Nuevo modelo de evaluación de procesos de TI de ISACA basado en COBIT (PAM)

Transcripción

1 Nuevo modelo de evaluación de procesos de TI de ISACA basado en COBIT (PAM) Salomón Rico B. Socio de Information & Techonology Risk Services Deloitte México

2 Salomón Rico B. Socio responsable de la práctica de Information and Technology Risk (ITR) en Deloitte México Cluster Monterrey. Cuenta con más de 20 de años de experiencia en tecnología de información, los últimos 12 años en áreas de gobierno, auditoria y seguridad de TI. Es licenciado en sistemas de computación administrativa y obtuvo una maestría en administración de empresas por el Tecnológico de Monterrey en México. Cuenta con las certificaciones CISA, CISM y CGEIT de ISACA y actualmente es coordinador de la certificación CISM de ISACA Capítulo Monterrey donde fungió como presidente entre los años 2006 y Es miembro del knowledge board de ISACA Internacional Presidente del comité técnico de la conferencia CACS/ISRM (computer audit, control and security / information security and risk management) de Latinoamérica {Su foto} Socio de I&TR services Deloitte México

3 Antecedentes Qué significa el nuevo modelo de evaluación de procesos de TI PAM con COBIT? Por qué un nuevo modelo de evaluación si ya se tiene uno actualmente? Las respuestas a estas y otras preguntas serán desarrolladas en esta presentación introductoria a este nuevo modelo de evaluación de procesos de TI. Esta sesión pretende cubrir las dudas que han surgido al respecto y sentar las bases para iniciar con su aplicación. Este material está basado en la presentación de ISACA del COBIT Assessment Programme con COBIT 4.1

4 Objetivos de la sesión Una comprensión inicial del nuevo programa de evaluación de procesos de COBIT Un comprensión de su relación con ISO/IEC y por qué ISACA seleccionó este estandar Una revisión con uno de los procesos clave de COBIT 4.1, DS1 Definir y administrar los niveles de servicio

5 Qué es una evaluación de procesos? ISO/IEC identifica la evaluación de procesos como una actividad que puede ser desarrollada ya sea como parte de una iniciativa de mejora de procesos o como parte de un enfoque para la determinación de capacidades El propósito de una mejora de procesos es que continuamente se mejore la efectividad y la eficiencia de la empresa El propósito de una determinación de capacidades es identificar las fortalezas, debilidades y riesgos de un proceso seleccionado con respecto a un requerimiento partícular del proceso y su alineación con la necesidad del negocio Provee una metodología comprensible, lógica, repetible, confiable y robusta para evaluar la capcidad de los procesos de TI

6 Qué es el programa nuevo de evaluación de procesos de COBIT? El programa de evaluación de COBIT (PAM) incluye: COBIT Process Assessment Model (PAM): Using COBIT 4.1 COBIT Assessor Guide: Using COBIT 4.1 COBIT Self Assessment Guide: Using COBIT 4.1 El PAM contiene de manera integrada dos pesos pesados ya probados en la arena de TI, ISO e ISACA EL PAM adapta el contenido existente de COBIT 4.1 dentro de un modelo de evaluación de procesos que cumple con el estándar ISO 15504

7 Qué es diferente entonces? Pero no tenemos ya modelos de madurez para los procesos de COBIT 4.1? El programa nuevo de evaluación de COBIT es: Un proceso de evaluación robusto basado en ISO Una alineación del modelo de madurez de COBIT con el estandar internacional Un modelo nuevo de evaluación basado en capacidades, el cual incluye: Requerimientos específicos de procesos obtenidos de COBIT 4.1 La habilidad para lograr los atributos de los procesos basada en ISO La evidencia de los requerimientos Requerimientos de experiencia y califiaciones por un asesor Da como resultado una evaluación más robusta, objetiva y repetible Los resultados de la evaluación seguramente variarán respecto a los modelos de madurez existentes!

8 Diferencias vs el modelo de madurez actual de COBIT El PAM utiliza un marco de medición que es similar en la terminología que existe con los modelos de madurez actuales de COBIT 4.1 Aún y cuando las palabras son similares, las escalas NO son las mismas: El PAM utiliza la escala de capacidades del ISO/IEC 15504, mientras que los modelos actuales de madurez de COBIT usan una escala basada en SEI\CMM El nivel 3 de PAM NO es el mismo nivel 3 de CMM Las evalauciones que son hechas con PAM seguramente tendrán resultados más bajos Las evaluaciones con PAM están basadas en atributos mucho más definidos y defendibles Nivel de madurez Procesos con ISO/IEC Procesos COBIT 4.1 Nivel de capacidad Atributo 5 Optimised 5 Optimizing PA 5.1 Process innovation PA 5.2 Process optimization 4 Managed and measurable 4 Predictable PA 4.1 Process measurement PA 4.2 Process control 3 Defined 3 Established PA 3.1 Process definition PA 3.2 Process deployment 2 Repeatable but intuitive 2 Managed PA 2.1Performance management PA 2.2 Work product management 1 Initial/ad hoc 1 Performed PA 1.1 Process performance 0 Non-existent 0 Incomplete

9 Introducción a la evaluación Modelo de evaluación De procesos Proceso de evaluación Este gráfico está basado en el ISO :2003 con el permiso de ISO en Copyright permanece con ISO.

10 Modelo de referencia de procesos (PRM) Los objetivos medibles a alto nivel de desarrollar el proceso y las salidas probables por una implementación efectiva del proceso

11 Modelo de referencia de procesos (PRM) Un resultado evidenciable del proceso un artefacto, un cambio significativo de estado o la consideración de limitaciones específicas Las actividades que, cuando son consistentemente desarrolladas, contribuyen al logro del propósito del proceso Los artefactos asociados con la ejecución de un proceso definido en terminos de entradas del proceso y salidas del proceso

12 PRM Basado en COBIT 4.1 Process ID DS1 Process Name Define and Manage Service Levels Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs. Outcomes (Os) Number Description DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions of services, roles, tasks and responsibilities of internal and external service providers and customers. DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities. DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs. DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements. Base Practices Number Description Supports (BPs) DS1-BP1 Create a framework for defining IT services. DS1-O1 DS1-BP2 Build an IT service catalogue. DS1-O1, O2 DS1-BP3 Define SLAs for critical IT services. DS1-O2 DS1-BP4 Define OLAs for meeting SLAs. DS1-O3 DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4 DS1-BP6 Review SLAs and underpinning contracts. DS1-O4 DS1-BP7 Review and update the IT service catalogue. DS1-O1 DS1-BP8 Create a service improvement plan. DS1-O1 Work Products (WPs) Inputs Number Description Supports PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4 PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4 PO2-WP5 Assigned data classifications DS1-O1 PO5-WP3 Updated IT service portfolio DS1-O4 AI2-WP4 Initial planned SLAs DS1-O3 AI3-WP7 Initial planned OLAs DS1-O3 DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1 ME1-WP1 Performance input to IT planning DS1-O1, O2 Outputs Number Description Input To Supports DS1-WP1 Contract review report DS2 DS1-O1, O4 DS1-WP2 Process performance reports ME1 DS1-O4 DS1-WP3 New/updated service requirements PO1 DS1-O2, O3 DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2 DS1-WP5 Copyright ISACA OLAs All rights DS4 to reserved DS8, DS11, DS13 DS1-O3 Slide 12 DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4

13 PRM Basado en COBIT 4.1 Process ID DS1 Process Name Define and Manage Service Levels Purpose Satisfy the business requirement of ensuring the alignment of key IT services with the business needs. Outcomes (Os) Number Description DS1-O1 A service management framework is in place to define the organisational structure for service level management, covering the base definitions of services, roles, tasks and responsibilities of internal and external service providers and customers. DS1-O2 Internal and external SLAs are formalised in line with customer requirements and delivery capabilities. DS1-O3 Operating level agreements (OLAs) are developed to specify the technical processes required to support SLAs. DS1-O4 Processes are in place to monitor (and periodically review) SLAs and achievements. Base Practices Number Description Supports (BPs) DS1-BP1 Create a framework for defining IT services. DS1-O1 DS1-BP2 Build an IT service catalogue. DS1-O1, O2 DS1-BP3 Define SLAs for critical IT services. DS1-O2 DS1-BP4 Define OLAs for meeting SLAs. DS1-O3 DS1-BP5 Monitor and report end-to-end service level performance. DS1-O4 DS1-BP6 Review SLAs and underpinning contracts. DS1-O4 DS1-BP7 Review and update the IT service catalogue. DS1-O1 DS1-BP8 Create a service improvement plan. DS1-O1 Work Products (WPs) Inputs Number Description Supports PO1-WP1 Strategic IT plan DS1-O1, O2, O3, O4 PO1-WP4 IT service portfolio DS1-O1, O2, O3, O4 PO2-WP5 Assigned data classifications DS1-O1 PO5-WP3 Updated IT service portfolio DS1-O4 AI2-WP4 Initial planned SLAs DS1-O3 AI3-WP7 Initial planned OLAs DS1-O3 DS4-WP5 Disaster service requirements, including roles and responsibilities DS1-O1 ME1-WP1 Performance input to IT planning DS1-O1, O2 Outputs Number Description Input To Supports DS1-WP1 Contract review report DS2 DS1-O1, O4 DS1-WP2 Process performance reports ME1 DS1-O4 DS1-WP3 New/updated service requirements PO1 DS1-O2, O3 DS1-WP4 SLAs AI1, DS2, DS3, DS4, DS6, DS8, DS13 DS1-O2 DS1-WP5 OLAs DS4 to DS8, DS11, DS13 DS1-O3 Copyright ISACA All rights reserved DS1-WP6 Updated IT service portfolio PO1 DS1-O1, O4 Slide 13

14 Introducción a la evaluación Este gráfico está basado en el ISO :2003 con el permiso de ISO en Copyright permanece con ISO.

15 Niveles de capacidad de procesos Optimizado El proceso es mejorado continuamente para lograr las metas relevantes del negocio actuales y proyectadas Nivel 5 Proceso optimizado PA 5.1 Process innovation attribute PA 5.2 Process optimization attribute Predecible El proceso es institucionalizado consistentemente con limites establecidos Establecido Un proceso definido es utilizado basado en un proceso estándar Nivel 1 Proceso ejecutado PA 1.1 Nivel 2 Proceso administrado PA 2.1 PA 2.2 Performance management attribute Work product management attribute Process performance attribute NIvel 4 Proceso predecible PA 4.1 PA 4.2 Process measurement attribute Process control attribute Nivel 3 Proceso establecido PA 3.1 PA 3.2 Process definition attribute Process deployment attribute Administrado El proceso está administrado y los productos del trabajo están establecidos, controlados y mantenidos Ejecutado El proceso está implementado y logra su propósito Nivel 0 Proceso Incompleto Incompleto El proceso no está implementado o falla para lograr su propósito

16 Marco para la medición El proceso de evalaución de COBIT mide la extensión en la cual un proceso dado logra los atributos específicos relativos a ese proceso atributos del proceso El proceso de evaluación de COBIT define 9 atributos de los procesos (basados en ISO/IEC ) PA 1.1 Process performance PA 2.1 Performance management PA 2.2 Work product management PA 3.1 Process definition PA 3.2 Process deployment PA 4.1 Process measurement PA 4.2 Process control PA 5.1 Process innovation PA 5.2 Continuous optimisation

17 Ejemplos de atributos de procesos

18 Proceso de evaluación de COBIT Este gráfico está basado en el ISO :2003 con el permiso de ISO en Copyright permanece con ISO.

19 Atributos de procesos y niveles de capacidad ISO Optimizing Predictable Established Managed Performed Incomplete 9 Process Attributes Process Attribute Indicators (PAI) COBIT

20 Atributos de procesos y niveles de capacidad Optimizing Predictable Established Managed Performed Incomplete Este gráfico está basado en el ISO :2003 con el permiso de ISO en Copyright permanece con ISO. Slide 20

21 Rankeo de los atributos de procesos Los indicadores de la evaluación en el PAM son utilizados para soportar el juicio de los asesores en el rankeo de los atributos de los procesos: Proveen la base para la repetibilidad en las evaluaciones El rankeo se asigna basado en una evidencia objetiva y validada para cada atributo del proceso Debe mantenerse la traceabilidad entre el rankeo de un atributo y la evidencia objetiva utilizada para determinar ese rankeo

22 Ejemplo de COBIT 4.1: DS1 Define and manage service levels

23

24 Proceso de evaluación - Introducción Este gráfico está basado en el ISO :2003 con el permiso de ISO en Copyright permanece con ISO.

25 Actividades en el proceso de evaluación 1 Iniciación 2 Planeación 3 Presentación (Briefing) 4 Recolección de datos 5 Validación de datos 6 Rankeo de los atributos de procesos 7 Reportar los resultados

26 Información de Contacto COBIT Assessment Programme: Monterrey, N.L. México

27 Preguntas y Respuestas

28 Muchas Gracias por su atención!