cómo puedo saber si estoy cumpliendo con las
leyes y regulaciones aplicables?
 ¿Cuento con operaciones de TI resilientes y
eficientes?
 ¿Cómo puedo controlar los costos de TI?
 ¿La información de los procesos se encuentra
adecuadamente y apropiadamente asegurada?
 ¿Qué tan crítica es TI para el soporte de la empresa?
 ¿Qué hago si TI no se encuentra disponible?

49
 Paso 1: Identificar que influencias llegan a los stakeholders.
Por ejemplo:
 Cambio en la estrategia.
 Cambios en el entorno de negocio.
 Cambios en el entorno regulatorio y las leyes.
 Tecnologías nuevas y emergentes.

50
51
 Paso 2: Cascada de las Necesidades de las Partes Interesadas con las Metas del
negocio.

 Ver Apéndice D. Stakeholders mapeados con las metas de la empresa.

 17 metas genéricas del negocio en el marco de trabajo, las que han sido incluidas
con el Cuadro de Mando Integral (CMI), junto las 3 principales objetivos del
Gobierno (Obtener Beneficios, Optimizar Riesgos y Recursos).

 Indica las relaciones Primarias (P) y Secundarias (S) con el negocio.

52
53
 Paso 3 - Cascada de Metas del Negocio con las Metas de TI.

17 metas genéricas relacionadas con TI que están categorizadas dentro del CMI (BSC
en inglés). Ver el Apéndice B, figura 22 (framework) para ver las relaciones entre las
metas del negocio con TI.

54
55
56
 Paso 4: Cascada de Metas de TI con las Metas de los Habilitadores.

Los procesos son uno de los habilitadores. Estos están representados en el Módulo
de Referencia de Procesos (MRP) - 37 procesos. Revisar el mapeo mostrado en el
Apéndice C, Figura 23 (framework).

57
58
 ⚫ Las organizaciones tienen muchas partes interesadas y “crear valor” significa cosas
diferentes – a veces conflictivas – para cada una de ellas.

⚫ El Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de

las diferentes partes interesadas.

⚫ El Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con
respecto a la evaluación de riesgos, los beneficios y la gestión de los recursos.

⚫ Para cada decisión se debe preguntar:

- ¿Quién recibe los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se necesitan?

59
 Esto significa que COBIT 5:
 Integra el Gobierno de TI y el Gobierno Corporativo.
 Cubre todas las funciones y requerimientos para gobernar y gestionar la
información de la empresa y relacionado a TI, donde quiera que la información
sea procesada.
 COBIT 5 direcciona todos los servicios TI relevantes internos y externos.
 No se enfoca únicamente en la «función de TI».

60
 Los componentes
claves de un sistema
de Gobierno

Fuente COBIT® 5, Figura 8 y 9. © 2012 ISACA® Todos los derechos reservados.

61
 Acercamiento a los elementos principales de gobierno:

Habilitadores de Gobierno que comprenden:

⚫ Recursos de la organización para el gobierno.
⚫ Los recursos empresariales.
⚫ Una falta de recursos a los habilitadores pueden afectar la posibilidad de creación
de valor por la organización.

Alcance del Gobierno que comprenden:

⚫ A toda la organización.
⚫ A una entidad, activos tangibles o intangibles, etc.

62
  Roles, actividades y relaciones de Gobierno:
 Define QUIEN está involucrado con el Gobierno.
 COMO están involucradas.
 QUE hacen.
 CÓMO interactúan.

 COBIT 5 define la diferencia entre las actividades del Gobierno y la Gestión en

el Principio 5.

63
  COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
⚫ Corporativo: COSO ERM, ISO/IEC 9000, ISO/IEC 31000
⚫ Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI, etc.
 Así se permite a la organización utilizar COBIT 5 como integrador marco en
Gobierno y Gestión.
 Integra el conocimiento que antes estaba disperso en diferentes marcos de
referencia de ISACA.
 Otorga una arquitectura sencilla para contar con guías de ISACA.

64
65
 COBIT 5 y otros marcos de trabajo de ISACA:

66
67
 Los Habilitadores de COBIT 5 son:
⦁ Factores que, individual y colectivamente, influyen sobre si algo funcionará – en
el caso de COBIT, Gobierno y Gestión sobre la TI corporativa.
⦁ Impulsados por las metas en cascada; es decir, las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.
⦁ Descritos por el marco de COBIT 5 en 7 categorías.

68
 Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.

69
 Los 7 Habilitadores son:
1. Procesos
Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro
de las metas globales relacionadas con la TI.

2. Estructuras Organizacionales
Constituyen las entidades claves para la toma de
decisiones en una organización.

3. Cultura, Ética y Comportamiento

De los individuos así como de la organización; se
subestima frecuentemente como factor de éxito en las
actividades de gobierno y administración.

70
 4. Principios, Políticas y Marcos
Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la
administración diaria.

5. Información
Toda la información producida y usada por la
organización. La información es requerida para
mantener la organización andando y bien gobernada,
pero a nivel operativo, la información frecuentemente
es el producto clave de la organización en si.

71
 6. Servicios, Infraestructura y Aplicaciones
Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y
procesamiento de tecnología de la información
a la organización.

7. Personas, Habilidades y Competencias

Están vinculadas con las personas y son
requeridas para completar exitosamente todas
las actividades y para tomar las decisiones
correctas, así como para llevar a cabo las
acciones correctivas.

72
 ⚫ Administración y Gobierno sistémico mediante habilitadores interconectados
Para lograr los objetivos principales de la organización, siempre debe considerarse
una serie interconectada de habilitadores, o sea, cada habilitador:
⚫ Necesita una entrada de otros habilitadores para ser completamente efectivo,
o sea, los procesos necesitan información, las estructuras organizacionales
necesitan habilidades y comportamiento.
⚫ Entrega un producto de salida a beneficio de otros habilitadores, o sea, los
procesos entregan información, las habilidades y el comportamiento hacen
que los procesos sean eficientes.

⚫ Esto constituye un principio clave que surge del trabajo de desarrollo de ISACA en
el Modelo de Negocios para la Seguridad de la Información (BMIS por su sigla en
inglés).

73
 Las Dimensiones Habilitadores de COBIT 5:
Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de
dimensiones comunes:
◦ Proporciona una manera común, sencilla y estructurada para tratar los habilitadores.
◦ Permite a una entidad manejar sus interacciones complejas.
◦ Facilita resultados exitosos de los habilitadores.

Partes Metas Ciclo de Vida Buenas Prácticas

Dimensión de

Calidad Intrínseca Planificar

Habilitadores

Interesadas • • • Prácticas
• Calidad Contextual • Diseñar • Productos de Trabajo
• Internas (Relevancia, • Construir/Adquirir/ (Entradas/Salidas)
• Externas Efectividad) Crear/Implementar
• Accesabilidad y • Usar/Operar
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer

¿Se atienden las

¿Se Logran las Metas de ¿Se administra el ¿Se aplican Buenas
Necesidades de las
los Habilitadores? Ciclo de Vida? Prácticas?
Partes Interesadas?
Desempeño de los
Administración del

Habilitadores

Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

(Indicadores de Resultados) (Indicadores de Desempeño)

Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.

74
 Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.

75
  Calidad Intrínseca: La medida en que los habilitadores trabajan con precisión, de
manera objetiva, proporcionan resultados precisos, objetivos y de renombre.
Debe cumplir con reglas externas e internas.

 Calidad Contextual: La medida en que los habilitadores y sus resultados son aptos
para el propósito, dado el contexto en el que operan. P.e: el resultado debe ser
relevante, completo, actualizado, adecuado, coherente, comprensible y fácil de
usar.

 Accesibilidad y Seguridad: La medida en la cual los habilitadores y sus resultados

son accesibles y seguros.

76
 El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.

Dichas dos disciplinas:

 Comprenden diferentes tipos de actividades
 Requieren diferentes estructuras organizacionales
 Cumplen diferentes propósitos

 Gobierno: En la mayoría de las organizaciones es responsabilidad de la Junta

Directiva bajo el liderazgo de su Presidente.
 Gestión: En la mayoría de las organizaciones, la administración es responsabilidad
de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

77
  Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como
las condiciones y opciones, para determinar los objetivos corporativos balanceados
acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así
como monitorear el desempeño, cumplimiento y progreso comparándolos contra las
directivas y objetivos fijados (EDM).

 Gestión planifica, construye, ejecuta y monitorea las actividades conforme a las

directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía.

78
 COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los
procesos de gobierno y administración de tal manera que las áreas claves queden
cubiertas, tal como se muestra a continuación:

Fuente: COBIT® 5, Figura 15. © 2012 ISACA® Todos derechos reservados.

79
  Una compañía puede organizar sus procesos como estime conveniente, siempre
y cuando queden cubiertos todos los objetivos necesarios de gobierno y
administración. Las compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener muchos procesos, todos
para cubrir los mismos objetivos.

 COBIT 5 incluye un Modelo de Referencia de Procesos (PRM) por sus siglas en

inglés), que define y describe en detalle un número de procesos de
administración y de gobierno. Los detalles de dicho modelo habilitador específico
pueden encontrarse en el volumen de COBIT 5: Procesos Habilitadores.

80
81
 Catalizador Interacción Gobierno - Gestión

Procesos En el ilustrativo modelo de procesos de COBIT 5 (Procesos catalizadores), se distingue entre los procesos de
gobierno y de gestión, incluyendo conjuntos específicos de prácticas y actividades para cada uno. El modelo de
procesos también incluye una matriz RACI que describe las responsabilidades de las diferentes estructuras
organizativas y roles en la empresa.
Información El modelo de procesos describe las entradas y salidas de los distintos procesos basados en prácticas a otros
procesos, incluyendo la información intercambiada entre los procesos de gobierno y gestión. La información
empleada en evaluar, orientar y supervisar la TI empresarial es intercambiada entre el gobierno y gestión tal como
se describe en las entradas y salidas del modelo de procesos.
Estructuras En cada empresa, se definen varias estructuras organizativas; en función de su composición y ámbito de
organizativas decisiones, las estructuras pueden ubicarse en el área de gobierno o en el de gestión. Dado que el gobierno trata
acerca de establecer la orientación, la interacción tiene lugar entre las decisiones tomadas por las estructuras de
gobierno – por ejemplo, decidir sobre la cartera de inversiones y establecer el umbral de riesgo – y las decisiones y
operaciones que las implementan.
Principios, Los principios, políticas y marcos son los vehículos mediante los cuales las decisiones de gobierno son sancionadas
políticas y marcos en la empresa, y por esta razón son una interacción entre las decisiones de gobierno (establecer orientaciones) y
de gestión (ejecutar las decisiones).
Cultura, ética y El comportamiento también es un catalizador clave del buen gobierno y la gestión empresarial. Se establece al más
comportamientos alto nivel (liderando mediante el ejemplo) y es, por tanto, una interacción importante entre el gobierno y la
gestión.
Personas, Las actividades de gobierno y de gestión requieren conjuntos de habilidades distintas, pero una habilidad esencial
habilidades y para miembros tanto del órgano de gobierno como de gestión es entender tanto las propias actividades como
competencias cuáles son sus diferencias.
Servicios, Se requieren servicios, soportados por las aplicaciones e infraestructura , para promocionar la información
infraestructura y adecuada al órgano de gobierno y soportar las actividades de gobierno a la hora de evaluar, establecer la
aplicaciones orientación y supervisar.

82
83
 ⦁ Visión y características clave de COBIT 5
⦁ 5 Principios de COBIT 5

⦁ Introducción a la implementación de COBIT 5

⦁ Modelo de evaluación de capacidad de procesos
⦁ Simulacro de examen de certificación

84
 Principio 4: Habilitar un enfoque holístico
 Habilitador 1: Principios, Políticas y Marcos de Referencia
 Habilitador 2: Procesos
 Habilitador 3: Estructura Organizacional
 Habilitador 4: Cultura, Ética y comportamiento
 Habilitador 5: Información
 Habilitador 6: Servicios, Infraestructura y Aplicaciones
 Habilitador 7: Personas, Habilidades y competencias

85
 Gobierno y Gestión sistémicos mediante Catalizadores interconectados.
La figura transmite la mentalidad que debería ser adoptada para el gobierno corporativo,
incluyendo el gobierno de TI, que es alcanzar las principales metas corporativas. Cualquier
empresa debe siempre considerar un conjunto interconectado de catalizadores. Es decir,
cada catalizador:

 Necesita del resultado de otros catalizadores para ser completamente efectivo, por
ejemplo, los procesos necesitan información, las estructuras organizativas necesitan
habilidades y comportamiento.
 Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los
procesos proporcionan información, habilidades y el comportamiento hace los
procesos eficientes.

86
87
88
 El propósito es comunicar la dirección e instrumentos para informar las reglas de la
empresa, soportar los objetivos de gobierno y los valores de la empresa tal y como han
sido definidos por el Consejo Directivo (Board) y la Gestión Ejecutiva.

Metas y métricas: Los principios, políticas y marcos de referencia son los instrumentos
para comunicar las reglas, en apoyo a las metas de gobierno y los valores de la
empresa, conforme los define el Consejo y el comité ejecutivo de dirección.
Diferencias entre Principios y Políticas.
 Principios:
 Necesitas ser limitados en número.
 Establecidos en un lenguaje simple, expresando tan claramente como sea posible
los valores fundamentales de la empresa.
 Políticas:

Guías más detalladas sobre como los principios pueden ponerse en práctica.

89
  La características de buenas políticas deben ser:
 Efectivas: Lograr su propósito.
 Eficientes: Especialmente cuando son implementadas.
 No-intrusivas: Deben tener sentido y ser lógica para quienes deben cumplirlas (no
generan resistencia innecesaria).
 Acceso a las políticas: Deben tener un acceso fácil a todas las partes interesadas,
estos deben saber saben dónde encontrar las políticas.
 Las políticas deben ser un mecanismo (marco de referencia) en operación donde
puedan ser efectivamente gestionadas y los usuarios sepan que hacer.
 Específicamente deben ser:
 Exhaustivas: Cubriendo todas las áreas necesarias.
 Abiertas y flexibles: Permitiendo una fácil adaptación a la situación específica de la
empresa.
 Vigentes y actualizadas: Personas están al tanto de novedades y que las nuevas
versiones se pongan fácilmente a disposición.
 Disponibles y accesibles a todas las partes interesadas.
90
  Los requerimientos de buenas prácticas para políticas y marcos de referencia son
importantes, especialmente:
 En su alcance.
 Consecuencia por el incumplimiento de la política.
 La manera de manejar excepciones.
 Cómo monitorear su cumplimiento.
 Los vínculos y relaciones entre Principios, Políticas y Marcos de Referencia y otros
habilitadores:
 Principios, políticas y marcos de referencia reflejan la cultura, la ética y los valores
de la empresa.
 Los procesos son el más importante vehículo para la ejecución de la políticas.
 Las estructuras organizacionales pueden definir e implementar políticas.
 Las políticas hacen parte de la Información.

91
92
 Un proceso se define como ‘una colección de prácticas influenciadas por las políticas y
procedimientos de la empresa que toma entradas de un número dado de fuentes
(incluyéndose otros procesos), manipulando las entradas y produciendo salidas (p. ej.,
productos, servicios).’

 Partes interesadas: Tienen partes interesadas internas y externas, cada una con sus
propios roles; las partes interesadas y sus niveles de responsabilidad están
documentadas en las matrices RACI. Entre las partes interesadas externas se
incluyen a los clientes, socios comerciales, accionistas y reguladores. Entre las
internas se incluyen el Consejo, la dirección, empleados y voluntarios.

 Metas: ‘declaraciones que describen el resultado deseado de un proceso. Un

resultado puede ser un dispositivo, un cambio significativo en el estado de otros
procesos o una mejora significativa en las capacidades de otros procesos’. Las metas
de los procesos apoyan a las metas relacionadas con las TI.

93
  Ciclo de vida: Cada proceso tiene un ciclo de vida. Éste se define, crea, opera,
supervisa y se adapta/actualiza o retira.

Las prácticas generales sobre procesos, como las que se definen en el modelo de
evaluación de procesos de COBIT basadas en ISO/IEC 15504, pueden ayudar en la
definición, ejecución, supervisión y optimización de los procesos.

 Buenas prácticas: La guía «COBIT 5: Procesos Catalizadores» contiene un modelo

de referencia para los procesos, en el que se describen buenas prácticas internas
sobre procesos en niveles de detalle crecientes: prácticas, actividades y
actividades detalladas.

94
 Estructura de la plantilla de MPR (basado en el ISO 15504 – definición de procesos y
estructura).
 El MRP está divido en el dominio de Gobierno con 5 procesos llamados “EDM”
(Evaluar, Dirigir y Monitorear).
 4 dominios de Gestión denominados APO (Alinear, Planear y Organizar), BAI
(Construir, Adquirir e Implementar), DSS (Entregar, Servicio y Soporte) y MEA
(Monitorear, Evaluar y Valorar).
 APO contiene 13 procesos, BAI 10 procesos, DSS 6 procesos y MEA 3 procesos.
 En total son 37 procesos: 32 para Gestión y 5 para Gobierno.

95
96
 Todos los procesos del COBIT 5 están dividos en:
 Descripción del proceso.

 Declaración de propósito del proceso.

 Metas relacionadas a TI (de la cascada de metas, ver ejemplo del apéndice).

 Cada meta de TI está asociada con un conjunto de métricas genéricas.

 Cada meta de proceso está asociada o relacionada con un conjunto genérico de

métricas.
 Cada proceso contiene un conjunto de Prácticas de Gestión o Gobierno.

 Estos son asociados con la matriz RACI genérica (Responsable, Accountable,

Consulted, Informed).
 Cada Práctica de Gestión contiene un conjunto de entradas y salidas
(denominadas ”Productos de trabajo» en la Capacidad de los Procesos”).
 Cada Práctica de Gestión y Gobierno está asociada con un conjunto de
actividades.

97
 Un proceso está definido como una colección de prácticas influenciadas por las
políticas, procedimientos de la organización que toma entradas de un número de
fuentes (incluyendo otros procesos) manipula las entradas y produce salidas (p.e:
productos /servicios).

 Prácticas de Proceso: Estos son definidos como «guías» de alto nivel necesarias
para lograr las metas de los procesos.
 Actividad de los Procesos: Estos son definidos como «guías» para lograr las
prácticas de la gestión para un gobierno y gestión exitoso de la organización de TI.
 Entradas y Salidas: Estos son los productos/artefactos que son considerados
necesarios para soportar la operación de los procesos.

98
 Prácticas:
 Declaraciones sobre acciones que proporcionan beneficios, optimizan el nivel de
riesgo y el uso de los recursos
 Están alineadas con los estándares y buenas prácticas más relevantes y
comúnmente aceptadas
 Son genéricas (necesitan adaptarse a cada organización).

 En los procesos se contemplan los roles de las figuras de TI y de negocio (de

principio a fin).

99