Por otra parte, la organización dispone de recursos (aplicaciones,
información, infraestructura y personas) que son utilizados por los
procesos para cubrir los requisitos del negocio:
- Efectividad (cumplimiento de objetivos)
- Eficiencia (consecución de los objetivos con el máximo aprovechamiento de los recursos)
- Confidencialidad
- Integridad
- Disponibilidad
- Cumplimiento regulatorio
- Fiabilidad
 |
| Figura 1 - Cubo Cobit |
Cabe destacar que, Cobit también ofrece mecanismos para la medición
de las capacidades de los procesos con objeto de conseguir una mejora
continua. Para ello, proporciona indicaciones para valorar la madurez en
función de la misma clasificación utilizada por estándares como ISO 15504:
- Nivel 0 – Proceso incompleto: El proceso no existe o no cumple con los objetivos
- Nivel 1 – Proceso ejecutado
- Nivel 2 – Proceso gestionado: el proceso no solo se encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado.
- Nivel 3 – Proceso definido: el proceso, los recursos, los roles y responsabilidades se encuentran documentados y formalizado.
- Nivel 4 – Proceso predecible: se han definido técnicas de medición de resultados y controles.
- Nivel 5 – Proceso optimizado: todos los cambios son verificados para determinar el impacto, se han definido mecanismos para la mejora continua, etc.
En general, gran parte de los puntos que se exponen a continuación pueden ser mapeados a los controles definidos en el estándar ISO 27002.
| Figura 2- Ejemplo de Mapeo de Cobit con ITIL e ISO20000 |
Podemos encontrar tambien que Cobit se relaciona con otros estandares. Podemos encontrar puntos de conexión con otros estándares y marcos de trabajo que nos pueden servir de soporte:
| Cobit | Relacionado |
|---|---|
| P04 – Definición de procesos IT, organización y relaciones | Procesos según ISO |
| P05 – Gestión de la inversión en tecnología | Val IT y VMM (Value Measuring Methodology) |
| P08 – Gestión de la calidad | ISO 9000 |
| P09 – Validación y gestión del riesgo de las tecnologías de la información | BS 7799-3 (Guidelines for information security risk management) |
| P10 – Gestión de proyectos | PMBok y PRINCE2 |
El estándar Cobit nos ofrece una completa guía de alto nivel para la
definición y evaluación de los procesos de negocios relacionados con los
Sistemas de Información. Por otra parte, permite el uso de otros marcos
de trabajo más específicos (p.ej. CMMI, ITIL, etc.) sin perder la
compatibilidad gracias a al carácter generalista de Cobit.
COBIT tambien da soporte al gobierno de TI (Figura 3) al brindar un marco de trabajo que garantiza que:
• TI está alineada con el negocio
• TI habilita al negocio y maximiza los beneficios
• Los recursos de TI se usan de manera responsable
• Los riesgos de TI se administran apropiadamente
• TI está alineada con el negocio
• TI habilita al negocio y maximiza los beneficios
• Los recursos de TI se usan de manera responsable
• Los riesgos de TI se administran apropiadamente
| Figura 3-Pentagono de Gobernabilidad |
Tambien vimos los puntos de Gobernabilidad enfocados en cada proceso y los conceptos de Primario y secundario.
La idea es que todos sepan manejar la hoja de cada proceso y todas sus partes.
Al final fuimos evaluando los procesos e identificando los objetivos de alto nivel (que están en cascada) que no debe confundirse con los objetivos de control.
Evaluamos los siguientes procesos identificando el proceso dando una erxplicación en que consiste e identificando su objetivo de alto nivel:
Planificación y Organización
La dirección de la organización debe implicarse en la definición de
la estrategia a seguir en el ámbito de los sistemas de información, de
forma que sea posible proporcionar los servicios que requieran las
diferentes áreas de negocio. Para ello, Cobit presenta 10 procesos:
- PO1 – Definición de un plan estratégico: gestión del valor, alineación con las necesidades del negocio, planes estratégicos y tácticos.
- P02 – Definición de la arquitectura de información: modelo de arquitectura, diccionario de datos, clasificación de la información, gestión de la integridad.
- P03 – Determinar las directrices tecnológicas: análisis de tecnologías emergentes, monitorizar tendencias y regulaciones.
- P04 – Definición de procesos IT, organización y relaciones: análisis de los procesos, comités, estructura organizativa, responsabilidades, propietarios de la información, supervisión, segregación de funciones, políticas de contratación.
- P05 – Gestión de la inversión en tecnología: gestión financiera, priorización de proyectos, presupuestos, gestión de los costes y beneficios.
Los otros 5 de este dominio los veremos en la siguiente clase.
No hay comentarios:
Publicar un comentario
Has tus comentarios