Introducción al Gobierno Corporativo de las TI. · PDF file~COBIT® 5 Implementation...

IIntroducción al Gobierno Corporativo de las TI.

PreparaTIC, XXII Edición.

Madrid, 18.OCT.2014

iTTi | Impulsando el crecimiento

Co-fundador y Director de Análisis de iTTi, Innovation & Technology Trends Institute.

Miembro “gold” de ISACA.

Director de Análisis de ISACA Madrid, desde 2008.

Puso en marcha y coordinó el Programa Formativo de COBIT de ISACA Madrid entre 2008 y 2013.

Certified in the Governance of Enterprise IT (CGEIT®), por ISACA. (2008).

COBIT® Foundation Certificate, por ISACA (2006).

COBIT® 5 Foundation Certificate, por ISACA/APMG (2014).

COBIT® 5 Implementation Certificate, por ISACA/APMG (2014).

Accredited COBIT® Trainer, por ISACA (2007-12) y por ISACA/APMG (2014).

Certified Information Security Manager (CISM®), por ISACA (2004).

Certified Information Systems Auditor (CISA®), por ISACA (2003).

Certified in Risk and Information Systems Control (CRISC™), por ISACA (2011).

Creador de la bitácora-e “Gobernanza de TI” (http://gobernanza.wordpress.com). Rom

pien

doel

hiel

o…

Análisis

Relaciones profesionales

Encargos especiales

Formación ejecutiva

Concepto de“Gobernanza

de TI”

El caso de “la blanca Navidad …

… en la terminal”

© 2

004,

Ass

ocia

ted

Pres

s Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”

¿Alguien recuerda lo que ocurrió en 24 de diciembre de 2004? ¡¡¡No vale decir que fue Nochebuena!!!

¿A alguien le suena ?

¡¡¡No se trata de unas zapatillas con cámara de aire!!!

¡¡¡Tampoco de una película de Nicholas Cage, !!!

(Ésta es con ‘n’, aunque también va de aviones).

¿Alguien intentaba viajar por el Medio Oeste americano aquel día?

Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”

Los hechos: -62.7 millones de americanos prevén viajar ese fin de semana para celebrar la Navidad. -Una gran tormenta de nieve asola el estado de Ohio los días 22, miércoles, y 23, jueves, de diciembre. -La mayoría de los vuelos de Comair, del jueves, 23, son cancelados. -La mitad de los vuelos de Comair, del viernes, 24, son cancelados. -Las cancelaciones y retrasos en los vuelos provocan una continuada actualización del estado de las tripulaciones en el Sistema de Gestión de Tripulaciones y Turnos. -El SGTT se satura y «cae». ¡Comair se queda «ciega», sin conocer dónde, ni cómo tiene a sus tripulaciones!

Las consecuencias: -Comair deja de volar. -3.900 vuelos cancelados o retrasados. -200.000 pasajeros afectados, en 118 aeropuertos. -Miles de niños norteamericanos no reciben sus regalos de Navidad, a tiempo. -El servicio se restablece 5 días, y 20 M$, después. -Reputación queda seriamente dañada. (La de todo el sector). -El Secretario de Transportes ordena una investigación.

24.DIC.2004


¿Tuvieron la culpa los controladores?

¿Fue el mal tiempo de los días anteriores, el causante del desastre?

¿Fue debido a un mero problema informático?


El viejo sistema SGTT tenía una limitación en el número de cambios que soportaba: su arquitectura de 16 bits no le permitía registrar más de 32000 variaciones de turnos en los horarios de pilotos y tripulaciones.

El sistema había nacido como una necesidad de cumplimiento normativo; por tanto, ¿fallo la función de «adecuación» al hacer su trabajo? ¿Falló la función de «consultoría» por no saber recomendar otro sistema más seguro/fiable? ¿Falló la función de «supervisión» al no ser capaz de detectar, con anterioridad, ningún comportamiento anómalo? ¿Falló la función de «continuidad» al no contemplar un sistema de respaldo? Finalmente, ¿falló la función de “política y conformidad” al no anticiparse, introduciendo alguna normativa sobre la obsolescencia de los sistemas?


- Comair instala su nuevo «Sistema de Gestión de Tripulaciones y Turnos» para cumplir con la normativa federal de aviación

- El proveedor es SBS (filial de Boeing)

- El sistema, escrito en FORTRAN, corre sobre una plataforma IBM AIX.

24.DIC.2004 1986

- Comair se plantea sustituir el viejo SGTT por una solución basada en HP-UX.

- SBS presenta su alternativa «Maestro Crew».

- Se desestima la propuesta. El sistema, basado en Windows, es malo, poco amigable. Todo el mundo conoce y está cómodo con el viejo SGTT.

1997 1998 2000

- Los consultores de SBS diseñan un Plan Estratégico a cinco años.

- El asunto SGTT vuelve a salir a la luz.

- Se baraja la posibilidad de evaluar a ciertos proveedores con un calendario a dos años (2000).

- Sin embargo, en el camino surge una necesidad más acuciante: el proyecto Y2K.

- Comair es adquirida por Delta Airlines.

- Comair era una «joya». Delta sólo ve necesidades de mejora en «marketing».

- Ello provoca un nuevo retraso en el asunto SGTT.

2001

- Una huelga de pilotos castiga duramente a la Compañía.

- Se produce el 11-S, afectando gravemente al sector aeronáutico.

- Las inversiones en tecnología vuelven a ser miradas «con lupa».

2003

- Se aprueba la sustitución del viejo SGTT, después de 17 años de servicio; pero el nuevo sistema llegará tarde…

2005


24.DIC.2004 1986 1997 1998 2000 2001 2003

- El 18 de enero de 2005, Randy D. Rademacher, Presidente de Comair, dimite alegando «causas personales». - Meses después, la compañía seguía echando la culpa al mal tiempo …

2005


el proceso de TOMA DE DECISIONES en tornoal USO de las TI dentro de la empresa.

Recordad, en su expresión más básica, la Gobernanza de TI es


Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar

Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio

Decisión Negocio/TI




¿Cuánto ha de gastarse la organización en TI? ?





¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?






¿Qué capacidades de TI deben ser de ámbito general para toda la organización? ?






¿Qué capacidades de TI deben ser de ámbito general para toda la organización? ?

¿Necesita la organización disponer de lo último de lo último en tecnología? Esto es, ¿cuán buenos necesitan ser, en realidad, los servicios ofrecidos desde TI?

?






¿Qué capacidades de TI deben ser de ámbito general para todo la organización? ?


?

¿Qué riesgos de seguridad/privacidad está la organización dispuesta a aceptar? ?






¿Qué capacidades de TI deben ser de ámbito general para todo la organización? ?


?

¿Qué riesgos de seguridad/privacidad está la organización dispuesta a aceptar? ?

¿Quién deberá rendir cuentas, en última instancia, cuando un proyecto de TI falle? ¿Realmente, la responsabilidad última recaerá sólo en TI? ?

Conclusión: un mensaje, también, para la Dirección de Informática

Los beneficios de una estrategia de Gobernanza de TI, se presentan en una doble vertiente:

TRANSPARENCIA y VISIBILIDAD.

TINEGOCIOMERCADO

TRANSPARENCIA VISIBILIDAD (COMPLIANCE) (PERFORMANCE)

Un mensaje, también, para la Dirección de Informática:la Gobernanza de TI ofrece al área TIC la oportunidad de ganar una mayor visibilidad,

dentro de la Organización; y, al mismo tiempo, la de elevarla hacia posiciones más cercanas al negocio.


Gobierno Corporativo de TI: una disciplina fronteriza

Dominio de Negocio

Consejo de Administración

CEO Áreas de Negocio

Estrategia de Negocio Objetivos de Negocio

Dominio de TI

Dilema del CIO Hacer Más con Menos

CIO Áreas de TI

Objetivos de TI Estrategia de TI

Gobernanza de TI Sincronía

Valor – Riesgo ¿Dominio

fronterizo? Sincrrrrrronía

Valor ––– Riesgo


¿Qué dice la norma ISO/IEC

38500:2008?

Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?

¿Qué es ISO/IEC 38500:2008?

Portada de la norma international ISO/IEC 38500:2008.© ISO/IEC, 2008.

ISO/IEC 38500:2008 es una norma …

» internacional,

» de alto nivel,

» basada en principios,

» orientada a asesorar

… que proporciona directrices sobre el papel de los órganos de gobierno en relación al uso de las TI, dentro de la empresa.

Breve historia de la norma

Portada de AS 8015-2005.© Standards Australia, 2005.

Preparada, originalmente, por Standards Australia como “AS 8015-2005. Corporate Governance of Information & Communication Technology”.

El Comité Técnico Conjunto JTC1. Information Technology , de ISO/IEC, adoptó la norma australiana bajo procedimiento de tramitación rápida (“fast-track procedure”), como Borrador de Norma Internacional (“Draft International Standard”) ISO/IEC 29382.

El borrador de norma ISO/IEC DIS 29382 fue votado y aprobado por los cuerpos nacionales de normalización de ISO e IEC. (En España, AENOR).

En mayo de 2008, la futura norma ISO/IEC 29382 fue renombrada como ISO/IEC 38500.

La norma “ISO/IEC 38500:2008. Corporate Governance of Information Technology”, fue publicada, finalmente, el 1 de junio de 2008.


Objetivo

Ayudar a aquellos individuos que ocupan los niveles más altos(Dirección) de las organizaciones acomprender sus obligaciones legales, regulatorias y éticas en relación al uso de las TI dentro de las mismas.


Concepto de fondo: Gobierno Corporativo

[Informe Cadbury, 1992]:Gobierno corporativo es el sistema mediante el cual las compañías son dirigidas y controladas.

[Principios de la OCDE, 1999-2004]:Gobierno corporativo es el sistema mediante el cual las corporaciones comerciales son dirigidas y controladas.

La estructura de gobierno corporativo especifica la distribución de derechos y responsabilidades entre diferentes participantes de la corporación, tales como, los consejeros, los ejecutivos, los accionistas y otras partes interesadas, y detalla las normas y procedimientos para la toma de decisiones sobre los asuntos corporativos. De este modo, propociona, también, la estructura a través de la cual se fijan los objetivos de la compañía, y los medios para alcanzar dichos objetivos y supervisar el rendimiento.


La necesidad de un eficaz marco de Gobierno de TI

Gasto en TI (financiero + RRHH)

Retorno de la Inversión (RoI)

El 20% de todo el gasto en TI se desperdicia (proyectos mal concebidos o mal ejecutados), lo que representa, anualmente, la

destrucción de un valor que alcanza los 600.000 millones de dólares.

Fuente: Gartner. “The elusive business value of IT”. Agosto ‘02.


La necesidad de un eficaz marco de Gobierno de TI (continuación)

“… aquellas firmas con un gobierno de TI por encima de la media [que persigan una determinada estrategia] tienen unos beneficios superiores en un 20% a aquellas otras con marcos de gobierno más

pobres …”

Fuente: P. Weill & J.W. Ross/MITSloan. “IT Governance. How top performers manage IT decision rights for superior results”. HBS Press, 2004.


Gobernanza frente a Gestión

Gobernanza de TI

Gestión de TI

Orientación al Negocio

Estratégica

TácticaOrientación en el tiempo Presente Futuro

Gobernanza de TI

Gestión de TI

Orientación al Negocio

Estratégica

TácticaOrientación en el tiempo Presente Futuro

Fuente: Ryan R. Peterson. “Information Governance: An empirical investigation into the differentiation and integration of strategic decision-making for IT”. 2001.

La Gobernanza es distinta de la Gestión.


Audiencia objetivo

Los diferentes grupos de interés en el actual escenario de las TI en la empresa.


Audiencia objetivo (continuación)

[EN PRIMER LUGAR]:La ISO/IEC 38500:2008 se orienta, en primer lugar, a los órganos de gobierno de la organización, que son: los propietarios, los consejeros, los ejecutivos, los socios y otros directivos.

[EN SEGUNDO LUGAR]:La norma también proporciona directrices a aquellos encargados de asesorar, informar y asistir a la Dirección.


¿Qué proporciona?

Confianza [a las partes interesadas (incluidos clientes, accionistas y empleados)] en el marco de gobierno de TI de la organización, siempre que la norma se siga.

Información y orientación a la Dirección, en relación al gobierno del uso de las TI en su organización.

Y una base para la evaluación objetiva del gobierno corporativo de las TI dentro de la organización.


Guía Breve de Autoevaluacíon


Aplicabilidad

La norma ISO/IEC 38500:2008 es aplicable a cualquier organización, de cualquier tamaño, independientemente del uso que en ella se haga de las TI.


Beneficios generales de la adopción de la norma

Lenguaje común:La norma establece un vocabulario para el gobierno de TI.

Marco de referencia:La norma establece un modelo para el gobierno de TI.

Equilibrio del valor:La norma establece una serie de principios para un eficaz, eficiente y aceptable uso de las TI; equilibrando los riesgos y fortaleciendo las oportunidades que surjan del uso de las TI.


Beneficios generales de la adopción de la norma (continuación)

El “equilibrio del valor” explicado:


Beneficios relativos al par conformidad-rendimiento

Un Gobierno Corporativo de las TIC, adecuado, puede ayudar a la Dirección a garantizar la conformidad con sus obligaciones - regulatorias, legales, contractuales - en relación al uso aceptable de las TI.

Los procesos que tratan con las TI incorporan riesgos específicos que han de ser abordados apropiadamente.

Un Gobierno Corporativo de las TIC, adecuado, puede ayudar a la Dirección a asegurar que el empleo de TI contribuye positivamente al rendimiento de la organización.

Rendimiento

Conformidad


Gobierno de TI, definido

El Gobierno Corporativo de TI es el sistema mediante el cual se dirige y controla el uso, presente y futuro, de las TI.

El gobierno corporativo de TI implica la evaluación, y la dirección, del uso de las TI para dar soporte a la organización; y, la supervisión de dicho uso para alcanzar los planes. Ello incluye la estrategia y la política de utilización de las TI dentro de la organización.


Modelo para el gobierno corporativo de las TI

Modelo para el Gobierno Corporativo de las TI, según ISO/IEC 38500.© ISO/IEC, 2008.

La Dirección debería gobernar las TI a través de tres tareas principales:Evaluar la utilización, presente y futura, de las TI (estrategias, propuestas, acuerdos de suministro).

Dirigir preparación y la puesta en marcha de planes y políticas para asegurar que el uso de TI cubre los objetivos del negocio.

Supervisar la conformidad con las políticas y el rendimiento frente a los planes (objetivos de negocio).


Principios de Buen Gobierno Corporativo de las TI


Principios de Buen Gobierno Corporativo de TI Cuestión

ResponsabilidadEstablecer responsabilidades sobre las TIC, plenamente comprensibles.

¿Los individuos de su organización entienden y aceptan su responsabilidad sobre las TIC?

EstrategiaPlanificar las TIC para que soporten, del mejor modo, a la organización.

¿Sus planes tecnológicos soportan los planes corporativos de su organización y cubren las necesidades presentes y futuras de la misma?

AdquisiciónAdquirir TIC de forma válida.

¿Las adquisiciones en materia de TIC se realizan por razones aprobadas y de la forma aprobada?

RendimientoGarantizar que las TIC responden bien, siempre que sea preciso.

¿Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad de su organización?

ConformidadGarantizar que las TIC cumplen y ayudan a cumplir las regulaciones establecidas.

¿Su marco TIC es conforme a regulaciones externas y/o internas?

Factor HumanoGarantizar que el uso de las TIC tiene en cuenta y respeta los factores humanos.

¿Su entorno TIC contempla las necesidades de la “gente involucrada en el proceso”?

Principios y procesosde la norma: cuadro resumen


Fuente: Revista A+/Manuel Ballester

¿Cómo encaja ISO/IEC 38500:2008 con otras normas o modelos de la industria?

Best Practices & Industry Models

ISO 9001:2008Aseguramiento de la Calidad

ISO/IEC 27KSeguridad de la Información

PMBoK / Prince2Programas y Proyectos

ISO15504 / CMMI-ACQ/-DEVAdquisición/Construcción

CMMI-SVC/ITIL/ISO20KEntrega y Soporte

ICT Corporate Governance CobiTMIT / Analistas de mercado / ... (otros marcos de referencia)

Val IT – Risk ITISO/IEC 38500:2008ICT Governance Principles

La norma ISO/IEC 38500:2008 anima a las organizaciones a emplear las normas apropiadas para conformar su gobierno de TI.


Direcciones futuras

Gobierno de los Proyectos que impliquen Inversiones en TI.

Gobierno de las TI empleadas en las operación continua del Negocio.

Modelo para el Gobierno Corporativo de las TI, según ISO/IEC 38500.© ISO/IEC, 2008.


“King III”: un ejemplode las nuevastendencias en

Gobierno Corporativo

Direcciones futuras

“King III”: un ejemplo de las nuevastendencias en Gobierno Croporativo

King III: Un modelo para laampliación del Código Unificadohacia el buen gobierno corporativode las TIC

“King III”: un ejemplo de las nuevastendencias en Gobierno Croporativo

COBIT® 5.Sus 5 principios

Los 5 principios clave de COBIT 5

Principio 1: Satisfacer las necesidades de las Partes Interesadas

• Las empresas existen para crear valor asus Partes Interesadas

Principio 1: Satisfacer las necesidades de las PartesInteresadas

Principio 1: Satisfacer las necesidades de las PartesInteresadas• Las partes interesadas

necesitan ser transformadas en una estrategia corporativa factible

• La cascada de metas de COBIT 5 traslada las necesidades de las partes interesadas en metas específicas, útiles y a medida.

Principio 2: Cubrir la empresa Extremo-a-Extremo

Principio 3: Aplicar un marco de referencia único integrado

COBIT 5 y los marcos deISACA

Principio 4: Hacer posible un enfoque holístico

Principio 4:Hacer possible un enfoqueholístico

Principio 5 Separar el Gobierno de la Gestión

Principio 5Separar el Gobierno de la Gestión

COBIT 5 Modelo deReferencia de Procesos

60

COBIT® y otros modelos de

terceros

~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.

CobiT® y otros modelos de terceros

Referencias tradicionales de CobiT®

Committee of Sponsoring Organisations of the Treadway Commission (COSO)Internal Control – Integrated Framework, 1994Enterprise Risk Management – Integrated Framework, 2004

Office of Government Commerce (OGC®)IT Infrastructure Library® (ITIL®), 1999-2004

Internation Organisation for StandardizationISO/IEC 17799:2005, Code of Practice for Information Security Management

Software Engineering Institute (SEI®)SEI Capability Maturity Model (CMM®), 1993SEI Capability Maturity Model Integration (CMMI®), 2000

Project Management Institute (PMI®)Project Management Professional Body of Knowledge (PMBOK®), 2000

Information Security Forum (ISF)The Standard of Good Practice for Information Security, 2003


Racionalización de referencias a partir de CobiT® 4

2004 2005


Iniciativas Mapping y Harmonisation

Fuente: ISACA®.


Justificación de las iniciativas


Information Security Harmonisation


CobiT® Mapping. Overview of International IT Guidance

Ejercicio 11CobiT y otros

modelos

Ejercicio 11

CobiT y otros modelosSe pide:

Cada grupo deberá elegir uno de los siguientes tres (3) modelos de referencia en la industria:

ISO/IEC 27002:2005 (antigua norma ISO/IEC 17799:2005);ITIL v2/v3; o,CMMI for Development, v1.2.

Se deberá tratar de identificar cuáles de los procesos de TI definidos por CobiT tienen su correspondencia (o están cubiertos en alguna medida) por áreas o procesos identificados en cada uno de los modelos anteriormente propuestos.

NOTA: El ejercicio exige un conocimiento de, al menos, uno (1) de dichos modelos.

Los resultados propuestos por cada grupo serán presentados al resto de asistentes.

Tiempo para la realización del ejercicio:Se dispone de 20 minutos para la realización del ejercicio.

Se dispondrá de 10 minutos adicionales para la presentación y puesta en común.

COBIT® y otros modelos de

terceros (cont.)

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t


CobiT® Mapping. ITIL®

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat

eCOBIT 4.0 processes addressed by

IT Infrastructure LibrarySe

rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t

DS8 Manage service desk and incidents



DS8 Manage service desk and incidents

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



DS9 Manage the configuration

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



AI6 Manage changes

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



AI7 Install and accredit solutions and changes

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



DS9 Manage the configuration

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



DS1 Define and manage service levels

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t

DS2 Manage third-party services



DS3 Manage performance and capacity

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



PO5 Manage the IT investment

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t

DS6 Identify and allocate costs



DS4 Ensure continuous service

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Im

plement

Deliver and Support

Mon

itor

and

Eva

luat



rvic

e Su

ppor

t

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Supp

ort

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Serv

ice

Del

iver

y

Ser

vice

Des

k

Inci

dent

Man

agem

ent

Pro

blem

Man

agem

ent

Cha

nge

Man

agem

ent

Rel

ease

Man

agem

ent

Con

figur

atio

nM

anag

emen

t

Ser

vice

Lev

el

Man

agem

ent

Ava

ilabi

lity

Man

agem

ent

Cap

acity

Man

agem

ent

Fina

ncia

lM

anag

emen

t

Con

tinui

tyM

anag

emen

t



by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and M

aintain

Deliver and Support

Mon

itor

and

Eval

uate

CobiT 4.0 processes addressed byISO/IEC 17799:2005


CobiT® Mapping. ISO/IEC 17799:2005 (actual ISO/IEC 27002:2005)

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and M

aintain

Deliver and Support

Mon

itor

and

Eva

luat

eCobiT 4.0 processes addressed by

PMBOK©


CobiT® Mapping. PMBoK®

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and M

aintain

Deliver and Support

Mon

itor

and

Eva

luat

eCobiT 4.0 processes addressed by

PRINCE2


CobiT® Mapping. PRINCE2™

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and Maintain

Deliver and Support

Mon

itor a

nd E

valu

ate

CobiT 4.0 processes addressed byCOSO Internal Control -Integrated Framework

by Jimmy Heschl

21

43

65

721 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and OrganizeAcquire and M

aintain

Deliver and Support

Mon

itor a

nd E

valu

ate

CobiT 4.0 processes addressed byFIPS PUB 200

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize


Deliver and Support

Mon

itor a

nd E

valu

ate

CobiT 4.0 processes addressed byISO/IEC TR 13335

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize


Deliver and SupportM

onito

r and

Eva

luat

e

CobiT 4.0 processes addressed byISO/IEC 15408:2005

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize


Deliver and Support

Mon

itor a

nd E

valu

ate

CobiT 4.0 processes addressed byTickIT

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize


Deliver and Support

Mon

itor a

nd E

valu

ate

CobiT 4.0 processes addressed byNIST 800-14


CobiT® Mapping. Otros “mapas” en cartera

by Jimmy Heschl

21

43

65

7

21 43 65 87 109

21 43 65 87 109 1211 13

21

43

Plan and Organize

Acquire and M

aintain

Deliver and Support

Mon

itor

and

Eva

luat

e

CobiT 4.0 processes addressed byCMMI


CobiT® Mapping. CMMI®

Combine CobiT e ITIL para obtener un potentemarco de Gobernanza de TI

CobiT e ITIL no son mutuamente excluyentes, sinoque pueden combinarse para proporcionar unpotente marco de gobernanza, control y buenasprácticas de TI.Aquellas entidades que deseen colocar suprograma ITIL dentro de un contexto más amplio decontrol y gobernanza deberían emplear CobiT.

Fuente:Technical Guidelines, TG-16-1849 - 2006, Gartner.


Consejo de Gartner

Establezca marcos que favorezcan una fácilimplantación de la Gobernanza

En primer lugar adopte CobiT como estrategia general de gobernanza.A continuación, implante ITIL para una óptima gestión yentrega de los servicios.Utilize ISO 27000 para proteger la información.Y, finalmente, apóyese en Cuadros Integrales de Mandocomo soporte de las mediciones y como herramienta decomunicación del rendimiento de TI.

Fuente:CobiT versus other frameworks: A road map to comprehensive IT Governance - 2006, Forrester Research, Inc.


Consejo de Forrester

QUÉ CÓMO

CAMPO DE COBERTURA


El “nuevo” efecto sombrilla de COBIT 5

La familia COBIT®: soporte adicional


La familia COBIT® 5 crece aún más ... Nuevos productos: COBIT 5 for ...

Webliografía

Webliografía

Recomendaciones sobre fuentes de consulta y bibliografía

… www.ISACA.org/CobiT ...

… y pulse sobre el enlace [Obtain COBiT]

La familia CobiT®: soporte adicional

Si desea saber más sobre los productos CobiT®, diríjase a ...

Gobierno Corporativo de las Tecnologías de la Información Monográfico. Novática, número 229

V00.07.20141028

ATI | Asociación de Técnicos de Informática / Novática iTTi | Instituto de Tendencias en Tecnología e Innovación

Invitación a la sesión de presentación Barcelona, 28.OCT.2014 / Madrid, 03.NOV.2014

Organizan: Con la hospitalidad de:

[email protected]

Introducción al Gobierno Corporativo de las TI. · PDF file~COBIT® 5 Implementation...

Documents

Transcript of Introducción al Gobierno Corporativo de las TI. · PDF file~COBIT® 5 Implementation...