Génesis y evolución de COBIT Un enfoque epistemológico. Álvaro G. Jaikel CISA, CISM, CGEIT, CRISC, COBIT5

Transcripción

1 Génesis y evolución de COBIT Un enfoque epistemológico Álvaro G. Jaikel CISA, CISM, CGEIT, CRISC, COBIT5 Agosto 8 y 9, 2013

2 Conferencista Álvaro G. Jaikel, CISA, CISM, CGEIT, CRISC, COBIT5 Teléfonos cel.: , of,: Correo: Skype: agjaikel

3 Agenda de la presentación 1. Evolución CobiT / COBIT 2. Antecedentes del Proyecto COBIT5 3. COBIT5 4. Qué sigue..?

4 Evolución s : Objetivos de Control Enfocado a la auditoría Audiencia : principalmente Auditores 1991 : Reunión Regional del Consejo de Presidentes, en París Apoyo a nuevos Objetivos de Control Orientado al negocio Audiencia : gerentes, usuarios de los servicios de TI, auditores

5 Evolución : Cambios en el Programa CISA Luego de un proceso de 5 años, cambian los dominios y los contenidos Introducción de criterios de negocio: eficiencia y eficacia, de manera controlada : CobiT Cambio a Control Objectives for Information and Related Technology (CobiT) Enfoque de negocio alineado con el programa CISA

6 Evolución : Creación del ITGI Information Technology Governance Institute 1996 : CobiT (Control OBjectives for Information and related Technology) Misión : Objetivos de control de uso diario para las tecnologías de información, -generalmente aceptadospara el uso cotidiano de gerentes y auditores. Buenas y/o mejores prácticas

7 Evolución.. El marco de referencia inicia con una premisa simple y pragmática: Los recursos de TI deben ser administrados en un conjunto naturalmente agrupado de prácticas de TI, para proveer la información que necesita la empresa para el logro de sus objetivos Audiencia: Diseñado para funcionarios, usuarios, auditores, y como una guía comprensiva de verificación de responsabilidad a dueños de procesos

8 Definiciones Control: Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una seguridad razonable que los objetivos de negocio se alcanzarán; y los eventos no deseados serán prevenidos, o detectados y corregidos" Objetivos de control de TI: "una declaración del resultado deseado o propósito que se desea lograr, mediante la aplicación de procedimientos de control para una actividad de TI en particular

9 Evolución planificada de CobiT en 1996 CobiT 1 Objetivos de Control Guías o Directrices de Auditoría CobiT 2 Guías de Autoevaluación Actualización de la versión automatizada Referencias y material de apoyo adicional CobiT 3 Incorporación de las Guías de Controles Mejoras en los objetivos de control Identificación de indicadores de desempeño

10 CobiT 1, criterios de negocio para la información: Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, y Confiabilidad 5 recursos de TI: Datos, Aplicaciones, Tecnología, Facilidades, Gente 4 Dominios: PO, AI, DS, ME 32 Procesos de TI, 217 subprocesos y objetivos de control Orientado a los requerimientos del negocio Conectado con los habilitadores de TI Relacionado con los elementos relevantes

11 CobitT 1, 1996 Directrices de auditoría para cada proceso de TI Quién debe ser entrevistado? Qué información se debe obtener? Qué tipo de pruebas se deben considerar? Qué tipo de pruebas se deben realizar para asegurar el cumplimiento? Qué tipo de información se debe obtener y qué tipo de trabajo se debe realizar para justificar el nivel real de riesgo?

12 CobiT 2, 1998 Marco de referencia Muy semejante al de COBIT 1 34 procesos de TI y 302 objetivos de control Creación del Instituto de Gobierno de TI en 1997 La adición de herramientas de implementación: Resumen Ejecutivo, Diagnóstico de Conciencia gerencial, Diagnóstico de Control de TI. Estudios de caso, Preguntas más frecuentes, Presentaciones de diapositivas para diferentes públicos

13 CobiT 3, 2000 Marco de referencia Al igual que COBIT 2 Incluye la noción de Gobierno de TI como: "Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr los objetivos de esta mediante la generación de valor, mientras que mantiene el equilibrio entre riesgo-retorno, sobre TI y sus procesos Adición de directrices gerenciales (en lugar de las directrices de control)

14 CobiT 3, 2000 Directrices o Guías Gerenciales Modelos de Madurez Factores Críticos de Éxito Indicadores Claves de Meta Indicadores Claves de Rendimiento o Desempeño

15 Portafolio Parcial de Productos CobiT, 2000 Resumen de Gobierno de TI para Juntas Directrices de Gerenciales o de Gestión Marco de Referencia CobiT Objetivos de Control Prácticas de Control Guía de Aseguramiento de TI Objetivos de Control de TI para SOX o SOA Guía de Implementación para Gobierno de TI COBIT Quickstart CobiT Baseline Security

16 2005 : CobiT 4.0 (actualizado en 2007 como CobiT 4.1) Ampliación del concepto de Gobierno de TI Elementos básicos del Gobierno de TI: generación de valor, gestión de riesgo, y control Definición: El gobierno de TI es responsabilidad de los ejecutivos y del consejo de administración, y consiste en el liderazgo, las estructuras organizativas y procesos que aseguran que la empresa sostiene y extiende las estrategias y objetivos de la organización.

17 2005 : CobiT 4.0 (actualizado en 2007 como CobiT 4.1) 5 áreas de enfoque 1. Alineación Estratégica 2. Entrega de Valor 3. Gestión de Recursos 4. Gestión de Riesgos 5. Medición del Desempeño Actualización y ampliación de las otras áreas Directrices de gestión: para cada proceso, entradas, salidas, gráficos RACI, las metas y las métricas, el modelo de madurez Objetivos e Indicadores de actividad: objetivos, metas de proceso, metas de TI y las métricas asociadas

18 2005 : CobiT 4.0 (actualizado en 2007 como CobiT 4.1) Propósito y objetivo principal "COBIT se utiliza a nivel mundial por aquellos que tienen la responsabilidad primaria de los procesos de negocio y la tecnología, los que dependen de tecnología de la información relevante y fiable, y los que proveen la calidad, la fiabilidad y el control de la tecnología de la información" "COBIT es IT orientada a los procesos, y por lo tanto, se dirige en primer lugar a los dueños de estos procesos

19 2005 : CobiT 4.0 (actualizado Propósito y objetivo principal en 2007 como CobiT 4.1) "COBIT se ofrece a los dueños de procesos de negocio como un marco de referencia, que debe permitirles controlar todas las diferentes actividades que subyacen a la implementación de TI. Ellos pueden tener una seguridad razonable que contribuirá al logro de los objetivos de negocio " "Por otra parte, COBIT ofrece a los dueños de procesos de negocio, un marco de comunicación genérica para facilitar la comprensión y la claridad entre las diferentes partes involucradas en la entrega de servicios de TI"

20 2006: Val IT (actualizado en 2008, Val IT 2) Un marco de referencia y documentación de apoyo, orientados a la inversión y el Gobierno de las TI. Val IT Framework 2.0 Orientación a la Gestión Calidad para profesionales: El uso de Val IT 2.0 Val IT Introducción a la Gestión del Valor La Guía para el Caso de Negocio: El uso de Val IT 2.0 Alineado con CobiT: entradas, salidas, matriz RACI, modelo de madurez, metas y métricas 3 dominios: la gobernanza de valor, gestión de portafolio o cartera, gestión de inversiones; 22 procesos; y 69 prácticas claves de gestión de valor

21 2009: Risk IT 2009: Riesgo de TI (un marco y publicaciones de apoyo frente a la gobernanza y la gestión de riesgos de TI) Risk IT Framework Guía para los Profesionales de Riesgos en TI Alineado con CobiT: entradas, salidas, matriz RACI, niveles de madurez, las metas y las métricas 3 dominios: la gobernanza del riesgo, evaluación del riesgo, respuesta al riesgo 9 procesos 43 actividades

22 Evolución CobiT/COBIT Risk IT Gestión del Riesgo Val IT Gestión del Valor impulsado Evaluación de riesgos y oportunidad Eventos relacionados con TI Actividades de TI CobiT Fuente: ITGI impulsado

23 2010 : BMIS (The Business Model Posee un enfoque sistémico 4 elementos: Organización, Procesos, Personas, y Tecnología 6 interconexiones dinámicas: Gobernanza; Cultura; Arquitectura; Emergentes; Habilitación y soporte, y Factores humanos for Information Security)

24 2008: ITAF (Professional Practices Framework for IT Assurance) 2013 Estándares o Normas Normas Generales Normas de Desempeño Normas para Informes Directrices MISMOS TEMAS APLICADOS A DIRECTRICES EN V2 Consideraciones de aseguramiento en toda la empresa Gestión de la IT Procesos de Aseguramiento de TI Gestión de Aseguramiento de TI Procesos de TI Recursos ISACA Herramientas y Técnicas

25 Resumen CobiT 1, 2 y 3 Contexto del Negocio: IT como apoyo a la automatización de las funciones administrativas y de negocios tradicionales (facturación, compras, contabilidad, nómina, la fabricación). Los principales beneficios de negocio esperados son mejoras de la eficiencia, la mejora de la fiabilidad, el acceso seguro Función de TI: Central. Lidera la iniciativa. Requiere un poco de entrada / apoyo de la empresa, pero la mayoría de los temas son enfocados "técnicamente" Soluciones de TI: software ERP. Operaciones de desarrollo y gestión centralizada Marco de referencia: Impulso a IT. Riguroso ciclo de vida del desarrollo. Buenas prácticas de TI. Base controlada. Negocios tienen que utilizar las TI como proporcionada o dadas por el departamento de TI

26 CobiT 4.x Contexto del Negocio: IT como apoyo a las funciones administrativas y de negocios tradicionales (la información: de ventas, productos, financiera; inteligencia de mercado; análisis de rendimiento) Los beneficios de negocio esperados son: mejor, más actualizado, mayor uso y valor del conocimiento para un control y la toma de decisiones eficaz. Función de TI: Semejante a la anterior (IT tradicionales - Servicios apalancadas) o soporte técnico a las empresas (selección / validación de software y tecnología) o manejado para el negocio como un ejercicio separado.

27 CobiT 4.x Soluciones de TI: Integrada con el sistema central (pero menos reactivo a las necesidades específicas del negocio) o el software de usuario final en general fácil y rápido de implementar (Excel, Access) y la computación del usuario final (PC, estación de trabajo local). Software de análisis especializado (SAS). Pero menos controlada y potencialmente menos fiable. Marco de referencia: Ídem al anterior (parte de un marco riguroso de IT) con nuevas perspectivas de negocio (el gobierno, prioridades, beneficios, riesgos, y los objetivos de negocio de TI) o hecho como un ejercicio independiente de negocio con poco apoyo de un marco de TI.

28 Antecedentes de COBIT5 Aspectos de Negocio Partes Interesadas: numerosos y diferentes intereses, distintas propuestas de valor, apetitos de riesgo, tolerancia al riesgo y fuentes alternativas Inter-dependencias: sistémicas, holísticas, base de confianza Lenguaje y terminología: confusión, visión incompleta La falta de una visión global e integrada: silos, necesidad de lo simple, pero no de lo simplista Incorporación de las TI en el negocio: oficina del CIO, las funciones de negocio, proyectos, políticas, estructuras, técnicas, riesgos Gestión de la información: IT / IS en comparación con la información, grandes volúmenes de datos, aplicaciones,

29 Antecedentes de COBIT5 Aspectos del Marco de Ref. Multiplicidad de marcos de referencia Incoherencias entre diferentes publicaciones Terminología confusa y desordenada Centrado en la función y procesos de TI y no en la información, ni en las funciones y procesos de negocio La falta de visión integral No lineado con la evolución de pensamientos líderes No es fácil de usar, ni fácil de mantener Alcance limitado y con enfoque no sistémico Muy poco adaptable a su propio contexto

30 Antecedentes de COBIT5 Aspectos Diseño Conceptual Innovador: La integración de lo recientes Incluye un modelo de referencia de información Modular: flexible, fácil de navegar, apoyo vasto Participativo con el uso potencial de la WEB Integral: elementos críticos de gobernanza y gestión Fácil de entender, de usar, de mantener Conectado con otros marcos ISACA, y terceros Permite la evaluación de capacidad con Modelo Validado profusamente Apoyo con herramienta de línea

31 COBIT5, Principales características 5 principios Satisfacer las necesidades de las partes interesadas, Cubrir la empresa de extremo a extremo, Aplicar un marco único integrado, Hacer posible un enfoque holístico, Separar el Gobierno de la Gestión 7 categorías de catalizadores "Procesos", "Información", "Principios y normas", "Cultura, Ética y Conducta", Estructuras Organizativas", "Habilidades y Competencias" Capacidades de Servicio

32 COBIT5, Principales características 4 dimensiones por catalizador: actores, objetivos, ciclo de vida, las buenas prácticas 2 tipos de Gestión del Rendimiento: indicadores principales y secundarias La creación de valor: 3 objetivos Beneficios, Riesgos, Recursos Proceso Catalizador 3 áreas de gobierno (EDM): 5 procesos 4 áreas de gestión (PBRM): 32 procesos

33 Principios de COBIT5

34 COBIT 5, P1 Creación de Valor Las partes interesadas Intereses de las partes interesadas Qué beneficios? Beneficios para quién? Qué riesgos? Riesgos para quién? Con qué recursos? Recursos para quién?

35 Cascada de metas de COBIT 5 COBIT 5, P1 Creación de Valor

36 COBIT 5, P2 Cubrir la empresa de extremo a extremo

37 COBIT5, P3 Aplicar un Marco de Referencia Único Integrado

38 COBIT5, P4 Hacer posible un enfoque holístico Los siete Catalizadores Corporativos de COBIT 5

39 COBIT5, P5 Separar el Gobierno de la Gestión Las Áreas Clave de Gobierno y Gestión de COBIT 5

40 A T

41 Resumen de novedades en COBIT5 Mayor cobertura horizontal para la información y la tecnología, consideradas como como activos clave de la empresa Mejor y más amplia integración vertical -de y con- la empresa Capaz de integrar y conectarse naturalmente con otros marcos, modelos y estándares Permite y fomenta la adaptación contextual Fácil de entender, utilizar y mantener

42 Qué sigue? TI necesita participar activamente en la transformación del negocio Contexto de negocios: el desarrollo de negocios y la transformación está habilitada de IT Papel IT: integrador de negocios de IT. Asesor de negocios que le afecten. Prospectiva. Soluciones de TI: muchas opciones, ampliamente variadas Marco de referencia: holístico, sistémico e integrado a la empresa; centrado en las partes interesadas Ambiente de TI en evolución continua, donde lo que nos sorprende del cambio, es que no nos sorprenda

43 Evolución del Alcance Panorámica evolutiva Gobierno Corporativo de TI Gobierno de TI Administración Val IT 2.0 (2008) Control Risk IT (2009) Auditoría COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT /7 2012

44 Génesis y evolución de COBIT Un enfoque epistemológico Álvaro G. Jaikel CISA, CISM, CGEIT, CRISC, COBIT5 Agosto 8 y 9, 2013