Curso Sistemas de Información Hospitalarios Principios de COBIT 5 (Control Objectives for Information and related Technology) Aplicación a Sistemas de Información Hospitalarios Docente: Ing. Luis Osorio S. (MBA)
Principios de COBIT 5 (Control Objectives for Information and related Technology) ITGI: IT Governance Institute (www.itgi.org) entidad de investigación independiente que provee guía para la comunidad de negocios internacional en temas relacionados a la gobernanza de activos TI. ISACA es una asociación profesional internacional que se ocupa de IT Governance. Es un miembro afiliado de IFAC (Federación Internacional de Contadores). Anteriormente conocida como Asociación de Sistemas de Información de Auditoría y Control Association, ISACA ahora va por su sigla solamente, para reflejar la amplia gama de profesionales de gobierno de TI que sirve. ITGI fue establecido por ISACA en 1998 para ayudar a asegurar que las inversiones TI entreguen valor y sus riesgos sean mitigados a través del alineamiento con los objetivos de la empresa, los recursos TI sean adecuadamente localizados y el desempeño de las TI es medido. ITGI desarrolló CobiT yval IT.
Información Información es un recurso clave para todas las empresas. La información es creada, usada, retenida, abierta y destruida. La Tecnología juega un rol clave en estas acciones. La Tecnología esta siendo cada día mas y mas importante en todos los aspectos de la vida diaria y los negocios. Qué beneficios otorga a las empresas la información y tecnología? 3
Beneficios a la empresa La empresa y sus ejecutivos hacen esfuerzos para: Mantener la calidad de la información para soportar las decisiones de negocios. Generar business value de las inversiones en TI, alcanzar los objetivos estratégicos y lograr beneficios de negocios a través de un efectivo e innovador uso de las TI. Alcanzar excelencia operacional a través de una confiable y eficiente aplicación de la tecnología. Mantener riesgos relacionados a TI a un nivel aceptable. Optimizar el costo de los servicios y tecnología TI. Cómo pueden estos beneficios ser alcanzados para crear valor para stakeholders? 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 4
Stakeholder Value Entregar valor a stakeholders requiere buena gestión y governance de los activos TI. Equipos directivos empresariales, gerentes y ejecutivos deben abordar las TI como cualquier otra parte significativa del negocio. Requerimientos legales, regulatorios y de cumplimiento contractual externos relacionados al uso de la información y tecnología de la empresa están aumentando, amenazando el valor si se genera brecha. COBIT 5 provee un completo patrón que asiste a las empresas a lograr sus metas y generar valor a través de una efectiva governance y gestión de la TI de la empresa. 5
El Marco COBIT 5 Establecido en términos simples, COBIT 5 ayuda a las empresas a crear un valor optimo de las TI manteniendo un balance entre lograr beneficios y optimizar niveles de riesgos y uso de recursos. COBIT 5 permite que la información y tecnologías relacionadas sean gestionadas de una manera holística para la empresa completa, tomando el negocio y areas funcionales de principio a fin, considerando los intereses de temas relacionados a TI de stakeholders internos y externos,. Los principios y habilitantes de COBIT 5 son genéricos y útiles para empresas de todos los tamaños, ya sean comerciales, sin fine de lucro o gubernamentales. 6
Principios de COBIT 5 7 Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.
Habilitantes de COBIT 5 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 8
Governance and Management Governance asegura que se alcancen los objetivos de la empresa evaluando las necesidades de stakeholders, condiciones y opciones; establecer dirección a través de la priorización y toma de decisiones; y monitoreo del desempeño, cumplimiento y progreso contra dirección y objetivos acordados (EDM: Evaluation, Direction, Monitoring). Management planea, construye, ejecuta y monitorea actividades en alineamiento con la dirección establecida por la governance para alcanzar los objetivos empresariales (PBRM: Planning, Building, Running, Monitoring). 9
Governance Management Governance: EDM Management: PBRM
En Resumen COBIT 5 reúne los cinco principios que permiten a la empresa construir una efectiva governance y gestionar marcos basados en un conjunto holístico de siete habilitantes que optimizan la inversión en información y tecnología y utiliza para el beneficio de los stakeholders. 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 11
COBIT 5
Evolution of scope COBIT 5: Ahora un completo Marco de Negocios Governance of Enterprise IT IT Governance Management Val IT 2.0 (2008) Control Audit Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 A business framework from ISACA, at www.isaca.org/cobit 13 2012 ISACA All rights reserved.
COBIT 5 Framework COBIT 5: Contiene resumen ejecutivo y una completa descripción de los componentes del marco COBIT 5: Los cinco principios COBIT 5. Los siete habilitantes COBIT 5. Además Una introducción a las guías de implementación provistas por ISACA ISACA (COBIT 5 Implementation) Una introducción al Programa de Estimación COBIT (no específico a COBIT 5) y los procesos de ISACA para COBIT 14
Familia de productos COBIT 5 Source: COBIT 5, figure 11. 2012 ISACA All rights reserved. 15
Los cinco principios COBIT 5 Los cinco principios COBIT 5: 1. Reunir las necesidades de Stakeholder 2. Cubrir la empresa de punta a punta 3. Aplicar un marco único e integrado 4. Habilitar una aproximación holística 5. Separar Governance del Management 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 16
Principio 1: Cumplir las necesidades de los Principio 1: Reunir las necesidades de los Stakeholders Debería ser obvio. Después de todo, se supone que la TI reúne y entrega lo que la gente necesita. Pregúntese: sucede esto tan eficientemente como debiera? Más importante pueden ser mejorados estos Stakeholders procesos?
1. Reunir las necesidades de los Stakeholder Principio 1. Reunir las necesidades de los Stakeholder La empresa existe para crear valor para sus stakeholder. 18 Source: COBIT 5, figure 3. 2012 ISACA All rights reserved.
1. Reunir las necesidades de stakeholders (cont.) Principio 1. Reunir las necesidades de Stakeholder: La empresa tiene muchos stakeholders, y creación de puede tener muchos significados diferentes y a veces conflictivos para cada uno de ellos. Governance trata acerca de negociar y decidir entre los diferentes intereses de los stakeholders. El sistema de Governance debería considerar todos los stakeholders cuando se toman decisiones de beneficios, recursos y análisis de riesgos. Para cada decisión, lo siguiente puede y debería ser preguntado: - quien recibe el beneficio? - quien corre el riesgo? - que recursos se requieren? 19
1. Reunir las necesidades de Stakeholder (cont.) Principio 1. Reunir las necesidades de Stakeholder: Las necesidades de los Stakeholder necesitan ser transformadas en estrategias accionables en la empresa. Los objetivos cascada de COBIT 5 trasladan las necesidades de Stakeholders en metas específicas, accionables y adaptadas dentro del contexto de la empresa, metas relacionadas a TI y metas habilitantes. 20 Source: COBIT 5, figure 4. 2012 ISACA All rights reserved.
1. Reunir las necesidades de Stakeholder (cont.) Principio 1. Reunir las necesidades de Stakeholder: Beneficios de metas cascada de COBIT 5: Permite la definición de prioridades de implementación, mejoramiento y aseguramiento del Governance de TI empresarial basada en objetivos estratégicos de la empresa y riesgos relacionados. En la práctica, las metas cascada: Definen metas y objetivos relevantes y metas tangibles a diversos niveles de responsabilidad. Filtra la base de conocimiento de COBIT 5, basada en metas empresariales para extraer guías relevantes para la inclusión en implementaciones específicas o proyectos de mejora o aseguramiento. Identifica y comunica claramente cómo los habilitantes son importantes para alcanzar metas empresariales. 21
1. Reunir las necesidades de Stakeholder (cont.) 22
1. Reunir las necesidades de Stakeholder (cont.) 23
Principio 2: Cubrir el Hospital de Principio 2: Cubrir la empresa de punta a punta No es secreto que el lado negocio y la TI necesitan adecuar bien. Dado que esto nunca ocurre, TI no siempre ha sido capaz de cubrir la empresa Punta de punta a punta. Punta Como puntos de COBIT 5. es muy importante ir adelante.
2. Cubriendo el hospital de punta a punta Principio 2. Cubriendo la empresa de punta a punta: COBIT 5 direcciona el Governance y la gestión de información y tecnologías relacionadas desde una perspectiva de empresa de punta a punta. Esto significa que COBIT 5: Integra la Governance de TI empresarial en Governance de empresa, es decir, el sistema de Governance para TI propuesto por COBIT 5 se integra en cualquier sistema de Governance porque COBIT 5 alinea con las últimas vistas de Governance. Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca solamente en la función TI, sino también trata información y tecnologías relacionadas como activos que necesitan ser tratados como cualquier otro activo en la empresa. 25
2. Cubriendo el hospital de punta a punta (cont.) Principio 2. Cubriendo el hospital de punta a punta Componentes clave de un sistema de Governance Source: COBIT 5, figure 8. 2012 ISACA All rights reserved. 26 Source: COBIT 5, figure 9. 2012 ISACA All rights reserved.
Principio 3: Aplicar un Framework Singular Integrado
3. Aplicar un Framework Singular e Integrado Principio 3. Aplicar un Framework Singular e Integrado: COBIT 5 alinea con los últimos estándares relevantes y frameworks utilizados por las empresas: Empresarial: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI Etc. Esto permite que la empresa utilice COBIT 5 como un framework integrador para Governance y Management. 28
Principio 4: Habilitando una aproximación Holística
4. Habilitando una aproximación holística Principio 4. Habilitando una aproximación holística Los habilitantes COBIT 5 son: Factores que, individual y colectivamente, influyen acerca de si algo trabajará en el caso de COBIT, Governance y Management sobre la TI empresarial. Manejados por las metas cascada, es decir, metas TI de alto nivel definen lo que los diferentes habilitadores deberían lograr. Descrito por el framework COBIT 5 en siete categorías 30
4. Habilitando una aproximación holística (cont.) Principio 4. Habilitando una aproximación holística (habilitantes) 31 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.
4. Habilitando una aproximación holística (cont.) Principio 4. Habilitando una aproximación holística : 1. Procesos Describen un conjunto de practicas y actividades organizado para alcanzar ciertos objetivos y producir un conjunto de salidas en soporte de alcanzar todas las metas relacionadas a TI 2. Estructuras Organizacionales Son las entidades que toman las decisiones clave en una organización. 3. Cultura, ética y comportamiento De los individuos y las organizaciones; muy a menudo subestimado como clave de éxito en actividades de Governance y Management. 4. Principios, políticas y frameworks Son los vehículos para trasladar el comportamiento deseado en guías prácticas para la gestión del día a día 5. Información La Información es requerida para mantener la organización funcionando y bien gobernada, pero además a nivel operacional, la información es muy a menudo el producto clave de la empresa en sí. 6. Servicios, infraestructuras y aplicaciones Incluye la infraestructura, tecnología y aplicaciones que proveen a la empresa la tecnología de información, su procesamiento y servicios. 7. Personas, habilidades y competencias Son relacionados a las personas y requeridos para una exitosa ejecución de todas las actividades y para tomar decisiones correctas y adecuadas acciones correctivas. 32
4. Habilitando una aproximación holística (cont). Principio 4. Habilitando una aproximación holística : Governance y management sistémico a través de habilitantes interconectados Para alcanzar los principales objetivos de la empresa, debe siempre considerar un set interconectado de habilitadores. Cada habilitador debe: Necesita la entrada de otro habilitador para ser completamente efectivo, por ejemplo, procesos necesitan información, estructuras organizacionales necesitan habilidades y comportamiento. Entregar salidas para el beneficio de otros habilitantes, por ejemplo, procesos entregan información, habilidades y comportamiento hacen procesos eficientes. Esto es un principio CLAVE emanado del trabajo de desarrollo de ISACA alrededor del Business Model for Information Security (BMIS). 33
4. Habilitando una aproximación holística (cont). Principio 4. Habilitando una aproximación Holística Dimensiones de Habilitante COBIT 5: Todos los habilitantes tienen un set de dimensiones comunes. Este set de dimensiones comunes: Provee una forma común, simple y estructurada de trabajar con los habilitantes. Permite a una entidad manejar sus complejas interacciones. Facilita salidas exitosas de los habilitantes. 34 Source: COBIT 5, figure 13. 2012 ISACA All rights reserved.
Principio 5: Separando Governance del Management
5. Separando Governance del Management Principio 5. Separando Governance del Management: El framework COBIT 5 hace una clara distinción del Governance respecto del management. Estas dos disciplinas: Abarcan diferentes tipos de actividades. Requiere diferentes estructuras organizacionales. Sirve a diferentes propósitos Governance En la mayoría de las empresas, la Governance es responsabilidad del board de directores bajo el liderazgo del chairman. Management En la mayoría de las empresas, management es la responsabilidad de la gerencia ejecutiva, bajo el liderazgo del CEO (Gerente General). 36
5. Separando Governance del Management (cont.) Principio 5. Separando Governance del Management: Governance asegura que las necesidades, condiciones y opciones de los Stakeholders, son evaluadas para determinar los objetivos empresariales a ser alcanzados; establecer dirección a través de la priorización y toma de decisiones; y monitoreo de desempeño y cumplimiento contra dirección y objetivos acordados (EDM: Evaluate, Direct, Monitor). Management planifica, construye, ejecuta y monitorea actividades alineadas con la dirección establecida por la Governance para alcanzar los objetivos empresariales (PBRM: Plan, Build, Run,Monitor). 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product. 37
5. Separando Governance del Management (cont.) Principio 5. Separando Governance del Management: COBIT 5 no es prescriptivo, pero aboga para que las organizaciones implementen procesos de Governance y Management de manera que las áreas clave sean cubiertas como muestra la figura: 38 Source: COBIT 5, figure 15. 2012 ISACA All rights reserved.
5. Separando Governance del Management (cont.) Principio 5. Separando Governance del Management : El framework COBIT 5 describe siete categorías de habilitantes (Principio 4). Procesos son una categoría. Una empresa puede organizar sus procesos como sea necesario para cumplir sus objetivos de governance y management. Empresas de menor tamaño pueden tener menor cantidad de procesos; empresas más grandes y mas complejas pueden tener muchos procesos, todos para cubrir los mismos objetivos. COBIT 5 incluye un modelo de referencia de procesos (process reference model (PRM)), que define y describe en detalle un numero de procesos de governance y de management. Los detalles de este modelo habilitante específico puede ser encontrado en el volumen COBIT 5: Enabling Processes. 39
COBIT 5: Enabling Processes Procesos Habilitantes
COBIT 5: Procesos habilitantes COBIT 5: Enabling Processes complementa COBIT 5 y contiene una guía de referencia detallada a los procesos que son definidos en el modelo de referencia de procesos de COBIT 5: En el capítulo 2, las metas cascada de COBIT 5 es recapitulado y complementado con un conjunto de métricas ejemplo para los objetivos de la empresa y las metas relacionadas a TI. En Capítulo 3, el modelo de procesos de COBIT 5 es explicado y sus componentes definidos. El capítulo 4 muestra el diagrama de este modelo de procesos. El capítulo 5 contiene la información detallada de procesos para los 37 procesos COBIT del modelo de referencia. 41
COBIT 5: Procesos Habilitantes (cont.) 42 Source: COBIT 5, figure 29. 2012 ISACA All rights reserved.
COBIT 5: Procesos habilitantes (Cont.) COBIT 5: Procesos habilitantes: El modelo de referencia de procesos COBIT 5 subdivide las prácticas y actividades relacionadas a TI de la empresa en dos áreas principales governance y management con el management además dividido en dominios de procesos: El dominio de GOVERNANCE contiene 5 procesos de Governance; dentro de cada proceso son definidas las prácticas de evaluación, dirección y monitoreo (EDM). Los 4 dominios de MANAGEMENT están en línea con las areas de responsabilidad de planificación, construcción, ejecución y monitoreo (PBRM). 43
COBIT 5: Procesos Habilitantes (cont.) 44 Source: COBIT 5, figure 16. 2012 ISACA All rights reserved.
Ejemplo ( Página 43 Enabling Processes guide. Proceso EDM04. Ensure Resource Optimization)
COBIT 5 Implementation Implementación
COBIT 5 Implementation El mejoramiento de la governance de la TI de la empresa (GEIT) es ampliamente reconocido por el top management como una parte esencial de la governance de la empresa. Información y las tecnologías de información están crecientemente siendo parte esencial de cada aspecto de los negocios y la vida pública. La necesidad de manejar mas valor de las inversiones en TI y gestionar un creciente arreglo de riesgos relacionados a TI nunca ha sido mas grande. Creciente regulación y legislación sobre uso de información en los negocios también despierta la necesidad de un ambiente TI bien gobernado y bien gestionado. 47
COBIT 5 Implementation (cont.) ISACA ha desarrollado el framework COBIT 5 para ayudar a las empresas a implementar habilitadores de governance. De hecho, implementar buenas GEIT es casi imposible sin comprometer un efectivo framework de governance. Mejores prácticas y standards también están disponibles en COBIT 5. Frameworks, mejores prácticas y standards son útiles sólo si ellos son adoptados y adaptados efectivamente. Hay desafíos y temas que necesitan ser cubiertos si la GEIT será implementada exitosamente. COBIT 5: Implementation provee una guía de como hacer esto. 48
COBIT 5 Implementation (cont.) COBIT 5: Implementation cubre los siguientes temas: Posicionar GEIT dentro de la empresa Dar los primeros pasos hacia el mejoramiento de la GEIT Implementar desafíos y factores de éxito Habilitar cambios organizacionales y de comportamiento relacionados a GEIT. Implementar mejoramiento continuo que incluya habilitadores de cambio y gestión de programas. Usando COBIT 5 y sus componentes 49
COBIT 5 Implementation (cont.) 50 Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.
COBIT 5 Implementation (cont.) 51 Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.
COBIT 5 Implementation Fase 1 52 Source: COBIT 5, figure 17. 2012 ISACA All rights reserved.
COBIT 5 Future Supporting Products Próximos productos de soporte
COBIT 5 Product Family Source: COBIT 5, figure 11. 2012 ISACA All rights reserved. 54
Estadísticas de Soporte
Seguridad Móvil
Brechas
Desconección de la TI del negocio
Overrun de Proyecto
Donde está el ROI?
COBIT 5 Próximos productos de soporte Future supporting products: Professional Guides: COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk Enabler Guides: COBIT 5: Enabling Information COBIT Online Replacement COBIT Assessment Programme: Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5 63
Resumen y Conclusiones