COBIT5
COBIT5
COBIT5
DE TECNOLOGÍAS, RIESGOS
Y SEGURIDAD DE LA
INFORMACIÓN
CURSO 1: GOBIERNO DE TECNOLOGÍAS DE
LA INFORMACIÓN CON COBIT 5
2
Familiarización con los principios, habilitadores, introducción a la
implementación y evaluación de la capacidad de los procesos.
Un vocabulario estandarizado para describir los procesos del marco de
trabajo.
Un entendimiento de la relevancia de reconocer el Gobierno y la Gestión de
TI para mi organización.
Preparación para el examen de certificación de COBIT 5 por APMG ®
3
Tiempo
Título
aproximado
Introducción 1 hora
Visión y características clave de COBIT 5 1 horas
Principios de COBIT 5 4 horas
Habilitadores de COBIT 5 4 horas
Introducción a la implementación de COBIT 5 2 horas
Modelo de evaluación de la Capacidad de Procesos 3 horas
Total: 15 horas
4
⦁ Propósito del curso de fundamentos de COBIT 5.
⦁ Audiencia objetivo
⦁ Introducción y propósito de las guías de facilitadores.
⦁ Estructura del material
⦁ Preparación del examen.
5
Tener el suficiente conocimiento y entendimiento
de las guías del COBIT 5, que conlleve al
entendimiento del Gobierno y Gestión de TI.
7
⦁ El candidato al examen debe conocer los principios clave y terminología de COBIT 5.
8
9
La Asociación de Auditoría y Control de Sistemas de Información (Information Systems
Audit and Control Association) - web: www.isaca.org.
1967: Es un grupo pequeño de personas con trabajos similares relacionados a
controles de auditoría en los sistemas que se estaban haciendo cada vez más críticos
y que discutieron la necesidad de tener una fuente centralizada de información y
guía.
1969: El grupo se llamo EDP Auditors Association (Asociación de Auditores de
Procesamiento Electrónico de Datos).
1976: La asociación se denominó como ISACA para llevar a cabo proyectos de
investigación de gran escala para expandir los conocimientos y el valor del campo de
la gobernabilidad y el control de TI.
10
ISACA se encuentra presente en Asia, Norte y Latinoamérica, Europa, Africa y
Oceanía. Entre sus miembros incluyen auditores internos y externos, CEO’s, CFO’s,
CIO’s y profesionales en la educación, profesionales de control y seguridad de la
información, gerentes de negocio, estudiantes y consultores de TI.
Actualmente existen 200 capítulos en más de 80 países.
11
Visión general y características clave de COBIT 5
5 Principios de COBIT 5
7 Habilitadores de COBIT 5
Introducción a la implementación de COBIT 5
Modelo de evaluación de capacidad de procesos
Simulacro de examen de certificación
12
Visión General de COBIT 5
13
I. Introducción
II. Razones para el desarrollo de COBIT 5.
III. La historia de COBIT 5.
IV. Los motivadores para el desarrollo del Framework.
V. Los beneficios de utilizar COBIT 5.
VI. Formato y arquitectura del producto COBIT 5.
VII. COBIT 5 y otros marcos de trabajo.
14
COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar
sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una
manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo
el equilibrio entre la generación de beneficios y la optimización de los niveles de
riesgo y el uso de recursos.
15
- Compendio de mejores prácticas aceptadas
internacionalmente.
- Orientado al gerenciamiento de las
tecnologías de información.
- Complementado con herramientas y
capacitación.
- Gratuito.
- Respaldado por una comunidad de expertos
- Está en evolución permanente.
- Mantenido por una organización sin fines de
lucro, con reconocimiento internacional.
- Mapeado con otros estándares.
- Orientado a Procesos, sobre la base de
Dominios de Responsabilidad.
16
- Estándares internacionales, una metodología.
- La solución a todos los problemas de TI.
- Sólo para empresas medianas y grandes.
- Muy costoso de implementar.
- El reemplazo a todos los demás estándares y
buenas prácticas de la industria.
- Obligatorio de implementar para las empresas
del sector financiero.
17
⦁ COBIT 5 es producto de la mejora estratégica de ISACA impulsando la próxima
generación de guías sobre el Gobierno y la Administración de la información y los
Activos Tecnológicos de las Organizaciones.
18
Considerar la dependencia creciente del éxito de la
empresa en contratistas externos, proveedores, nube,
consultores, clientes.
Tratar con la cantidad de información, que ha crecido
significantemente en el tiempo.
Tratar TI mucho más parte integral de la empresa en los
proyectos empresariales, estructuras de organización,
gestión de riesgos, políticas, técnicas, procesos, etc.
Proporcionar orientación adicional en el ámbito de la
innovación y las tecnologías emergentes.
Cubrir completamente las responsabilidades funcionales
de TI y del negocio, y todos los aspectos que llevan a la
gestión y el gobierno eficaz de las TI de la empresa.
Adquirir mejor control sobre soluciones de TI adquiridas
y controladas por los usuarios.
19
Gobierno Corporativo de TI
Evolución del alcance
Alineamiento de TI y Negocio
Gestión de TI
Auditoría de TI
Control
interno
COBIT1 COBIT2 COBIT3 COBIT4/4.1 COBIT 5
20
21
22
⦁ Val IT es un marco de referencia de gobierno que incluye principios rectores
generalmente aceptados y procesos de soporte relativos a la evaluación y
selección de inversiones de negocios de TI.
23
Fuente COBIT® 5, Figura 11. © 2012 ISACA® Todos los Derechos Reservados.
24
Proveer guía sobre:
o La arquitectura de la empresa.
o La gestión de activos y servicios de TI (desde un enfoque del negocio).
o Servicios emergentes y modelos organizacionales.
o Innovación y tecnologías emergentes.
Responsabilidades en todo el negocio y en todo TI.
Controles para los usuarios que inician las operaciones y para las soluciones
controladas por TI.
* Drivers / Conductores
25
La empresa tiene necesidad de lograr:
* Drivers / Conductores
26
¡NO es simplemente TI y no es sólo para empresas grandes!
27
Gobierno: Asegura que se evalúan las
necesidades, condiciones y opciones de las
partes interesadas para determinar que se
alcanzan las metas corporativas equilibradas y
acordadas; estableciendo la dirección a través de
la priorización y la toma de decisiones; asimismo,
monitoreando el rendimiento y el cumplimiento
respecto a la dirección y metas acordadas.
28
Las organizaciones y sus ejecutivos están
haciendo esfuerzos para: ¿Cómo se logran estos
◦ Mantener información de calidad para apoyar beneficios con el fin de crear
las decisiones del negocio. valor para las partes
◦ Generar un valor al negocio a partir de las interesadas de la organización?
inversiones habilitadas por TI. Es decir, lograr
metas estratégicas y mejoras al negocio
mediante el uso eficaz e innovador de la TI.
◦ Lograr una excelencia operativa mediante la
aplicación eficiente y fiable de la tecnología.
◦ Mantener el riesgo relacionado con TI a niveles
aceptables.
◦ Optimizar el costo de la tecnología y los
servicios de TI.
29
Entregar valor a las partes interesadas de la organización, se requiere un buen
Gobierno y Gestión de los activos de TI y de la información.
Dar marco integral que ayuda a las organizaciones a lograr su metas y entregar valor
mediante un gobierno y una gestión efectivos de la TI de la organización.
30
Ayuda a las organizaciones a crear un valor óptimo a partir de la TI, al mantener un
equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y
utilización de los recursos.
Permite que las TI se gobiernen y gestionen de una manera holística a nivel de toda la
organización, incluyendo el alcance completo de todas las áreas de responsabilidad
funcionales y de negocios, considerando los intereses relacionados con la TI de las
partes interesadas internas y externas.
Los principios y habilitadores de COBIT 5 son genéricos y útiles para las organizaciones
de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.
31
Las empresas están bajo presión constante de:
◦ Incrementar la realización de beneficios mediante el
uso efectivo e innovación de TI.
🞄 Generar valor de negocio de nuevas inversiones
empresariales invirtiendo en TI como apoyo.
🞄 Lograr una excelencia operacional de la aplicación
de la tecnología.
◦ Mantener los riesgos de TI a niveles aceptables.
◦ Controlar los costos de servicios de TI y tecnologías.
◦ Asegurar la colaboración de TI y el negocio, que
conduzca a la satisfacción del usuario de negocio con
el compromiso de TI y sus servicios.
◦ Cumplir con las leyes, regulaciones y políticas
internas.
32
⦁ Simplificado:
◦ COBIT 5 directamente se enfoca en las necesidades del lector desde distintas
perspectivas.
◦ El desarrollo continua con guías profesionales específicas.
⦁ COBIT 5 presenta inicialmente 3 volúmenes:
◦ El Marco de Trabajo (Framework).
◦ La guía de Referencia de Procesos.
◦ La guía de Implementación.
⦁ COBIT 5 está basado en:
◦ 5 principios
◦ 7 habilitadores / facilitadores/catalizadores
33
34
35
1. ISO/IEC 38500
6 principios del ISO están mapeados con COBIT 5 (Apéndice E).
2. ITIL®
Las siguientes áreas y dominios de COBIT 5 están cubiertas por ITIL:
◦ Un subconjunto de procesos en el domino DSS.
◦ Un subconjunto de procesos en el dominio BAI.
◦ Algunos procesos en el dominio APO.
3. ISO/IEC 27000:
Las siguientes áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000:
◦ Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.
◦ Varias actividades relacionadas con la seguridad dentro de procesos en otros
dominios.
◦ Actividades de supervisión y evaluación del dominio MEA.
36
4. ISO/IEC 31000
Las siguientes áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 31000:
◦ Procesos relativos a la gestión del riesgo en los dominios EDM y APO.
37
Fuente: ISACA. “COBIT 5. Un Marco de Negocio para el Gobierno y la Gestión de las TI de la
Empresa», fig. 25.
38
7. TOGAF® (The Open Group Architecture Framework)
◦ Procesos relativos a los recursos en el dominio EDM (gobierno) .
◦ Los componentes TOGAF en el Comité de Arquitectura y áreas de Gobierno.
Varios componentes de TOGAF se mapean con la práctica COBIT 5 de provisión de
servicios para la arquitectura de la empresa. Esto incluye:
– Gestión de los Requisitos ADM.
– Principios de Arquitectura.
– Gestión de las Partes Interesadas.
– Evaluación de la Disposición a la Transformación del Negocio.
– Gestión del Riesgo.
– Planificación basada en las Capacidades.
– Conformidad con la Arquitectura.
– Contratos de Arquitectura.
39
Simplificado:
◦ COBIT 5 directamente se enfoca en las necesidades del lector desde diferentes
perspectivas.
◦ El desarrollo continua con guías profesionales específicas.
COBIT 5 presenta inicialmente 3 volúmenes:
◦ El Framework.
◦ La guía de referencia de procesos.
◦ La guía de implementación.
COBIT 5 está basado en:
◦ 5 principios.
◦ 7 habilitadores / facilitadores / catalizadores.
40
41
Visión y características clave de COBIT 5
7 Habilitadores de COBIT 5
Introducción a la implementación de COBIT 5
42
Principio 1: Satisfacer las necesidades de las Partes Interesadas
Principio 2: Cubrir la Compañía de Forma Integral
Principio 3: Aplicar un solo Marco Integrado
Principio 4: Habilitar un Enfoque Holístico
Principio 5: Separar el Gobierno de la Gestión
43
COBIT 5 resumió 5 acciones que las
organizaciones pueden realizar para
Gobernar y Gestionar efectivamente
su información y su tecnología. Los
principios, que forman la base del
marco de referencia COBIT 5, pueden
beneficiar a cualquier empresa, sin
importar su tamaño, ubicación o
industria.
44
Las compañías existen para crear valor para sus partes interesadas (stakeholders).
Necesidades de
las partes
interesadas
45
⚫ Las necesidades de las Partes Interesadas deben Impulsadoresde las Partes Interesadas
(Medio Ambiente, Evolución Tecnológica, …)
ser transformadas en una estrategia accionable
para la organización. Influencian
Define a Pasan a
47
Las preocupaciones de los stakeholder externos incluyen:
48
Las preocupaciones de los stakeholder internos incluyen:
49
Paso 1: Identificar que influencias llegan a los stakeholders.
Por ejemplo:
Cambio en la estrategia.
Cambios en el entorno de negocio.
Cambios en el entorno regulatorio y las leyes.
Tecnologías nuevas y emergentes.
50
51
Paso 2: Cascada de las Necesidades de las Partes Interesadas con las Metas del
negocio.
52
53
Paso 3 - Cascada de Metas del Negocio con las Metas de TI.
17 metas genéricas relacionadas con TI que están categorizadas dentro del CMI (BSC
en inglés). Ver el Apéndice B, figura 22 (framework) para ver las relaciones entre las
metas del negocio con TI.
54
55
56
Paso 4: Cascada de Metas de TI con las Metas de los Habilitadores.
Los procesos son uno de los habilitadores. Estos están representados en el Módulo
de Referencia de Procesos (MRP) - 37 procesos. Revisar el mapeo mostrado en el
Apéndice C, Figura 23 (framework).
57
58
⚫ Las organizaciones tienen muchas partes interesadas y “crear valor” significa cosas
diferentes – a veces conflictivas – para cada una de ellas.
⚫ El Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con
respecto a la evaluación de riesgos, los beneficios y la gestión de los recursos.
59
Esto significa que COBIT 5:
Integra el Gobierno de TI y el Gobierno Corporativo.
Cubre todas las funciones y requerimientos para gobernar y gestionar la
información de la empresa y relacionado a TI, donde quiera que la información
sea procesada.
COBIT 5 direcciona todos los servicios TI relevantes internos y externos.
No se enfoca únicamente en la «función de TI».
60
Los componentes
claves de un sistema
de Gobierno
61
Acercamiento a los elementos principales de gobierno:
62
Roles, actividades y relaciones de Gobierno:
Define QUIEN está involucrado con el Gobierno.
COMO están involucradas.
QUE hacen.
CÓMO interactúan.
63
COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las
organizaciones:
⚫ Corporativo: COSO ERM, ISO/IEC 9000, ISO/IEC 31000
⚫ Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI, etc.
Así se permite a la organización utilizar COBIT 5 como integrador marco en
Gobierno y Gestión.
Integra el conocimiento que antes estaba disperso en diferentes marcos de
referencia de ISACA.
Otorga una arquitectura sencilla para contar con guías de ISACA.
64
65
COBIT 5 y otros marcos de trabajo de ISACA:
66
67
Los Habilitadores de COBIT 5 son:
⦁ Factores que, individual y colectivamente, influyen sobre si algo funcionará – en
el caso de COBIT, Gobierno y Gestión sobre la TI corporativa.
⦁ Impulsados por las metas en cascada; es decir, las metas de alto nivel
relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.
⦁ Descritos por el marco de COBIT 5 en 7 categorías.
68
Fuente: COBIT® 5, Figura 12. © 2012 ISACA® Todos derechos reservados.
69
Los 7 Habilitadores son:
1. Procesos
Describen una serie organizada de prácticas y
actividades para lograr determinados objetivos y
producir una serie de resultados como apoyo al logro
de las metas globales relacionadas con la TI.
2. Estructuras Organizacionales
Constituyen las entidades claves para la toma de
decisiones en una organización.
70
4. Principios, Políticas y Marcos
Son los vehículos para traducir el comportamiento
deseado en una orientación práctica para la
administración diaria.
5. Información
Toda la información producida y usada por la
organización. La información es requerida para
mantener la organización andando y bien gobernada,
pero a nivel operativo, la información frecuentemente
es el producto clave de la organización en si.
71
6. Servicios, Infraestructura y Aplicaciones
Incluyen la infraestructura, la tecnología y las
aplicaciones que proporcionan servicios y
procesamiento de tecnología de la información
a la organización.
72
⚫ Administración y Gobierno sistémico mediante habilitadores interconectados
Para lograr los objetivos principales de la organización, siempre debe considerarse
una serie interconectada de habilitadores, o sea, cada habilitador:
⚫ Necesita una entrada de otros habilitadores para ser completamente efectivo,
o sea, los procesos necesitan información, las estructuras organizacionales
necesitan habilidades y comportamiento.
⚫ Entrega un producto de salida a beneficio de otros habilitadores, o sea, los
procesos entregan información, las habilidades y el comportamiento hacen
que los procesos sean eficientes.
⚫ Esto constituye un principio clave que surge del trabajo de desarrollo de ISACA en
el Modelo de Negocios para la Seguridad de la Información (BMIS por su sigla en
inglés).
73
Las Dimensiones Habilitadores de COBIT 5:
Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de
dimensiones comunes:
◦ Proporciona una manera común, sencilla y estructurada para tratar los habilitadores.
◦ Permite a una entidad manejar sus interacciones complejas.
◦ Facilita resultados exitosos de los habilitadores.
Interesadas • • • Prácticas
• Calidad Contextual • Diseñar • Productos de Trabajo
• Internas (Relevancia, • Construir/Adquirir/ (Entradas/Salidas)
• Externas Efectividad) Crear/Implementar
• Accesabilidad y • Usar/Operar
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer
Habilitadores
74
Fuente: COBIT® 5, Figura 13. © 2012 ISACA® Todos derechos reservados.
75
Calidad Intrínseca: La medida en que los habilitadores trabajan con precisión, de
manera objetiva, proporcionan resultados precisos, objetivos y de renombre.
Debe cumplir con reglas externas e internas.
Calidad Contextual: La medida en que los habilitadores y sus resultados son aptos
para el propósito, dado el contexto en el que operan. P.e: el resultado debe ser
relevante, completo, actualizado, adecuado, coherente, comprensible y fácil de
usar.
76
El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la
Administración.
77
Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como
las condiciones y opciones, para determinar los objetivos corporativos balanceados
acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así
como monitorear el desempeño, cumplimiento y progreso comparándolos contra las
directivas y objetivos fijados (EDM).
78
COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los
procesos de gobierno y administración de tal manera que las áreas claves queden
cubiertas, tal como se muestra a continuación:
79
Una compañía puede organizar sus procesos como estime conveniente, siempre
y cuando queden cubiertos todos los objetivos necesarios de gobierno y
administración. Las compañías más pequeñas podrán tener menos procesos, las
compañías más grandes y más complejas podrán tener muchos procesos, todos
para cubrir los mismos objetivos.
80
81
Catalizador Interacción Gobierno - Gestión
Procesos En el ilustrativo modelo de procesos de COBIT 5 (Procesos catalizadores), se distingue entre los procesos de
gobierno y de gestión, incluyendo conjuntos específicos de prácticas y actividades para cada uno. El modelo de
procesos también incluye una matriz RACI que describe las responsabilidades de las diferentes estructuras
organizativas y roles en la empresa.
Información El modelo de procesos describe las entradas y salidas de los distintos procesos basados en prácticas a otros
procesos, incluyendo la información intercambiada entre los procesos de gobierno y gestión. La información
empleada en evaluar, orientar y supervisar la TI empresarial es intercambiada entre el gobierno y gestión tal como
se describe en las entradas y salidas del modelo de procesos.
Estructuras En cada empresa, se definen varias estructuras organizativas; en función de su composición y ámbito de
organizativas decisiones, las estructuras pueden ubicarse en el área de gobierno o en el de gestión. Dado que el gobierno trata
acerca de establecer la orientación, la interacción tiene lugar entre las decisiones tomadas por las estructuras de
gobierno – por ejemplo, decidir sobre la cartera de inversiones y establecer el umbral de riesgo – y las decisiones y
operaciones que las implementan.
Principios, Los principios, políticas y marcos son los vehículos mediante los cuales las decisiones de gobierno son sancionadas
políticas y marcos en la empresa, y por esta razón son una interacción entre las decisiones de gobierno (establecer orientaciones) y
de gestión (ejecutar las decisiones).
Cultura, ética y El comportamiento también es un catalizador clave del buen gobierno y la gestión empresarial. Se establece al más
comportamientos alto nivel (liderando mediante el ejemplo) y es, por tanto, una interacción importante entre el gobierno y la
gestión.
Personas, Las actividades de gobierno y de gestión requieren conjuntos de habilidades distintas, pero una habilidad esencial
habilidades y para miembros tanto del órgano de gobierno como de gestión es entender tanto las propias actividades como
competencias cuáles son sus diferencias.
Servicios, Se requieren servicios, soportados por las aplicaciones e infraestructura , para promocionar la información
infraestructura y adecuada al órgano de gobierno y soportar las actividades de gobierno a la hora de evaluar, establecer la
aplicaciones orientación y supervisar.
82
83
⦁ Visión y características clave de COBIT 5
⦁ 5 Principios de COBIT 5
84
Principio 4: Habilitar un enfoque holístico
Habilitador 1: Principios, Políticas y Marcos de Referencia
Habilitador 2: Procesos
Habilitador 3: Estructura Organizacional
Habilitador 4: Cultura, Ética y comportamiento
Habilitador 5: Información
Habilitador 6: Servicios, Infraestructura y Aplicaciones
Habilitador 7: Personas, Habilidades y competencias
85
Gobierno y Gestión sistémicos mediante Catalizadores interconectados.
La figura transmite la mentalidad que debería ser adoptada para el gobierno corporativo,
incluyendo el gobierno de TI, que es alcanzar las principales metas corporativas. Cualquier
empresa debe siempre considerar un conjunto interconectado de catalizadores. Es decir,
cada catalizador:
Necesita del resultado de otros catalizadores para ser completamente efectivo, por
ejemplo, los procesos necesitan información, las estructuras organizativas necesitan
habilidades y comportamiento.
Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los
procesos proporcionan información, habilidades y el comportamiento hace los
procesos eficientes.
86
87
88
El propósito es comunicar la dirección e instrumentos para informar las reglas de la
empresa, soportar los objetivos de gobierno y los valores de la empresa tal y como han
sido definidos por el Consejo Directivo (Board) y la Gestión Ejecutiva.
Metas y métricas: Los principios, políticas y marcos de referencia son los instrumentos
para comunicar las reglas, en apoyo a las metas de gobierno y los valores de la
empresa, conforme los define el Consejo y el comité ejecutivo de dirección.
Diferencias entre Principios y Políticas.
Principios:
Necesitas ser limitados en número.
Establecidos en un lenguaje simple, expresando tan claramente como sea posible
los valores fundamentales de la empresa.
Políticas:
Guías más detalladas sobre como los principios pueden ponerse en práctica.
89
La características de buenas políticas deben ser:
Efectivas: Lograr su propósito.
Eficientes: Especialmente cuando son implementadas.
No-intrusivas: Deben tener sentido y ser lógica para quienes deben cumplirlas (no
generan resistencia innecesaria).
Acceso a las políticas: Deben tener un acceso fácil a todas las partes interesadas,
estos deben saber saben dónde encontrar las políticas.
Las políticas deben ser un mecanismo (marco de referencia) en operación donde
puedan ser efectivamente gestionadas y los usuarios sepan que hacer.
Específicamente deben ser:
Exhaustivas: Cubriendo todas las áreas necesarias.
Abiertas y flexibles: Permitiendo una fácil adaptación a la situación específica de la
empresa.
Vigentes y actualizadas: Personas están al tanto de novedades y que las nuevas
versiones se pongan fácilmente a disposición.
Disponibles y accesibles a todas las partes interesadas.
90
Los requerimientos de buenas prácticas para políticas y marcos de referencia son
importantes, especialmente:
En su alcance.
Consecuencia por el incumplimiento de la política.
La manera de manejar excepciones.
Cómo monitorear su cumplimiento.
Los vínculos y relaciones entre Principios, Políticas y Marcos de Referencia y otros
habilitadores:
Principios, políticas y marcos de referencia reflejan la cultura, la ética y los valores
de la empresa.
Los procesos son el más importante vehículo para la ejecución de la políticas.
Las estructuras organizacionales pueden definir e implementar políticas.
Las políticas hacen parte de la Información.
91
92
Un proceso se define como ‘una colección de prácticas influenciadas por las políticas y
procedimientos de la empresa que toma entradas de un número dado de fuentes
(incluyéndose otros procesos), manipulando las entradas y produciendo salidas (p. ej.,
productos, servicios).’
Partes interesadas: Tienen partes interesadas internas y externas, cada una con sus
propios roles; las partes interesadas y sus niveles de responsabilidad están
documentadas en las matrices RACI. Entre las partes interesadas externas se
incluyen a los clientes, socios comerciales, accionistas y reguladores. Entre las
internas se incluyen el Consejo, la dirección, empleados y voluntarios.
93
Ciclo de vida: Cada proceso tiene un ciclo de vida. Éste se define, crea, opera,
supervisa y se adapta/actualiza o retira.
Las prácticas generales sobre procesos, como las que se definen en el modelo de
evaluación de procesos de COBIT basadas en ISO/IEC 15504, pueden ayudar en la
definición, ejecución, supervisión y optimización de los procesos.
94
Estructura de la plantilla de MPR (basado en el ISO 15504 – definición de procesos y
estructura).
El MRP está divido en el dominio de Gobierno con 5 procesos llamados “EDM”
(Evaluar, Dirigir y Monitorear).
4 dominios de Gestión denominados APO (Alinear, Planear y Organizar), BAI
(Construir, Adquirir e Implementar), DSS (Entregar, Servicio y Soporte) y MEA
(Monitorear, Evaluar y Valorar).
APO contiene 13 procesos, BAI 10 procesos, DSS 6 procesos y MEA 3 procesos.
En total son 37 procesos: 32 para Gestión y 5 para Gobierno.
95
96
Todos los procesos del COBIT 5 están dividos en:
Descripción del proceso.
97
Un proceso está definido como una colección de prácticas influenciadas por las
políticas, procedimientos de la organización que toma entradas de un número de
fuentes (incluyendo otros procesos) manipula las entradas y produce salidas (p.e:
productos /servicios).
Prácticas de Proceso: Estos son definidos como «guías» de alto nivel necesarias
para lograr las metas de los procesos.
Actividad de los Procesos: Estos son definidos como «guías» para lograr las
prácticas de la gestión para un gobierno y gestión exitoso de la organización de TI.
Entradas y Salidas: Estos son los productos/artefactos que son considerados
necesarios para soportar la operación de los procesos.
98
Prácticas:
Declaraciones sobre acciones que proporcionan beneficios, optimizan el nivel de
riesgo y el uso de los recursos
Están alineadas con los estándares y buenas prácticas más relevantes y
comúnmente aceptadas
Son genéricas (necesitan adaptarse a cada organización).
99