Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Transcripción

1 Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1

2 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo tiempo ALTA DIRECCIÓN Mínimo Rápido Costo del Servicio Tiempo de Entrega tiempo tiempo

3 Modelo COBIT (Control objectives for Information Systems and related Technology) Modelo para evaluar y/o auditar la gestión y control de los Sistemas de Información y Tecnología (IT): Guías de Auditoría, para evaluar y seleccionar las áreas de mejoramiento Para medir la Gestión de TI y evaluar el avance en el Mejoramiento. 3

4 Modelo COBIT (Control objectives for Information Systems and related Technology) Modelo para evaluar y/o auditar la gestión y control de los Sistemas de Información y Tecnología (IT): Es el resultado de una investigación con expertos de varios paises, desarrollado por la Information, Systems Audit and Control Association ISACA. Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT). El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial. 4

5 Objetivos y Beneficios Proveer un marco único reconocido a nivel mundial de las mejores prácticas de control y seguridad de TI Consolidar y armonizar estándares originados en diferentes paises desarrollados. Concientizar a la comunidad sobre importancia del control y la auditoría de TI. Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito Aplica a todo tipo de organizaciones independiente de sus plataformas de TI Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa 5

6 COBIT - Misión Investigar, desarrollar, publicitar, promover y mantener, Un conjunto de Objetivos de Control de Información y Tecnología relacionada (IT), Reconocidos y generalmente aceptados en el ámbito internacional Para el uso permanente de los Gerentes del negocio y los Auditores. 6

7 Regla de Oro del COBIT A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada. 7

8 La Estructura COBIT La Estructura COBIT ha sido limitada a objetivos de control de alto nivel en la forma de una necesidad del negocio dentro de un proceso particular de TI, el logro del cual está posibilitado por un objetivo de control, para el cual se debe prestar consideración a los controles potencialmente aplicables. 8

9 La Estructura COBIT COBIT se puede enfocar desde tres puntos ventajosos: Next 9

10 Objetivos del Negocio Monitoreo COBIT Información Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Legal Confiabilidad COBIT Estructura del Modelo Planeación y Organización Recursos de T.I. Entrega y Soporte Datos Aplicativos Tecnología Facilidades Personas Adquisición e Implementación 10

11 Consejos para Implementar CobiT? Como CobiT está orientado al negocio, se lo puede utilizar directamente para comprender los objetivos de control de TI para administrar los riesgos del negocio relacionados con TI: Comience en la Estructura con sus objetivos del negocio Seleccione de los Objetivos de Control, los procesos y objetivos de control de TI apropiados para su empresa Opere desde su plan de negocios Evalúe con las guías de Auditoría los procedimientos y resultados Evalúe con las Guías de Administración el estado de su organización, identifique las actividades críticas conducentes al éxito y mida el desempeño para alcanzar los objetivos de la empresa. 11

12 Actividades para Implantar el Modelo COBIT 12

13 Evalúe con las guías de Auditoría las Prácticas actuales. Acepte los principios del Modelo Cobit y defina que la organización lo adoptará e implementará Como ha decidido adoptarlo tiene que familiarizarse con él y ajustar sus procesos a sus requerimientos Por lo tanto debe capacitarse y capacitar a todos los funcionarios que tendrán relación no olvide que se parte de la estrategia empresarial Proceda a la Realización de la Evaluación de riesgos y a elaborar el Plan de Evaluación 13

14 COBIT - Navegación CRITERIOS RECURSOS DOMINIO PO: Planeación y Organización P: Primario S: Secundario EFECTIVIDAD EFICIENCIA CONFIDENC. INTEGRIDAD DISPONIBILID CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOLOGIA FACILIDADES DATOS PERSONAS P R O C E S O S P06 P07 P08 P09 P10 P11 Comunicar la Dire, y Objetivos Administ. Recursos Humanos Apego de Requerimient. Externos Evaluar Riesgos Administrar Proyectos Administración de la calidad P S P P S S S P P S P P S S S P S S P P P P S 14

15 OBJETIVOS DE CONTROL DE TI - DE ALTO NIVEL DOMINIO PO: Planeación y Organización El control sobre el Proceso: Que satisface los requerimientos del negocio de: Se logra mediante: Y tiene en consideración: PO11: Administrar Calidad Satisfacer los requerimientos del cliente La planeación, implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización. Estructura del Plan de Calidad Responsabilidades de aseguramiento de la Calidad. Metodologías del ciclo de vida de desarrollo de sistemas. Revisiones y reportes de aseguramiento de la calidad 15

16 Guías de Administración de TI La Administración de TI y sus procesos con sus metas de agregar valor al negocio, mientras balancean el riesgo versus retorno Asegurar la entrega de información al negocio que requiere información crítica y es medible por los KGIs Es facilitada por la creación y mantenimiento de un sistema de procesos y control apropiado para el negocio y que dirige y monitorea el valor agregado que entrega TI al negocio Considera los CSFs que dirigen todos los recursos de TI y que son medidos por los KPIs 16

17 Estimación de la Curva de Madurez de TI No Inicial Repetido Definido Administrado Optimizado Existente Símbolos utilizados Símbolos utilizados Estatus Empresarial Actual 0 No Existente Administración de procesos no se aplicada a todos Guías Estándares Internacionales Mejores Prácticas de la Industria Estrategia Empresarial 1 Inicial Los procesos son ad hoc y desorganizados 2 Repedidos Los procesos siguen un patrón regular 3 Definidos Los procesos son documentados y comunicados 4 Administrados Los procesos son monitoreados y medidos 5 Optimizados Se siguen las mejores prácticas y se automatizan 17

18 Modelo de la Curva de Madurez de TI Se refiere a los requerimientos del negocio (KGI) y los aspectos disponibles (KPI) en los diferentes niveles Es una escala que se presenta para realizar una comparación pragmática Es una escala donde la diferencia puede ser hacerse medible en una manera fácil Es reconocida como un perfil empresarial en relación con la administración y control de TI. Asiste en la determinación del Cómo es y el Será, posiciones relativas de la administración y control maduro de la TI Permite realizar el análisis de la brecha para determinar que necesita hacer alcanzar un determinado nivel Generalmente no es aplicable a una industria específica, la naturaleza del negocio es quien determina cual es el nivel apropiado 18

19 Guías de Administración de TI Factores Críticos de Éxito Las actividades de la Administración de TI son integradas en la administración de los procesos empresariales y en la conducta de mando La administración de TI se enfoca en las metas empresariales, iniciativas estratégicas, el uso de tecnología para realizar el negocio y en disponer de suficientes recursos y capacidades para responder a las demandas del negocio Las actividades de la Administración de TI son definidas con un claro propósito, documentado e implementado, basado en las necesidades empresariales y con responsabilidades que no sean ambigüas Las prácticas administrativas incrementan la eficiencia y optimizan el uso de los recursos e incrementan la efectividad de los procesos de TI Las prácticas organizacionales facilitan: control del ambiente/cultura; estimación del riesgo como una práctica estándar; grado de adeherencia a establecer estándares; monitoreo y seguimiento de deficiencias de control y riesgo 19

20 Guías de Administración de TI Indicadores Claves de Metas Realzar el desempeño y administración de costos Mejora el retorno de inversión de TI Mejorar el tiempo de mercado Incrementar la calidad, innovación y la administración del riesgo Apropiada integración y estandarización de los procesos de negocio Satisfacer a los clientes actuales y conseguir nuevos clientes Reunir requerimientos y expectativas de los clientes de los procesos Adeherencia a las leyes, regulaciones, estándares de la industria y acuerdos contractuales Benchmarking de Administración Madura de TI Creación de nuevos canales de entrega de servicios 20

21 Guías de Administración de TI Ejemplos Indicadores Claves de Desempeño Mejorar el costo eficiencia de los procesos de TI (costo vs. entrega) Incrementar el número de planes de acción de TI para el mejoramiento de los procesos Incrementar la utilización de la infraestructura de TI Incrementar la satisfacción de los accionistas Mejorar la productividad del staff (número de entregas) Incrementar disponibilidad de conocimiento e información para la administración empresarial Incrementar la liga entre la administración de Ti y la empresarial Mejorar el rendimiento mediante la medición usando el Cuadro de Mando Integral de TI 21

22 COMO EMPLEAR LOS RESULTADOS DEL BENCHMARK Análisis de las brechas y sus impactos Porqué se dan las Brechas? Porque las Prácticas Administrativas De la Empresa aplicadas a la Tecnológía de Información, son diferentes a las propuestas por el Modelo COBIT. Porque los niveles de madurez objetivo y actual son diferentes, porque hay brechas en las mediciones desarrolladas por medio de los Factores claves de éxito, los indicadores de cumplimiento de metas y los indicadores del desempeño. Análisis de las brechas y sus impactos 22

23 COBIT- Aplicación del Modelo ALTA GERENCIA - UNIDADES de NEGOCIO - GERENCIA TI EVALUACION 1 ADMINISTRATIVA 2 Dominios TI (4) EVALUACION Procesos/ Actividades (34) 1 AUDITORIA 3 PERSONALIZACIÓN DE LAS GUIAS EJECUCIÓN DE LA AUDITORIA (318)Objetivos de control (34) Guías Auditoria de TI 1: Alto Nivel Control 2: Nivel Detallado Control 3: Nivel Detallado Auditoría 23

24 Como Administrar el Proceso? COMO EL PROCESO ES COMPLEJO Y REQUIERE DEL MODELAJE DE INFORMACIÓN Y SU PROCESAMIENTO, EN LA IMPLANTACIÓN SE REQUIERE DE UNA HERRAMIENTA DE PRODUCTIVIDAD QUE LO SOPORTE CON LA FINALIDAD DE PODER MEDIR LOS CAMBIOS EN LOS PROCESOS DE NEGOCIO Y SU POSTERIOR IMPACTO EN LA TECNOLOGÍA DE INFORMACIÓN 24

25 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI Las Personas que soportan Efectiva y eficientemente la Administración de los servicios De TI La asignación de responsabilidades para realizar actividades específicas, para grupos o individuos en la Organización Gente Gente Estructura Y Roles Métricas Metricas La asignación de indicadores que permitirán medir todas las actividades realizadas por los recursos de TI. Los controles asignados a los Procesos de TI, para asegurar la Eficiencia y efectividad en la atención de los requerimientos de los usurios. Controles Tecnología La tecnología que es soportada y entregada por la TI Procesos Las actividades que son realizadas por los clientes internos y externos para producir los productos de la Organización. 25

26 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI ITIL ISO COBIT V3 Por determinar Estructura Y Roles COBIT V3 Gente Gente Métricas Metricas COBIT V3 ISO Controles Tecnología Procesos COBIT ITIL ISO ITIL 26

27 COMO COMBINAR LOS MODELOS DE MEJORES PRÁCTICAS? Qué vamos A ser? Visión y Objetivos BS ISO COBIT Qué somos Ahora? Evaluación de Prácticas Actuales Como lo vamos a Lograr? Diseño de los Procedimientos De TI ITIL ISO COBIT Como sabemos Que lo logramos? Métricas Cobit V3. Management Guides 27

28 COMO IMPLEMENTAR EL MODELO Preguntas? 28