introducción al gobierno corporativo de las ti. · pdf file~cobit® 5 implementation...
Post on 25-Mar-2018
237 Views
Preview:
TRANSCRIPT
IIntroducción al Gobierno Corporativo de las TI.
PreparaTIC, XXII Edición.
Madrid, 18.OCT.2014
iTTi | Impulsando el crecimiento
Co-fundador y Director de Análisis de iTTi, Innovation & Technology Trends Institute.
Miembro “gold” de ISACA.
Director de Análisis de ISACA Madrid, desde 2008.
Puso en marcha y coordinó el Programa Formativo de COBIT de ISACA Madrid entre 2008 y 2013.
Certified in the Governance of Enterprise IT (CGEIT®), por ISACA. (2008).
COBIT® Foundation Certificate, por ISACA (2006).
COBIT® 5 Foundation Certificate, por ISACA/APMG (2014).
COBIT® 5 Implementation Certificate, por ISACA/APMG (2014).
Accredited COBIT® Trainer, por ISACA (2007-12) y por ISACA/APMG (2014).
Certified Information Security Manager (CISM®), por ISACA (2004).
Certified Information Systems Auditor (CISA®), por ISACA (2003).
Certified in Risk and Information Systems Control (CRISC™), por ISACA (2011).
Creador de la bitácora-e “Gobernanza de TI” (http://gobernanza.wordpress.com). Rom
pien
doel
hiel
o…
El caso de “la blanca Navidad …
… en la terminal”
© 2
004,
Ass
ocia
ted
Pres
s Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
¿Alguien recuerda lo que ocurrió en 24 de diciembre de 2004? ¡¡¡No vale decir que fue Nochebuena!!!
¿A alguien le suena ?
¡¡¡No se trata de unas zapatillas con cámara de aire!!!
¡¡¡Tampoco de una película de Nicholas Cage, !!!
(Ésta es con ‘n’, aunque también va de aviones).
¿Alguien intentaba viajar por el Medio Oeste americano aquel día?
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
Los hechos: -62.7 millones de americanos prevén viajar ese fin de semana para celebrar la Navidad. -Una gran tormenta de nieve asola el estado de Ohio los días 22, miércoles, y 23, jueves, de diciembre. -La mayoría de los vuelos de Comair, del jueves, 23, son cancelados. -La mitad de los vuelos de Comair, del viernes, 24, son cancelados. -Las cancelaciones y retrasos en los vuelos provocan una continuada actualización del estado de las tripulaciones en el Sistema de Gestión de Tripulaciones y Turnos. -El SGTT se satura y «cae». ¡Comair se queda «ciega», sin conocer dónde, ni cómo tiene a sus tripulaciones!
Las consecuencias: -Comair deja de volar. -3.900 vuelos cancelados o retrasados. -200.000 pasajeros afectados, en 118 aeropuertos. -Miles de niños norteamericanos no reciben sus regalos de Navidad, a tiempo. -El servicio se restablece 5 días, y 20 M$, después. -Reputación queda seriamente dañada. (La de todo el sector). -El Secretario de Transportes ordena una investigación.
24.DIC.2004
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
¿Tuvieron la culpa los controladores?
¿Fue el mal tiempo de los días anteriores, el causante del desastre?
¿Fue debido a un mero problema informático?
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
El viejo sistema SGTT tenía una limitación en el número de cambios que soportaba: su arquitectura de 16 bits no le permitía registrar más de 32000 variaciones de turnos en los horarios de pilotos y tripulaciones.
El sistema había nacido como una necesidad de cumplimiento normativo; por tanto, ¿fallo la función de «adecuación» al hacer su trabajo? ¿Falló la función de «consultoría» por no saber recomendar otro sistema más seguro/fiable? ¿Falló la función de «supervisión» al no ser capaz de detectar, con anterioridad, ningún comportamiento anómalo? ¿Falló la función de «continuidad» al no contemplar un sistema de respaldo? Finalmente, ¿falló la función de “política y conformidad” al no anticiparse, introduciendo alguna normativa sobre la obsolescencia de los sistemas?
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
- Comair instala su nuevo «Sistema de Gestión de Tripulaciones y Turnos» para cumplir con la normativa federal de aviación
- El proveedor es SBS (filial de Boeing)
- El sistema, escrito en FORTRAN, corre sobre una plataforma IBM AIX.
24.DIC.2004 1986
- Comair se plantea sustituir el viejo SGTT por una solución basada en HP-UX.
- SBS presenta su alternativa «Maestro Crew».
- Se desestima la propuesta. El sistema, basado en Windows, es malo, poco amigable. Todo el mundo conoce y está cómodo con el viejo SGTT.
1997 1998 2000
- Los consultores de SBS diseñan un Plan Estratégico a cinco años.
- El asunto SGTT vuelve a salir a la luz.
- Se baraja la posibilidad de evaluar a ciertos proveedores con un calendario a dos años (2000).
- Sin embargo, en el camino surge una necesidad más acuciante: el proyecto Y2K.
- Comair es adquirida por Delta Airlines.
- Comair era una «joya». Delta sólo ve necesidades de mejora en «marketing».
- Ello provoca un nuevo retraso en el asunto SGTT.
2001
- Una huelga de pilotos castiga duramente a la Compañía.
- Se produce el 11-S, afectando gravemente al sector aeronáutico.
- Las inversiones en tecnología vuelven a ser miradas «con lupa».
2003
- Se aprueba la sustitución del viejo SGTT, después de 17 años de servicio; pero el nuevo sistema llegará tarde…
2005
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
24.DIC.2004 1986 1997 1998 2000 2001 2003
- El 18 de enero de 2005, Randy D. Rademacher, Presidente de Comair, dimite alegando «causas personales». - Meses después, la compañía seguía echando la culpa al mal tiempo …
2005
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
el proceso de TOMA DE DECISIONES en tornoal USO de las TI dentro de la empresa.
Recordad, en su expresión más básica, la Gobernanza de TI es
Errores en la difusión del concepto de“Gobierno Corporativo de TI”: el caso “ComAir”
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?
¿Qué capacidades de TI deben ser de ámbito general para toda la organización? ?
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?
¿Qué capacidades de TI deben ser de ámbito general para toda la organización? ?
¿Necesita la organización disponer de lo último de lo último en tecnología? Esto es, ¿cuán buenos necesitan ser, en realidad, los servicios ofrecidos desde TI?
?
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?
¿Qué capacidades de TI deben ser de ámbito general para todo la organización? ?
¿Necesita la organización disponer de lo último de lo último en tecnología? Esto es, ¿cuán buenos necesitan ser, en realidad, los servicios ofrecidos desde TI?
?
¿Qué riesgos de seguridad/privacidad está la organización dispuesta a aceptar? ?
Un ejemplo: seis (6) decisiones sobre TI que su gente de TI no debe tomar
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Decisión Negocio/TI
¿Cuánto ha de gastarse la organización en TI? ?
¿Qué procesos de negocio deberían ser los receptores de la inversión (€)realizada en TI? ?
¿Qué capacidades de TI deben ser de ámbito general para todo la organización? ?
¿Necesita la organización disponer de lo último de lo último en tecnología? Esto es, ¿cuán buenos necesitan ser, en realidad, los servicios ofrecidos desde TI?
?
¿Qué riesgos de seguridad/privacidad está la organización dispuesta a aceptar? ?
¿Quién deberá rendir cuentas, en última instancia, cuando un proyecto de TI falle? ¿Realmente, la responsabilidad última recaerá sólo en TI? ?
Conclusión: un mensaje, también, para la Dirección de Informática
Los beneficios de una estrategia de Gobernanza de TI, se presentan en una doble vertiente:
TRANSPARENCIA y VISIBILIDAD.
TINEGOCIOMERCADO
TRANSPARENCIA VISIBILIDAD (COMPLIANCE) (PERFORMANCE)
Un mensaje, también, para la Dirección de Informática:la Gobernanza de TI ofrece al área TIC la oportunidad de ganar una mayor visibilidad,
dentro de la Organización; y, al mismo tiempo, la de elevarla hacia posiciones más cercanas al negocio.
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Gobierno Corporativo de TI: una disciplina fronteriza
Dominio de Negocio
Consejo de Administración
CEO Áreas de Negocio
Estrategia de Negocio Objetivos de Negocio
Dominio de TI
Dilema del CIO Hacer Más con Menos
CIO Áreas de TI
Objetivos de TI Estrategia de TI
Gobernanza de TI Sincronía
Valor – Riesgo ¿Dominio
fronterizo? Sincrrrrrronía
Valor ––– Riesgo
Sobre la necesidad de dar respuesta a los retos que las TIC plantean al Negocio
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
¿Qué es ISO/IEC 38500:2008?
Portada de la norma international ISO/IEC 38500:2008.© ISO/IEC, 2008.
ISO/IEC 38500:2008 es una norma …
» internacional,
» de alto nivel,
» basada en principios,
» orientada a asesorar
… que proporciona directrices sobre el papel de los órganos de gobierno en relación al uso de las TI, dentro de la empresa.
Breve historia de la norma
Portada de AS 8015-2005.© Standards Australia, 2005.
Preparada, originalmente, por Standards Australia como “AS 8015-2005. Corporate Governance of Information & Communication Technology”.
El Comité Técnico Conjunto JTC1. Information Technology , de ISO/IEC, adoptó la norma australiana bajo procedimiento de tramitación rápida (“fast-track procedure”), como Borrador de Norma Internacional (“Draft International Standard”) ISO/IEC 29382.
El borrador de norma ISO/IEC DIS 29382 fue votado y aprobado por los cuerpos nacionales de normalización de ISO e IEC. (En España, AENOR).
En mayo de 2008, la futura norma ISO/IEC 29382 fue renombrada como ISO/IEC 38500.
La norma “ISO/IEC 38500:2008. Corporate Governance of Information Technology”, fue publicada, finalmente, el 1 de junio de 2008.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Objetivo
Ayudar a aquellos individuos que ocupan los niveles más altos(Dirección) de las organizaciones acomprender sus obligaciones legales, regulatorias y éticas en relación al uso de las TI dentro de las mismas.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Concepto de fondo: Gobierno Corporativo
[Informe Cadbury, 1992]:Gobierno corporativo es el sistema mediante el cual las compañías son dirigidas y controladas.
[Principios de la OCDE, 1999-2004]:Gobierno corporativo es el sistema mediante el cual las corporaciones comerciales son dirigidas y controladas.
La estructura de gobierno corporativo especifica la distribución de derechos y responsabilidades entre diferentes participantes de la corporación, tales como, los consejeros, los ejecutivos, los accionistas y otras partes interesadas, y detalla las normas y procedimientos para la toma de decisiones sobre los asuntos corporativos. De este modo, propociona, también, la estructura a través de la cual se fijan los objetivos de la compañía, y los medios para alcanzar dichos objetivos y supervisar el rendimiento.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
La necesidad de un eficaz marco de Gobierno de TI
Gasto en TI (financiero + RRHH)
Retorno de la Inversión (RoI)
El 20% de todo el gasto en TI se desperdicia (proyectos mal concebidos o mal ejecutados), lo que representa, anualmente, la
destrucción de un valor que alcanza los 600.000 millones de dólares.
Fuente: Gartner. “The elusive business value of IT”. Agosto ‘02.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
La necesidad de un eficaz marco de Gobierno de TI (continuación)
“… aquellas firmas con un gobierno de TI por encima de la media [que persigan una determinada estrategia] tienen unos beneficios superiores en un 20% a aquellas otras con marcos de gobierno más
pobres …”
Fuente: P. Weill & J.W. Ross/MITSloan. “IT Governance. How top performers manage IT decision rights for superior results”. HBS Press, 2004.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Gobernanza frente a Gestión
Gobernanza de TI
Gestión de TI
Orientación al Negocio
Estratégica
TácticaOrientación en el tiempo Presente Futuro
Gobernanza de TI
Gestión de TI
Orientación al Negocio
Estratégica
TácticaOrientación en el tiempo Presente Futuro
Fuente: Ryan R. Peterson. “Information Governance: An empirical investigation into the differentiation and integration of strategic decision-making for IT”. 2001.
La Gobernanza es distinta de la Gestión.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Audiencia objetivo
Los diferentes grupos de interés en el actual escenario de las TI en la empresa.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Audiencia objetivo (continuación)
[EN PRIMER LUGAR]:La ISO/IEC 38500:2008 se orienta, en primer lugar, a los órganos de gobierno de la organización, que son: los propietarios, los consejeros, los ejecutivos, los socios y otros directivos.
[EN SEGUNDO LUGAR]:La norma también proporciona directrices a aquellos encargados de asesorar, informar y asistir a la Dirección.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
¿Qué proporciona?
Confianza [a las partes interesadas (incluidos clientes, accionistas y empleados)] en el marco de gobierno de TI de la organización, siempre que la norma se siga.
Información y orientación a la Dirección, en relación al gobierno del uso de las TI en su organización.
Y una base para la evaluación objetiva del gobierno corporativo de las TI dentro de la organización.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Aplicabilidad
La norma ISO/IEC 38500:2008 es aplicable a cualquier organización, de cualquier tamaño, independientemente del uso que en ella se haga de las TI.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Beneficios generales de la adopción de la norma
Lenguaje común:La norma establece un vocabulario para el gobierno de TI.
Marco de referencia:La norma establece un modelo para el gobierno de TI.
Equilibrio del valor:La norma establece una serie de principios para un eficaz, eficiente y aceptable uso de las TI; equilibrando los riesgos y fortaleciendo las oportunidades que surjan del uso de las TI.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Beneficios generales de la adopción de la norma (continuación)
El “equilibrio del valor” explicado:
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Beneficios relativos al par conformidad-rendimiento
Un Gobierno Corporativo de las TIC, adecuado, puede ayudar a la Dirección a garantizar la conformidad con sus obligaciones - regulatorias, legales, contractuales - en relación al uso aceptable de las TI.
Los procesos que tratan con las TI incorporan riesgos específicos que han de ser abordados apropiadamente.
Un Gobierno Corporativo de las TIC, adecuado, puede ayudar a la Dirección a asegurar que el empleo de TI contribuye positivamente al rendimiento de la organización.
Rendimiento
Conformidad
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Gobierno de TI, definido
El Gobierno Corporativo de TI es el sistema mediante el cual se dirige y controla el uso, presente y futuro, de las TI.
El gobierno corporativo de TI implica la evaluación, y la dirección, del uso de las TI para dar soporte a la organización; y, la supervisión de dicho uso para alcanzar los planes. Ello incluye la estrategia y la política de utilización de las TI dentro de la organización.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Modelo para el gobierno corporativo de las TI
Modelo para el Gobierno Corporativo de las TI, según ISO/IEC 38500.© ISO/IEC, 2008.
La Dirección debería gobernar las TI a través de tres tareas principales:Evaluar la utilización, presente y futura, de las TI (estrategias, propuestas, acuerdos de suministro).
Dirigir preparación y la puesta en marcha de planes y políticas para asegurar que el uso de TI cubre los objetivos del negocio.
Supervisar la conformidad con las políticas y el rendimiento frente a los planes (objetivos de negocio).
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Principios de Buen Gobierno Corporativo de las TI
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Principios de Buen Gobierno Corporativo de TI Cuestión
ResponsabilidadEstablecer responsabilidades sobre las TIC, plenamente comprensibles.
¿Los individuos de su organización entienden y aceptan su responsabilidad sobre las TIC?
EstrategiaPlanificar las TIC para que soporten, del mejor modo, a la organización.
¿Sus planes tecnológicos soportan los planes corporativos de su organización y cubren las necesidades presentes y futuras de la misma?
AdquisiciónAdquirir TIC de forma válida.
¿Las adquisiciones en materia de TIC se realizan por razones aprobadas y de la forma aprobada?
RendimientoGarantizar que las TIC responden bien, siempre que sea preciso.
¿Su marco TIC garantiza adecuadamente la continuidad y sostenibilidad de su organización?
ConformidadGarantizar que las TIC cumplen y ayudan a cumplir las regulaciones establecidas.
¿Su marco TIC es conforme a regulaciones externas y/o internas?
Factor HumanoGarantizar que el uso de las TIC tiene en cuenta y respeta los factores humanos.
¿Su entorno TIC contempla las necesidades de la “gente involucrada en el proceso”?
Principios y procesosde la norma: cuadro resumen
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Fuente: Revista A+/Manuel Ballester
¿Cómo encaja ISO/IEC 38500:2008 con otras normas o modelos de la industria?
Best Practices & Industry Models
ISO 9001:2008Aseguramiento de la Calidad
ISO/IEC 27KSeguridad de la Información
PMBoK / Prince2Programas y Proyectos
ISO15504 / CMMI-ACQ/-DEVAdquisición/Construcción
CMMI-SVC/ITIL/ISO20KEntrega y Soporte
ICT Corporate Governance CobiTMIT / Analistas de mercado / ... (otros marcos de referencia)
Val IT – Risk ITISO/IEC 38500:2008ICT Governance Principles
La norma ISO/IEC 38500:2008 anima a las organizaciones a emplear las normas apropiadas para conformar su gobierno de TI.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
Direcciones futuras
Gobierno de los Proyectos que impliquen Inversiones en TI.
Gobierno de las TI empleadas en las operación continua del Negocio.
Modelo para el Gobierno Corporativo de las TI, según ISO/IEC 38500.© ISO/IEC, 2008.
Principios y partícipes:¿qué dice la norma ISO/IEC 38500:2008?
King III: Un modelo para laampliación del Código Unificadohacia el buen gobierno corporativode las TIC
“King III”: un ejemplo de las nuevastendencias en Gobierno Croporativo
• Las empresas existen para crear valor asus Partes Interesadas
Principio 1: Satisfacer las necesidades de las PartesInteresadas
Principio 1: Satisfacer las necesidades de las PartesInteresadas• Las partes interesadas
necesitan ser transformadas en una estrategia corporativa factible
• La cascada de metas de COBIT 5 traslada las necesidades de las partes interesadas en metas específicas, útiles y a medida.
~40 referencias que engloban normas técnicas y profesionales, códigos de conducta, criterios de calificación, prácticas de la industria y requisitos emergentes de sectores específicos.
CobiT® y otros modelos de terceros
Referencias tradicionales de CobiT®
Committee of Sponsoring Organisations of the Treadway Commission (COSO)Internal Control – Integrated Framework, 1994Enterprise Risk Management – Integrated Framework, 2004
Office of Government Commerce (OGC®)IT Infrastructure Library® (ITIL®), 1999-2004
Internation Organisation for StandardizationISO/IEC 17799:2005, Code of Practice for Information Security Management
Software Engineering Institute (SEI®)SEI Capability Maturity Model (CMM®), 1993SEI Capability Maturity Model Integration (CMMI®), 2000
Project Management Institute (PMI®)Project Management Professional Body of Knowledge (PMBOK®), 2000
Information Security Forum (ISF)The Standard of Good Practice for Information Security, 2003
CobiT® y otros modelos de terceros
Racionalización de referencias a partir de CobiT® 4
Ejercicio 11
CobiT y otros modelosSe pide:
Cada grupo deberá elegir uno de los siguientes tres (3) modelos de referencia en la industria:
ISO/IEC 27002:2005 (antigua norma ISO/IEC 17799:2005);ITIL v2/v3; o,CMMI for Development, v1.2.
Se deberá tratar de identificar cuáles de los procesos de TI definidos por CobiT tienen su correspondencia (o están cubiertos en alguna medida) por áreas o procesos identificados en cada uno de los modelos anteriormente propuestos.
NOTA: El ejercicio exige un conocimiento de, al menos, uno (1) de dichos modelos.
Los resultados propuestos por cada grupo serán presentados al resto de asistentes.
Tiempo para la realización del ejercicio:Se dispone de 20 minutos para la realización del ejercicio.
Se dispondrá de 10 minutos adicionales para la presentación y puesta en común.
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
DS8 Manage service desk and incidents
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS8 Manage service desk and incidents
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS9 Manage the configuration
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
AI6 Manage changes
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
AI7 Install and accredit solutions and changes
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS9 Manage the configuration
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS1 Define and manage service levels
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
DS2 Manage third-party services
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS3 Manage performance and capacity
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS3 Manage performance and capacity
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
PO5 Manage the IT investment
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
DS6 Identify and allocate costs
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
DS4 Ensure continuous service
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Im
plement
Deliver and Support
Mon
itor
and
Eva
luat
eCOBIT 4.0 processes addressed by
IT Infrastructure LibrarySe
rvic
e Su
ppor
t
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Supp
ort
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Serv
ice
Del
iver
y
Ser
vice
Des
k
Inci
dent
Man
agem
ent
Pro
blem
Man
agem
ent
Cha
nge
Man
agem
ent
Rel
ease
Man
agem
ent
Con
figur
atio
nM
anag
emen
t
Ser
vice
Lev
el
Man
agem
ent
Ava
ilabi
lity
Man
agem
ent
Cap
acity
Man
agem
ent
Fina
ncia
lM
anag
emen
t
Con
tinui
tyM
anag
emen
t
CobiT® y otros modelos de terceros
CobiT® Mapping. ITIL®
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and M
aintain
Deliver and Support
Mon
itor
and
Eval
uate
CobiT 4.0 processes addressed byISO/IEC 17799:2005
CobiT® y otros modelos de terceros
CobiT® Mapping. ISO/IEC 17799:2005 (actual ISO/IEC 27002:2005)
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and M
aintain
Deliver and Support
Mon
itor
and
Eva
luat
eCobiT 4.0 processes addressed by
PMBOK©
CobiT® y otros modelos de terceros
CobiT® Mapping. PMBoK®
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and M
aintain
Deliver and Support
Mon
itor
and
Eva
luat
eCobiT 4.0 processes addressed by
PRINCE2
CobiT® y otros modelos de terceros
CobiT® Mapping. PRINCE2™
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Maintain
Deliver and Support
Mon
itor a
nd E
valu
ate
CobiT 4.0 processes addressed byCOSO Internal Control -Integrated Framework
by Jimmy Heschl
21
43
65
721 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and OrganizeAcquire and M
aintain
Deliver and Support
Mon
itor a
nd E
valu
ate
CobiT 4.0 processes addressed byFIPS PUB 200
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Maintain
Deliver and Support
Mon
itor a
nd E
valu
ate
CobiT 4.0 processes addressed byISO/IEC TR 13335
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Maintain
Deliver and SupportM
onito
r and
Eva
luat
e
CobiT 4.0 processes addressed byISO/IEC 15408:2005
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Maintain
Deliver and Support
Mon
itor a
nd E
valu
ate
CobiT 4.0 processes addressed byTickIT
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and Maintain
Deliver and Support
Mon
itor a
nd E
valu
ate
CobiT 4.0 processes addressed byNIST 800-14
CobiT® y otros modelos de terceros
CobiT® Mapping. Otros “mapas” en cartera
by Jimmy Heschl
21
43
65
7
21 43 65 87 109
21 43 65 87 109 1211 13
21
43
Plan and Organize
Acquire and M
aintain
Deliver and Support
Mon
itor
and
Eva
luat
e
CobiT 4.0 processes addressed byCMMI
CobiT® y otros modelos de terceros
CobiT® Mapping. CMMI®
Combine CobiT e ITIL para obtener un potentemarco de Gobernanza de TI
CobiT e ITIL no son mutuamente excluyentes, sinoque pueden combinarse para proporcionar unpotente marco de gobernanza, control y buenasprácticas de TI.Aquellas entidades que deseen colocar suprograma ITIL dentro de un contexto más amplio decontrol y gobernanza deberían emplear CobiT.
Fuente:Technical Guidelines, TG-16-1849 - 2006, Gartner.
CobiT® y otros modelos de terceros
Consejo de Gartner
Establezca marcos que favorezcan una fácilimplantación de la Gobernanza
En primer lugar adopte CobiT como estrategia general de gobernanza.A continuación, implante ITIL para una óptima gestión yentrega de los servicios.Utilize ISO 27000 para proteger la información.Y, finalmente, apóyese en Cuadros Integrales de Mandocomo soporte de las mediciones y como herramienta decomunicación del rendimiento de TI.
Fuente:CobiT versus other frameworks: A road map to comprehensive IT Governance - 2006, Forrester Research, Inc.
CobiT® y otros modelos de terceros
Consejo de Forrester
QUÉ CÓMO
CAMPO DE COBERTURA
CobiT® y otros modelos de terceros
El “nuevo” efecto sombrilla de COBIT 5
Source: COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.
La familia COBIT®: soporte adicional
Nueva gama COBIT® 5
La familia COBIT®: soporte adicional
La familia COBIT® 5 crece aún más ... Nuevos productos: COBIT 5 for ...
Source: COBIT® 5, figure 11. © 2012 ISACA® All rights reserved.
La familia COBIT®: soporte adicional
La familia COBIT® 5 crece aún más ... Nuevos productos: COBIT 5 for ...
… www.ISACA.org/CobiT ...
… y pulse sobre el enlace [Obtain COBiT]
La familia CobiT®: soporte adicional
Si desea saber más sobre los productos CobiT®, diríjase a ...
Gobierno Corporativo de las Tecnologías de la Información Monográfico. Novática, número 229
V00.07.20141028
ATI | Asociación de Técnicos de Informática / Novática iTTi | Instituto de Tendencias en Tecnología e Innovación
Invitación a la sesión de presentación Barcelona, 28.OCT.2014 / Madrid, 03.NOV.2014
Organizan: Con la hospitalidad de:
top related