GERENCIA DE SISTEMAS
COBIT “Comparación COBIT 4.1 y COBIT 5”
Estudiante: Chacón Sánchez, Emily
Docente Ing. Pedro Miguel Jacinto Mejía
Chiclayo – Perú
COBIT 4.1
Definición: COBIT (Objetivos de control para la información y tecnologías relacionada): es un marco de trabajo de dominios y procesos y un conjunto de herramientas para el Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control, aspectos técnicos y riesgos de negocios. COBIT habilita el desarrollo de políticas claras y buenas prácticas para el control de TI a lo largo de las organizaciones. La misión principal del COBIT es investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado y aceptado internacionalmente para la adopción por parte de las empresas, de los gerentes de negocios, profesionales de TI y profesionales de aseguramiento. COBIT fue publicado por primera vez por ITGI en abril de 1996. COBIT 4.1 hace énfasis en el cumplimiento reglamentario, ayudando a las organizaciones a incrementar el valor de TI, destacando los vínculos entre los objetivos del negocio y TI, y simplificando la implementación del marco de trabajo COBIT. Este marco de trabajo es la base para diferentes entes reguladores a nivel mundial, con la finalidad de lograr que las entidades reguladas optimicen sus inversiones de TI y administren adecuadamente sus riesgos tecnológicos.
Orientado al negocio: COBIT tiene como tema principal orientarse a los negocios y está diseñado para ser utilizado por proveedores de servicio, usuarios y auditores de TI pero principalmente como guía para la gerencia y para los dueños de los procesos de negocios.
Criterios para la información de COBIT: Para satisfacer los objetivos del negocio, la información debe adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Se definieron los siguientes siete criterios de información: Efectividad la información tiene que ser relevante y pertinente a los procesos del negocio, y se facilite de una manera oportuna, correcta, consistente y utilizable. Eficiencia la información se debe ser generada con el óptimo (más productivo y económico) uso de los recursos. Confidencialidad es la protección de información sensitiva contra revelación no autorizada. Integridad tiene que ver con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. Disponibilidad la información debe estar disponible cuando sea requerida por los procesos del negocio o en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. Cumplimiento acatar las leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. Confiabilidad proporcionar la información adecuada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
Recursos de TI: Los recursos de TI identificados en COBIT son los siguientes: Aplicaciones
incluyen
sistemas
de
usuario
procedimientos manuales que procesan información.
automatizados
como
Información son todos los datos ingresados procesados y generados de los sistemas de información, que se sea útil para el negocio. Infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Orientado a Procesos:
Para gobernar las TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Casi siempre están ordenados dentro de los dominios de responsabilidad.
Dentro del marco de COBIT, estos dominios, se llaman:
Planear y Organizar (PO): Este dominio tiene que ver con las estrategias y tácticas. Identifica como las TI pueden contribuir con el logro de los objetivos del negocio. Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Consta de los siguientes procesos: PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos
Adquirir e Implementar (AI): Identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes. Proporciona las soluciones y las pasa para convertirlas en servicios. Este dominio, cubre los siguientes cuestionamientos de la gerencia: ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán
adecuadamente
los
nuevos
sistemas
una
vez
sean
implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio?
Tiene los siguientes procesos: AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
Entregar y Dar Soporte (DS): Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Recibe las soluciones y las hace utilizables por los usuarios finales.
Por lo general cubre las siguientes preguntas de la gerencia: ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Cuenta con los siguientes procesos: DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones
Monitorear y Evaluar (ME): Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Monitorear todos los procesos para asegurar que se sigue la dirección provista. Por lo general abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Tiene los siguientes procesos: ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI
COBIT define objetivos de control para los 34 procesos, así como para el proceso general y los controles de aplicación. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad que los objetivos de negocio alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo Consisten
en
políticas,
procedimientos,
prácticas
y
estructuras
organizacionales. Están diseñadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirán y que los eventos no deseables se prevendrán, detectarán y corregirán. La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control: Seleccionando aquellos aplicables. Decidir aquellos que deben implementarse. Elegir como implementarlos (frecuencia, extensión, automatización, etc.) Aceptar el riesgo de no implementar aquellos que podrían aplicar.
Controles del negocio y de TI: El sistema de control interno de la empresa impacta en TI a tres niveles: Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, estableciendo políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía. Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio. Los controles al nivel de procesos de negocio son, una combinación de controles manuales operados por el negocio, controles de negocio y controles de aplicación automatizados.
Para soportar los procesos de negocio, TI proporciona servicios, de forma compartida, por varios procesos de negocio, así como procesos operativos y de desarrollo de TI que se proporcionan a toda la empresa. La infraestructura de TI provee un servicio común (es decir, redes, bases de datos, sistemas operativos y almacenamiento).
Controles generales de TI y controles de aplicación: Los controles generales son aquellos que están inmersos en los procesos y servicios de TI. Desarrollo de sistemas Administración de cambios Seguridad Operaciones de computo Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicación. Ejemplos: Integridad (Completitud) Precisión Validez Autorización Segregación de funciones
Impulsado por Medición: Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el beneficio? La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. Por ello COBIT atiende estos temas a través de: Modelos de madurez facilitan la evaluación y la identificación de las mejoras necesarias en la capacidad Metas y mediciones de desempeño para los procesos de TI, demuestran cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el desempeño de los procesos internos basados en los principios de un marcador de puntuación balanceado (balanced scorecard).
Metas de actividades facilita el desempeño efectivo de los procesos.
COBIT 5 COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI. El marco COBIT 5 se BASA EN cinco principios claves para el gobierno y la gestión de las TI de la empresa. 1. Satisfacer las necesidades de las partes interesadas: esto quiere decir que COBIT5 provee los procesos necesarios para adaptar a cualquier empresa a su propio contexto mediante la casaca de metas, haciendo que las metas corporativas de alto nivel en metas mas manejables, especificas y relacionadas con TI.
2. Cubrir la Empresa Extremo-a-Extremo: COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo: Cubre todas las funciones y procesos dentro de la empresa. Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa – internos y externos – los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.
3. Aplicar un marco de referencia único integrado: COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y por ello puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las TI de la empresa.
4. Hacer posible un enfoque holístico: COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. COBIT 5 define siete categorías de catalizadores: Principios, Políticas y Marcos de Trabajo. Procesos. Estructuras Organizativas. Cultura, Ética y Comportamiento Información Servicios, Infraestructuras y Aplicaciones Personas, Habilidades y Competencias
5. Separar el Gobierno de la Gestión: COBIT 5 establece una distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de
actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. Gobierno: asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas. Gestión: planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.
Comparación de COBIT 4.1 y COBIT 5 Áreas de Cambio
1. Principios Nuevos GEIT 2. Mayor atención a la Facilitadores 3. Nuevo Proceso de Modelo de Referencia 4. Procesos nuevos y modificados 5. Prácticas y Actividades 6. Objetivos y métricas 7. Entradas y salidas 8. Gráficos RACI 9. Modelos de Madurez de Capacidad de Procesos y Evaluaciones
1.- Nuevos principios:
Val IT y Risk TI son marcos de trabajos basados en principios. Los principios son fáciles de entender y poner en un contexto empresarial, permitiendo que el valor que se deriva de la guía de soporte de manera más eficaz. ISO/IEC 38500 también incorpora principios para sustentar sus mensajes para entregar los beneficios de mercado, aunque los principios de esta norma y COBIT5 no son lo mismo.
2. Mayor atención a la Facilitadores:
COBIT 4.1 no tenía habilitadores. No se llamaban así, pero estaban allí, de forma explícita o implícitamente.
Información,
infraestructura, aplicaciones (servicios) y personas (personas, habilidades y competencias) eran recursos COBIT4.1. Principios, políticas y marcos fueron mencionados en algunos procesos COBIT4.1. Los procesos fueron fundamentales para el uso de COBIT4.1. Estructura organizativa estaba implícito a través de roles RACI y sus definiciones. Cultura, ética y conducta se mencionaron en algunos procesos COBIT4.1.
3. Nuevo Proceso de Modelo de Referencia: COBIT 5 se basa en un modelo revisado de referencia de proceso con un nuevo dominio de gobierno y varios procesos nuevos y modificados que ahora cubren las actividades empresariales de extremo a extremo, es decir, el negocio y áreas funcionales de TI.
COBIT 5 consolida COBIT 4.1, Val IT y Risk IT en un marco único, y ha sido actualizado para alinearse con las mejores prácticas actuales, por ejemplo, ITIL V3 2011, TOGAF. El nuevo modelo puede ser utilizado como una guía para ajustar según sea necesario para el modelo de proceso propio de la empresa (como COBIT 4.1).
4. Procesos nuevos y modificados COBIT5
introduce
cinco
nuevos
procesos
de
gobierno
que
han
aprovechado y mejorado los enfoques de gobierno de COBIT4.1, Val IT y Risk IT. Esta orientación: •
Ayuda a las empresas para perfeccionar y fortalecer las prácticas ejecutivas de nivel gerencial y actividades.
•
Soporta la integración GEIT con prácticas de gobierno empresarial existentes y está alineado con ISO / IEC 38500.
COBIT 5 ha aclarado los procesos a nivel de gestión e integrado el contenido de COBIT 4.1, Val IT y Risk IT en un nuevo modelo de referencia de proceso. Hay varios procesos nuevos y modificados que reflejan el pensamiento actual. •
APO Alinear, Planear, Organizar: APO03 – Gestionar la Arquitectura Empresarial APO04 – Gestionar Innovación APO05 – Gestionar Cartera APO06 – Gestionar Presupuesto y Costos APO08 – Gestionar Relaciones APO13 – Gestionar Seguridad
•
BAI Construir, Adquirir, Implantar BAI05 – Gestionar la posibilitación del cambio BAI08 – Gestionar Conocimiento BAI09 – Gestionar Activos
•
DSS Entregar, Servicio y Soporte DSS05 – Gestionar Servicios de Seguridad DSS06 – Gestionar Controles Procesos de Negocio
Procesos COBIT5 cubren los negocios de extremo a extremo y las actividades de TI, es decir, una visión completa a nivel de empresa.
Esto proporciona una cobertura más integral y completa de las prácticas que reflejan la naturaleza de toda la empresa que utiliza de TI, Esto hace que la participación, responsabilidades y deberes de las partes interesadas del negocio en el uso de TI sea más explícita y transparente.
5. Prácticas y Actividades: Las prácticas de gobierno o de gestión COBIT5 son equivalentes a los objetivos de control COBIT4.1 y proceso Val IT y Risk IT. Las actividades COBIT5 son equivalentes a las prácticas de control de COBIT4.1 y Val IT y prácticas de gestión Risk IT. COBIT 5 integra y actualiza todo el contenido anterior en el nuevo modelo, haciendo más fácil para los usuarios entender y utilizar este material la hora de implementar mejoras.
6. Objetivos y métricas