COBIT 5 - Fundamentos

COBIT® 5 Fundamentos
Mg. Ing. Jack Daniel Cáceres Meza, PMP

ITIL® EXPERT
Gerente de Proyectos
proyectos_tic@jagi.pe
(51) 9-8935-4789
www.jagi.pe
Datos del expositor
Ingeniero Electrónico Experiencia Certificaciones Otros estudios
• UNMSM • Gestión de Proyectos / • ITIL® EXPERT • Maestría en Ingeniería
Servicios / Seguridad de de Seguridad
• Reg. CIP Nº 95664 • Project Management
información / Calidad Informática
Professional -PMP 2
• 34 años de vida (www.jagi.pe)
• Maestría en Dirección
profesional • ISO/IEC20000
• Mejora continua / estratégica de las
Normalización / • Auditor ISO27001 (IRCA) telecomunicaciones
Cumplimiento normativo • Certified Integrator in • Administración de
/ Re-diseño de procesos Secure Cloud Services Empresas,
• Consultoría, gestión, • ISO/IEC27002 IDEA/Universidad
instrucción en las TIC Ricardo Palma
• UNIX / LINUX
• Jefatura de centros de • Proyectos de Mejora,
cómputo – centros de • Microsoft MCSE, MCP + Holos TQC
datos Internet
• Diseño de centros de
• Planeamiento • CheckPoint Firewall-1 datos
estratégico de las TIC
• Planeamiento
• Auditoría informática y Estratégico de las
de seguridad de Tecnologías de
información Información, ESAN,
Unisys Corp. (USA)
• Diseño e
implementación de
redes
LAN/WAN/WiFi/WIMAX,
VoIP
• Docencia universitaria,
ponencias, paneles,
capacitación
(www.jagitech.pe)
(51) 9-8935-4789
www.jagi.pe
Objetivos del curso
• COBIT® 5 ayuda a maximizar el valor de la información mediante la
incorporación de las últimas técnicas de Gobierno y Gestión de la empresa.
• Así, el curso busca proveer al interesado principios y prácticas mundialmente
aceptados así como herramientas analíticas y modelos para ayudar a
incrementar la confianza y el valor de sistemas de información alineados con los
objetivos del negocio.
• Por tanto, el curso está dirigido, pero no limitados a, los siguientes interesados:
• Ejecutivos de negocios
• Dueños de procesos de TI, responsables de la función de TI
• Responsables de riesgos y de implementar y asegurar controles, responsables de
evaluar y auditar los controles de TI, responsables del cumplimiento, aseguramiento y
control interno de TI, profesionales en aseguramiento de calidad de TI
• Proveedores de servicios de TI, prestadores de servicios de TI, terceros responsables de
apoyar la función de TI
• Usuarios de TI
• Cualquier interesado en el gobierno corporativo de TI y en la generación de valor para el
negocio.
(51) 9-8935-4789
www.jagi.pe
Metodología
• El método de transferencia de conocimiento tendrá un carácter
inductivo, lógico y motivador, intuitivo – visual, activo y flexible.
• Se usarán técnicas de exposición participativa, desarrollo de
trabajo de grupo aplicando los contenidos teóricos recibidos.
• Se analizarán casos donde se requiera proponer alternativas de
solución empleando el conocimiento recibido.
• En general:
• Desarrollo de mapas mentales y revisión de conceptos relacionadas a
preguntas tipo examen COBIT® 5 Fundamentos
• Consultas atendidas en las sesiones y/o por e-mail, durante todo el curso
(respuestas por las mañanas)
• Simulacro de examen tipo COBIT® 5 Fundamentos
(51) 9-8935-4789
www.jagi.pe
Sílabo resumen
SESIÓN CONTENIDO HORARIO 5
• Introducción a COBIT® 5
01 08:00 a 14:00 horas
• Características de COBIT® 5
• Principios de COBIT® 5
02 08:00 a 14:00 horas
• Catalizadores de COBIT® 5
• Introducción a la implementación
03 • Modelo de valoración de la capacidad de 08:00 a 14:00 horas
los procesos
• Propuesta de plan de estudio

04 • Tips 08:00 a 14:00 horas
• Simulacro de examen
La bibliografía oficial debe conseguirse en:
(51) 9-8935-4789 http://www.isaca.org/cobit/pages/default.aspx
www.jagi.pe
Antes de empezar:
algunas reglas básicas de convivencia
• Dentro del salón de clase
• No fumar, comer o beber
• No utilizar equipos individuales de audio o vídeo –a no ser que se empleen
para fines académicos
• Evitar ruidos molestos -apagar el teléfono móvil
• Evitar distracciones
• Fuera del salón de clase
• Evitar generar ruido
• Evitar generar distracciones
• Identificar previamente la logística local (servicios generales)
• Luego de iniciada la clase, no tocar la puerta y esperar a que el
docente les permita el ingreso: 5’, 15’, segunda hora
• Educación, respeto, orden …
(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?
(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Empecemos entonces
Consultas, Aportes?
(51) 9-8935-4789
www.jagi.pe
Primero…
9
“Ningún viento es favorable para

quien no conoce el puerto al que
quiere arribar”
Séneca
(51) 9-8935-4789
www.jagi.pe
Información y tecnología
La Información es un recurso
clave para todas las empresas
La Información se crea, usa,
retiene, publica y destruye
La tecnología juega un papel
clave en todas esas acciones
La tecnología penetra todo los aspectos
de la vida personal y los negocios
(51) 9-8935-4789
FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
www.jagi.pe
La tecnología ha
jugado un papel
clave en el éxito
de las empresas y,
más que nunca,
los líderes de TI
tienen la presión
de ayudar a
generar ingresos
y brindar una
ventaja
competitiva.
(51) 9-8935-4789
www.jagi.pe
¿Cómo pueden darse estos
beneficios para crear valor
para los interesados?
TI 
(51) 9-8935-4789
www.jagi.pe
Si la junta directiva se preocupa de…
13
(51) 9-8935-4789 Fuente Deloite Estudio 180 Empresas España 2012

www.jagi.pe
¿Valor para los interesados?
14
• La entrega de valor requiere
un buen gobierno y gestión de
la información y tecnología
• Empresas, ejecutivos y
consejos de administración
deben aceptar que TI es tan
importante como cualquier otra
parte del negocio
• Los requisitos externos del
cumplimiento legal, regulatorio
y contractual relacionadas con
el uso de la información y la
tecnología van en aumento,
amenazando el valor si no se
cumplen
(51) 9-8935-4789
www.jagi.pe
Gobierno y Gestión
15
Gobierno Gestión
• Asegura el cumplimiento • Planea, Construye,
de objetivos empresariales
• Evalúa necesidades,
Opera y Supervisa
condiciones y opciones de (Monitorea):
los interesados
• Las actividades
• Dirige a través de la fijadas y acordadas
priorización y toma de
decisiones por el cuerpo de
• Supervisa (Monitorea) el gobierno
desempeño y cumplimiento
contra la dirección y los
objetivos acordados
• Ciclo PBRM
• Ciclo EDM (Plan-Build-Run-
(Evaluate-Direct-Monitor) Monitor)
(51) 9-8935-4789
www.jagi.pe
No se puede gestionar lo que no se comunica
No se puede comunicar lo que no se mide
No se puede medir lo que no se define
No se puede definir lo que no se entiende
(51) 9-8935-4789
www.jagi.pe
Entonces se necesitan estrategias.
Pero, ¿quién las hace? 17
(51) 9-8935-4789
proyectos_tic@jagi.pe Fuente Deloite Estudio 180 Empresas España 2012
www.jagi.pe
¿Y sobre qué se apoyan estas estrategias?
en la tecnología claro; entonces…
El marco de Gobierno de TI deberá ayudar a la alta dirección a saber si con
la información administrada es posible garantizar el logro de objetivos, ser
flexible, tener un buen manejo de riesgos y reconocer apropiadamente sus
oportunidades actuando acorde a ellas.
(51) 9-8935-4789
FUENTE IT GOVERNANCE INSTITUTE, 2007
www.jagi.pe
Suficiente introducción…
19
“Ningún viento es favorable para

quien no conoce el puerto al que
quiere arribar”
Séneca
(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Introducción y características de COBIT® 5
• Motivadores
• Beneficios
• Evolución
• Principios de COBIT ® 5
• Introducción de los cinco principios
• Desarrollo de los cinco principios
• Habilitadores/Catalizadores en COBIT ® 5
• Desarrollo de los siete habilitadores/catalizadores
• Introducción a la Implementación en COBIT® 5
• Modelo de valoración de la capacidad de los procesos (PAM)
• Cómo estudiar y crear un plan de estudio
• Tips para rendir el examen
• Examen de simulación
(51) 9-8935-4789
www.jagi.pe
¿Hemos experimentado algo de esto?
Los proyectos de TI se justifican en La alta gerencia recibe métricas de TI
lenguaje técnico, cuesta entender y que no logra entender en términos de
justificar sus beneficios negocio
TI se mira como “caja negra”, no se Se desarrollan/compran sistemas de

logra determinar el valor información, que no entregan los
estratégico que entrega beneficios esperados
Los contratos con las software Los contratos de servicios TI son

factory se encarecen, pero la administrados por personas que no
saben de administración
disponibilidad es baja
TI se entera a última hora de que Los usuarios entienden que quien
habrá una fusión/cambios debe proteger la información es TI, no
estructurales, o que la adopción de ellos. “Los riesgos sólo vienen de los
estándares, normas y otros le traerá hackers”
serios cambios radicales
Todo se consolida en Excel
Cada nuevo marco que se quiere
implementar tiene su propia
(51) 9-8935-4789
terminología
Aquí falta Gobierno de TI
www.jagi.pe
Pero…
22
• A fin de poder definir al Gobierno de
TI, debemos iniciar por definir al
Gobierno Corporativo:
• Conjunto de responsabilidades y
prácticas ejecutadas por la junta
directiva y la administración con el fin
de proveer dirección estratégica.
(ISACA, 2010)
• Dirección y control –
• Pero, ¿de qué manera se provee una
hacia donde va TI
correcta dirección estratégica para la para apoyar el
organización? negocio y asegurar
• Garantizando que los objetivos sean
alcanzados que los objetivos son
• Estableciendo que los riesgos son
administrados apropiadamente
alcanzables
• Verificando que los recursos de la • Responsabilidad
empresa son usados de manera
responsable
• Rendición de cuentas
(51) 9-8935-4789 • Actividades
www.jagi.pe
Porque las organizaciones deben
… Tratar con la cantidad de información, 23
que ha crecido significantemente en el
tiempo.
Proporcionar orientación adicional en el

ámbito de la innovación y las
tecnologías emergentes.
Cubrir completamente las

responsabilidades funcionales de TI y
del negocio, y todos los aspectos que
llevan a la gestión y el gobierno eficaz
de las TI de la empresa, tales como
estructuras organizativas, políticas y
cultura, además de los procesos.
Enlazar y, cuando sea relevante,

alinearse
(51) 9-8935-4789
con otros marcos y estándares
principales existentes en el mercado.
www.jagi.pe
El marco COBIT® 5 es de carácter genérico y útil
para las empresas de todos los tamaños, ya sea
comercial, sin fines de lucro o del sector
público
Entra COBIT® 5 en la ecuación
• NO es un estándar o una metodología
• Es un compendio de mejores prácticas aceptadas internacionalmente
• Se enfoca en el control más que en la ejecución
• Puede implementarse acorde a las necesidades
(51) 9-8935-4789
www.jagi.pe
¿Inquietudes o exigencias de TI?
25
(51) 9-8935-4789
www.jagi.pe
El marco COBIT® 5
Ayuda a crear valor óptimo de TI por
mantener un equilibrio entre la
obtención de beneficios y la
optimización de los niveles de riesgo y el
uso de los recursos
Permite que la información y la

tecnología relacionada sean gobernadas
y gestionadas de manera integral para
toda la empresa, abarcando de principio
a fin el negocio y áreas funcionales,
teniendo en cuenta los intereses de las
partes interesadas, internas y externas
(51) 9-8935-4789
www.jagi.pe
GRC
• El ejercicio de la autoridad, control,
Gobierno gobierno, acuerdo.
• Peligro, riesgo de pérdida, daño o

destrucción (el acto o arte de la gestión,
Riesgo la manera de tratar, dirigir, seguir
(Administración) adelante, o utilizar, con un propósito,
conducta, administración, dirección,
control)
• El acto de cumplimiento, un
rendimiento, en cuanto a su deseo,
Cumplimiento demanda o propuesta; concesión;
presentación
(51) 9-8935-4789
www.jagi.pe
¿Qué beneficio brindan la información
y la tecnología a las empresas?
Mantener la calidad de la información para
soportar decisiones de negocio
Generar valor para el negocio desde las
inversiones posibilitadas por TI
Lograr metas estratégicas y mejoras al

negocio mediante el uso eficaz
(excelencia operativa) e innovador de TI
Mantener los riesgos de TI a un nivel

aceptable
Optimizar el costo de los servicios entregados

por TI (y de la tecnología habilitadora)
(51) 9-8935-4789
Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
www.jagi.pe
Así, entender COBIT® 5 permite…
Comprender los niveles riesgos asociados a TI y
tomar decisiones informadas para reducir los
incidentes de seguridad de la información.
Suministrar esta comprensión y la conciencia de
los riesgo para mejorar la prevención, detección y
recuperación dentro de una organización.
Proporcionar herramientas para que las
organizaciones mantengan información de
alta calidad para apoyar las decisiones de
negocios.
Ayudar a una organización a cumplir con los
requisitos reglamentarios y legales o
gubernamentales.
Entender el enfoque COBIT de la gobernanza y su

relación con otras mejores prácticas de TI.
(51) 9-8935-4789
www.jagi.pe
Así, implementar COBIT® 5 permite…
Lograr los objetivos estratégicos y obtener los
beneficios de negocio a través del uso efectivo e
innovador de TI.
Apoyar el cumplimiento de las leyes,

reglamentos, acuerdos contractuales y políticas y
ganar ventaja competitiva sobre otras
organizaciones.
Reducir la complejidad y aumentar la
rentabilidad debido a una mejor y más fácil
integración de las normas de seguridad de
información, buenas prácticas y / o directrices
sectoriales específicas que resultan en la
excelencia operativa a través de una aplicación
fiable, eficiente de la tecnología.
Mejora de la integración de seguridad de la
información en la empresa, lo que resulta en una
mayor satisfacción de los usuarios con las
(51) 9-8935-4789 disposiciones de seguridad de la información y los
proyectos_tic@jagi.pe resultados FUENTE COBIT® 5, © 2012 ISACA® TODOS LOS DERECHOS RESERVADOS
www.jagi.pe
Algunas estadísticas
• 25% de mejora en la satisfacción de los clientes
• 56% de mejora en la gestión de riesgos
• 15% de mejora en la cyber seguridad
• 14% de protección de la reputación
• 28% de reducción de costos de TI
(51) 9-8935-4789
www.jagi.pe
Evolución a un marco empresarial
32
Gobierno Corporativo de TI
Evolución del Alcance
Gobierno de TI
Val IT 2.0
Administración (2008)
Control
Risk IT
(2009)
Auditoría
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7 2012

www.jagi.pe
Cubo de COBIT
33
X COBIT 4.1
Efectividad
Eficiencia
COBIT 5
Utilidad
Usabilidad
Integridad Libre de error
Confiabilidad Credibilidad
Disponibilidad Accesibilidad
Confidencialidad Seguridad
Cumplimiento Conformidad
(51) 9-8935-4789
www.jagi.pe
Familia de productos COBIT® 5
34
(51) 9-8935-4789
www.jagi.pe
Entendámonos
Lo que la gente dice conocer de
35
(51) 9-8935-4789
www.jagi.pe
Entendámonos
Lo que la gente cree que es CobiT 36
(51) 9-8935-4789
www.jagi.pe
Entendámonos
Lo que la gente ve en CobiT 37
(51) 9-8935-4789
www.jagi.pe
Entendámonos
Lo que realmente es CobiT 38
(51) 9-8935-4789
www.jagi.pe
Estructura COBIT
39
El control
Procesos de TI
de los
Que Requerimientos del

satisfacen los negocio
Es facilitado
Declaraciones de control
por
Que
Prácticas de control
consideran
(51) 9-8935-4789
www.jagi.pe
COBIT aporta al Gobierno corporativo…
40
Integrando tecnología al Gobierno
Corporativo
Definiendo cuál es el rol del directorio en el
Gobierno de Tecnología
Separando claramente las actividades de
Gestión de las de Gobierno
A comprender que Negocio y Tecnología
están fusionadas
Vinculando cada inversión en Tecnología

con beneficios, recursos, riesgos, y
transparencia
(51) 9-8935-4789
www.jagi.pe
COBIT aporta al Gobierno corporativo…
DECISIONES
¿Estamos haciendo lo correcto? ¿Estamos obteniendo los beneficios?
• La pregunta estratégica: • La pregunta de valor: 41
¿Está la inversión: ¿Tenemos:
• De acuerdo con nuestra visión • Un conocimiento claro y compartido de los
• Coherente con nuestros objetivos de negocio beneficios esperados
• Contribuyendo a nuestros objetivos • Una responsabilidad clara para realizar los
estratégicos beneficios
• Proporcionando valor a un costo económico y • Una métrica relevante
niveles de riesgo aceptable? • Un proceso eficaz de realización de beneficios?
¿Lo estamos logrando bien? ¿Lo estamos haciendo correctamente?

• La pregunta de arquitectura: • La pregunta de entrega:
¿Está la inversión: ¿Tenemos:
• De acuerdo con nuestra arquitectura • Procesos eficaces y disciplinados de dirección,
• Coherente con nuestros principios entrega y gestión de cambios
arquitectónicos • Recursos técnicos y de negocio competentes y
• Contribuyendo a la población de nuestra disponibles para entregar:
arquitectura • Las capacidades necesarias
• En línea con otras iniciativas? • Los cambios de organización necesarios para
(51) 9-8935-4789 potenciar las capacidades?
www.jagi.pe COBIT
En resumen…
Es un marco de gestión cuyos principios rectores y
procesos facilitadores optimizan la información y la
inversión en tecnología y el uso de TI para el
beneficio de las partes interesadas
(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
(51) 9-8935-4789
www.jagi.pe
Principios de COBIT® 5
Conductores de valor para los Interesados
44
(51) 9-8935-4789
www.jagi.pe
1. Satisfacer las necesidades de
las partes interesadas 45
• Las Organizaciones tienen

muchas partes interesadas y
“crear valor” significa cosas
diferentes – a veces
conflictivas – para cada una
de ellas.
• En el Gobierno se trata de
negociar y decidir entre los
diversos intereses de
beneficio de las diferentes
partes interesadas.
(51) 9-8935-4789
www.jagi.pe
1. Satisfacer las necesidades de
las partes interesadas
El sistema de Gobierno deberá

considerar a todas las partes
interesadas al tomar decisiones
con respecto a la evaluación de
riesgos, los beneficios y el manejo
de recursos. Para cada decisión
se puede, y se
debe, hacer las
siguientes
preguntas:
• ¿Quién recibe los
beneficios?
• ¿Quién asume el
riesgo?
(51) 9-8935-4789 • ¿Qué recursos se
Fuente COBIT®
necesitan?
5, © 2012 ISACA Todos los derechos reservados
®
www.jagi.pe
Cascada de metas de COBIT® 5
• Las necesidades de las Partes Interesadas
deben ser transformadas en una estrategia
accionable para la Organización. 47
• Las metas en cascada de COBIT 5
traducen las necesidades de las Partes
Interesadas en metas específicas,
accionables y personalizadas dentro del
contexto de la Organización, de las metas
relacionadas con la TI y de las metas
habilitadoras. Necesidades de las Partes
desencadenan Interesadas (Socios, Accionistas,
etc.) y Metas Empresariales
Desarrolladas utilizando Metas Corporativas de COBIT 5

dimensiones del BSC/CMI
Mapeo Detallado de las Metas de
Empresa y las Metas
Relacionadas con las TI
Metas relacionadas con las TI

¿Resultados?
Mapeo Detallado de las Metas
Relacionadas con las TI y los
Procesos Relacionados con las TI
Los catalizadores incluyen procesos, estructuras

organizativas e información, y para cada catalizador
(51) 9-8935-4789
puede definirse
FUENTE COBIT® 5,un conjunto
© 2012 de metas
ISACA® TODOS relevantes
LOS DERECHOS en
RESERVADOS
www.jagi.pe apoyo de las metas relacionadas con la TI

Cascada de metas de COBIT® 5
Beneficios Consideraciones Personalización
• Define objetivos y • Cada empresa • Cada empresa debe
metas relevantes y establece sus construir su propia
tangibles a varios objetivos con cascada de metas,
niveles de distintas compararla con
responsabilidad. prioridades, y estas COBIT y luego
• Filtra la base de prioridades pueden refinarla.
conocimiento de cambiar con el
COBIT® 5, sobre la tiempo.
base de las metas • La asignación de
corporativas, para relevancia se
extraer las guías acercará a un
relevantes a incluir continuo de
en proyectos diversos grados de
específicos de correspondencia.
implementación,
mejora o
aseguramiento.
(51) 9-8935-4789
www.jagi.pe
2. Cubrir la compañía extremo-a-extremo
(de forma integral) • La información es
una de las categorías
de catalizadores de
COBIT. 49
• El modelo mediante
• Cubre todas las el que COBIT® 5
funciones y procesos define los
necesarios para catalizadores
gobernar y gestionar permite a cada grupo
la información de interés definir
corporativa y las requisitos
tecnologías exhaustivos y
relacionadas donde completos para la
quiera que esa información y el ciclo
información pueda de vida de
ser procesada. procesamiento de la
• Dado este alcance información,
corporativo amplio, conectando de este
COBIT® 5 contempla modo el negocio y su
todos los servicios TI necesidad de una
internos y externos información
relevantes, así como adecuada y la
los procesos de función TI, y
negocio internos y soportando el
externos. (51) 9-8935-4789 negocio y el enfoque
Fuente COBIT®
de contexto.
5, © 2012 ISACA Todos los derechos reservados
®
www.jagi.pe
Enfoque de gobierno
Catalizadores de gobierno
• Recursos organizativos para el gobierno, tales como marcos de referencia, principios,
estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son 50
dirigidas y los objetivos pueden ser alcanzados.
• Recursos corporativos – por ejemplo, capacidades de servicios (infraestructura TI,
aplicaciones, etc.), personas e información.
Alcance de gobierno
• Puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o intangible, etc.
• Es esencial definir bien este alcance del sistema de gobierno.
Roles, actividades y relaciones

• Definen quién está involucrado en el gobierno, cómo se involucran, lo que hacen y cómo
interactúan, dentro del alcance de cualquier sistema de gobierno.
(51) 9-8935-4789
www.jagi.pe
3. Aplicar un marco de referencia
único integrado
COBIT® 5 está Corporativo COSO, COSO ERM,
ISO/IEC 9000,
alineado con ISO/IEC 31000
los últimos
marcos y Relacionado con ISO/IEC 38500, ITIL®,
la serie ISO/IEC 27000,
normas TI TOGAF,
PMBOK/PRINCE2,
relevantes CMMI
usados por las Entre otros
organizaciones
(51) 9-8935-4789
www.jagi.pe
• Un marco general
único sirve como una
fuente consistente e
integrada de guía en
un lenguaje común,
no-técnico y
tecnológicamente
agnóstico.
• Proporciona una • Poblar una base de
arquitectura simple conocimiento COBIT® 5 que
para estructurar los contiene todas las guías y
materiales de guía y contenido producido hasta
producir un conjunto ahora y que proporcionará
consistente. una estructura para
• Integra todo el contenidos futuros
conocimiento adicionales.
disperso previamente • Proporciona una referencia
en los diferentes
(51) 9-8935-4789 base de buenas prácticas
marcosproyectos_tic@jagi.pe
de ISACA.
www.jagi.pe exhaustiva y ISACA
Fuente COBIT 5, © 2012
®
sólida.
Todos los derechos reservados
®
4. Habilitar/facilitar (hacer posible)
un enfoque holístico
Factores que, Son guiados por la
cascada de metas, es Algunos son también
individual y decir, objetivos de alto recursos corporativos
colectivamente, nivel relacionados con TI que también
definen lo que los necesitan ser
influyen sobre diferentes catalizadores gestionados y
si algo deberían conseguir. gobernados:
funcionará – en • La información, que
necesita ser gestionada
este caso, el como un recurso.
gobierno y la • Servicios,
gestión de la infraestructura y
aplicaciones.
empresa TI. • Personas, habilidades y
Catalizadores competencias.
(51) 9-8935-4789
www.jagi.pe
Gobierno y Gestión Sistémicos Mediante
Catalizadores Interconectados
Para una buen toma de decisiones
Cada catalizador Cada catalizador
necesita del proporciona una
resultado de otros salida para beneficio
catalizadores para de otros
ser completamente catalizadores, por
efectivo, por ejemplo, los
ejemplo, los procesos
procesos necesitan proporcionan
información, las información,
estructuras habilidades y el
organizativas comportamiento
necesitan hace los procesos
habilidades y eficientes.
(51) 9-8935-4789
comportamiento.
www.jagi.pe
Breve descripción de los catalizadores
Principios, • Son los vehículos para traducir el comportamiento
Políticas y deseado en una orientación práctica para la
Marcos administración diaria.
• Describen una serie organizada de prácticas y

actividades para lograr determinados objetivos y
Procesos producir una serie de resultados como apoyo al logro
de las metas globales relacionadas con la TI.
Estructuras • Constituyen las entidades claves para la toma de

Organizativas decisiones en una organización.
Cultura, Ética y • De los individuos así como de la organización; se

subestima frecuentemente como factor de éxito en
Comportamiento las actividades de gobierno y administración.
(51) 9-8935-4789
www.jagi.pe
Breve descripción de los catalizadores
• Se encuentra presente en todo el ambiente de
cualquier organización; o sea se trata de toda la
información producida y usada por la
Organización.
Información • La información es requerida para mantener la
organización andando y bien gobernada, pero a
nivel operativo, la información frecuentemente es
el producto clave de la organización en si.
Servicios, • Incluyen la infraestructura, la tecnología y las

aplicaciones que proporcionan servicios y
Infraestructura procesamiento de tecnología de la información a
y Aplicaciones la organización.
• Están vinculadas con las personas y son

Personas, requeridas para completar exitosamente todas
Habilidades y las actividades y para tomar las decisiones
Competencias correctas, así como para llevar a cabo las
(51) 9-8935-4789
acciones correctivas.
www.jagi.pe
Dimensiones (comunes) de los
Catalizadores de COBIT® 5
Conjunto de Proporcionan una manera común,
dimensiones simple y estructurada de tratar
comunes con los catalizadores
(genéricos) Permiten a una entidad manejar
sus complejas interacciones
Facilitan resultados exitosos de los

catalizadores
(51) 9-8935-4789
www.jagi.pe
Dimensiones comunes
58
(51) 9-8935-4789
www.jagi.pe
Buenas prácticas
59
Buenas prácticas significa que se está de

acuerdo, en general, en que la aplicación de
estas habilidades, herramientas y técnicas
puede aumentar las posibilidades de éxito
de una amplia variedad de proyectos.
Buenas prácticas no significa que el

conocimiento descrito deba aplicarse
siempre de la misma manera en todos los
proyectos; la organización y/o el equipo de
dirección del proyecto son responsables de
establecer lo que es apropiado para un
proyecto determinado.
(51) 9-8935-4789
www.jagi.pe
5. Separar el Gobierno de la
Gestión 60
La posición de COBIT® 5 sobre esta fundamental
distinción entre gobierno y gestión es:
Gobierno Gestión
• Asegura que se evalúan las • La gestión planifica, construye,
necesidades, condiciones y ejecuta y controla actividades
opciones de las partes alineadas con la dirección
interesadas para determinar que establecida por el cuerpo de
se alcanzan las metas gobierno para alcanzar las metas
corporativas equilibradas y empresariales.
acordadas; estableciendo la
dirección a través de la
priorización y la toma de
decisiones; y midiendo el
rendimiento y el cumplimiento
respecto a la dirección y metas
acordadas. • En la mayoría de las empresas, la
gestión es responsabilidad de la
• En la mayoría de las empresas, el dirección ejecutiva bajo la
gobierno es responsabilidad del
(51) 9-8935-4789 dirección del CEO.
consejo de administración bajo
la dirección de su presidente.
www.jagi.pe
Modelo de Referencia de
Procesos de COBIT® 5 61
Una empresa puede

organizar sus procesos
EDM como crea conveniente,
siempre y cuando las metas
de gobierno y gestión
queden cubiertas.
PBRM
(51) 9-8935-4789
www.jagi.pe
37 procesos de
gobierno y gestión
(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
(51) 9-8935-4789
www.jagi.pe
Habiltiadores/Catalizadores COBIT® 5
(51) 9-8935-4789
www.jagi.pe
Categorías de catalizadores
Principios, políticas y Son el vehículo para traducir el comportamiento deseado en guías prácticas
marcos de referencia para la gestión del día a día.
Describen un conjunto organizado de prácticas y actividades para alcanzar
Procesos ciertos objetivos y producir un conjunto de resultados que soporten las
metas generales relacionadas con TI.
Estructuras
organizativas Son las entidades de toma de decisiones clave en una organización.
Cultura, ética y De los individuos y de la empresa son muy a menudo subestimados como
comportamiento factor de éxito en las actividades de gobierno y gestión.
Impregna toda la organización e incluye toda la información producida y
Información utilizada por la empresa. A nivel operativo, la información es muy a
menudo el producto clave de la empresa en sí misma.
Servicios,
infraestructuras y Incluyen la infraestructura, tecnología y aplicaciones que proporcionan a la
aplicaciones empresa, servicios y tecnologías de procesamiento de la información.
Las personas, Están relacionadas con las personas y son necesarias para poder completar
habilidades y
(51) 9-8935-4789
de manera satisfactoria todas las actividades y para la correcta toma de
competencias
decisiones y de acciones correctivas.
www.jagi.pe
Proporcionan una manera
común, simple y
Dimensiones comunes estructurada de tratar con
los catalizadores
66
Las
empresas
esperan
resultados
positivos de
la aplicación
y uso de los
catalizadores
(51) 9-8935-4789
www.jagi.pe
Partes interesadas
Participantes que juegan un papel
activo y/o tienen un interés en el mismo.
67
(51) 9-8935-4789
www.jagi.pe
Las necesidades de las partes
Partes interesadas interesadas se traducen en
metas para la empresa, las
cuales se traducen, a su vez, en
metas TI para ésta. 68
Todas las cuestiones mencionadas se

pueden relacionar con las metas
corporativas y servir como entradas
a la cascada de metas, lo que permite que
puedan ser resueltas con efectividad.
(51) 9-8935-4789
www.jagi.pe
Las metas Se pueden definir en términos de:
•Resultados esperados del catalizador
•Aplicación u operativa del propio catalizador
69
Categoría: Calidad Intrínseca

•Medida en la que los catalizadores trabajan de forma precisa, objetiva y proporcionan
unos resultados precisos, objetivos y de confianza.
Categoría: Calidad Contextual

•Medida en la que los catalizadores y sus resultados, en el contexto en el que operan,
se ajustan a un propósito (los resultados deberían ser relevantes, completos, estar
actualizados, ser apropiados, consistentes, comprensibles y fáciles de usar).
Categoría: Accesibilidad y Seguridad

•Medida en la que los catalizadores y sus resultados son accesibles y están protegidos:
•Los catalizadores están disponibles cuando, y si, se necesitan.
•Sus resultados están protegidos, es decir, el acceso está restringido a quiénes están
autorizados y los necesitan.
(51) 9-8935-4789
www.jagi.pe
Algunas partes interesadas definen y
establecen las políticas mientras que las otras
tienen que alinearse y cumplir con ellas.
70
Los principios, políticas y marcos de referencia son los instrumentos para comunicar
las reglas, en apoyo a las metas de gobierno y los valores de la empresa, conforme los
define el Consejo y el comité ejecutivo de dirección.
Los principios han de ser:
• Limitados en número
• Redactados en un lenguaje sencillo, expresando de la forma más clara posible, los
valores fundamentales de la empresa.
(51) 9-8935-4789
www.jagi.pe
Las políticas tienen un ciclo de vida que ha de apoyar la consecución
de las metas definidas. Los marcos de referencias son clave porque
proporcionan la estructura para definir una directriz coherente
71
• Las buenas prácticas requieren que las políticas formen parte del marco de
gobierno y de gestión general, proporcionando una estructura (jerárquica) a la que
deberían ceñirse todas las políticas y actuando de enlace con los principios
subyacentes.
• Las políticas deberían estar alineadas con el umbral de riesgo de la empresa.
• Las políticas necesitan ser revalidadas y/o actualizadas a intervalos regulares.
(51) 9-8935-4789
www.jagi.pe
Las métricas se pueden definir como ‘una
Las partes interesadas y sus entidad cuantificable que permite medir la
niveles de responsabilidad están consecución de las metas de un proceso. Las
documentadas en las matrices métricas deberían ser – específicas,
RACI. medibles, practicables (permitan tomar
decisiones), relevantes y oportunas– 72
(SMART)
(51) 9-8935-4789
www.jagi.pe
Modelo RACI COBIT® 5
73
(51) 9-8935-4789
www.jagi.pe
Un estructura organizativa tiene un ciclo de
vida. Es creada, existe y es ajustada y,
finalmente, puede ser disuelta. Durante su
creación, se debe definir un mandato –una
razón y un propósito para su existencia.
74
(51) 9-8935-4789
www.jagi.pe
Se pueden Principios Las modalidades prácticas respecto a
cómo la estructura operará, como
distinguir operativos frecuencia de reuniones, documentación
varias y reglas de mantenimiento.
buenas Las estructuras tienen miembros, los
prácticas Composición 75
cuales son partes interesadas internas
para las o externas.
estructuras
organizativa Ámbito de control Los límites de los derechos de
decisión de la estructura organizativa.
s como:
Niveles de Las decisiones que la estructura está

autorización/ autorizada a tomar.
derechos de decisión
Delegación de La estructura puede delegar (un

autoridad subconjunto de) sus derechos de
decisión a otras estructuras
dependientes que le reportan.
Procedimiento de La ruta de escalado para una
escalado estructura organizativa describe las
(51) 9-8935-4789 acciones requeridas en caso de
www.jagi.pe
problemas en5, la
FUENTE COBIT® toma
© 2012 de LOS
ISACA® TODOS decisiones.
DERECHOS RESERVADOS
Conjunto de conductas individuales Ética organizativa, éticas individuales,
y colectivas dentro de una empresa comportamientos individuales
Una empresa puede identificar cambios necesarios y

trabajar orientada hacia su implementación.
(51) 9-8935-4789
www.jagi.pe
El alcance del catalizador información
se refiere principalmente a la fase de
“información” dentro del ciclo de la
información, pero también se cubren
los aspectos de datos y conocimientos
en COBIT® 5.
(51) 9-8935-4789
www.jagi.pe
• Las inversiones en información y tecnologías relacionadas se basan
en los casos de negocio, que incluyen análisis costo-beneficio.
• El costo y beneficio no se refiere sólo a factores tangibles y medibles,
sino que también tiene en cuenta factores intangibles tales como la
ventaja competitiva, la satisfacción del cliente y la incertidumbre de la
tecnología.
• Sólo cuando se aplica o se utiliza el recurso de la información es
cuando una empresa genera beneficios de la misma, por lo que el valor
de la información está determinado únicamente a través de su uso
(internamente o mediante su venta), ya que la información no tiene
valor intrínseco.
• Es sólo cuando se pone la información en acción cuando se puede
(51) 9-8935-4789
generar ese valor.
www.jagi.pe
Las metas para la información están divididas
en tres sub-dimensiones de calidad:
79
Calidad
intrínseca El grado en que los valores de los datos están en
conformidad con los valores reales o verdaderos.
• Precisión El grado en que la información es correcta y confiable
• Objetividad El grado en que la información es objetiva, sin prejuicios e
imparcial
• Credibilidad El grado en que la información es considerada como
verdadera y creíble
• Reputación El grado en que la información está altamente
considerada en términos de su origen o contenido
(51) 9-8935-4789
www.jagi.pe
80
Calidad contextual El grado en que la información es aplicable a la
y de tarea del usuario de la información y es
presentada en una manera clara e inteligible,
representatividad reconociendo que la calidad de la información
depende del contexto de su uso.
• Relevancia: El grado en que la información es aplicable y útil para la tarea a realizar
• Completitud: El grado en que la información no tiene carencias y es de la suficiente
profundidad y amplitud para la tarea a realizar
• Vigencia: El grado en que la información está lo suficientemente actualizada para la tarea
a realizar
• La cantidad apropiada de información: El grado en que el volumen de información es
adecuado para la tarea a realizar
• Representación concisa: El grado en que la información se representa de forma compacta
• Representación consistente: El grado en que la información se presenta en el mismo
formato
• Interpretabilidad: El grado en que la información está expresada en los idiomas, símbolos y
unidades apropiados, con definiciones claras
• Comprensibilidad: El grado en que la información sea fácil de comprender
• Facilidad de manipulación: El grado en que la información es fácil de manipular y de
aplicar(51)
a diferentes
9-8935-4789 tareas
www.jagi.pe
81
Accesibilidad
y seguridad: El grado en que la información está disponible o que
puede obtenerse.
•Disponibilidad/ oportunidad: El grado en que la información está disponible
cuando se requiera, o que es rápida y fácilmente recuperable
•Acceso restringido: El grado en que el acceso a la información se restringe
adecuadamente a las partes autorizadas
(51) 9-8935-4789
www.jagi.pe
Las metas de la capacidad de nivel de servicio se
expresan en términos de servicio — aplicaciones,
infraestructura, tecnología — y de niveles de servicio,
teniendo en cuenta que los servicios y niveles de
servicio son más económicos para la empresa.
82
Las capacidades de servicio en el futuro o en proyecto se

describen normalmente mediante una arquitectura objetivo.
Dicha arquitectura cubre los bloques constituyentes, tales
como futuras aplicaciones y el modelo de infraestructura
objetivo y también describe los vínculos y las relaciones entre
estos bloques de construcción.
(51) 9-8935-4789
www.jagi.pe
Principios de arquitectura
Reutilización
• Los componentes comunes de la arquitectura deberían ser utilizados en el 83
diseño e implementación de soluciones como parte de las arquitecturas
objetivo o de transición.
Comprar frente a construir

• Las soluciones deberían ser adquiridas a menos que exista una razón para
aprobar su desarrollo interno.
Simplicidad
• La arquitectura de la empresa debería ser diseñada y mantenida para ser tan
simple como sea posible sin dejar de cumplir con los requisitos de la
empresa.
Agilidad
• La arquitectura de la empresa debería incorporar agilidad para satisfacer las
cambiantes necesidades de negocio de una manera eficaz y eficiente.
Apertura
• La arquitectura de la empresa debería aprovechar los estándares abiertos de
la industria.
(51) 9-8935-4789
www.jagi.pe
84
(51) 9-8935-4789
www.jagi.pe
85
(51) 9-8935-4789
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
• Introducción a la implementación en COBIT® 5
(51) 9-8935-4789
www.jagi.pe
Governance of Enterprise IT (GEIT)
87
• Actualmente la GEIT (Gobierno • Las iniciativas GEIT deben tomar
corporativo de TI) se basa en 3 una visión equilibrada y holística
pilares: de las cinco áreas de interés de
• Garantizar la realización de GEIT:
beneficios • Alineación estratégica
• Optimizar los recursos • El riesgo de la gestión
• Optimizar Riesgos • La entrega de valor
• Esta visión integral de las • La gestión de recursos
iniciativas de TI asegura que • La medición del desempeño
todos los proyectos de TI
aprobados traerá un poco de
valor a la empresa, a un costo
aceptable y bajo riesgos
comprendidos y aceptados con
un ROI conocido (Retorno sobre
la Inversión) o un VOI estimado
(Valor sobre la inversión).
(51) 9-8935-4789
www.jagi.pe
Algunas reflexiones…
88
• Podemos obtener un valor
óptimo aprovechando
COBIT como marco para
construir sobre las
iniciativas GEIT solo si es
adoptado y adaptado de
manera eficaz para
ajustarse al entorno único
de cada empresa.
• Cada enfoque de
implementación también
necesitará resolver
desafíos específicos,
incluyendo la gestión de
cambios a la cultura y el
comportamiento.
(51) 9-8935-4789
www.jagi.pe
Usualmente padecemos de… (pain points)
(51) 9-8935-4789
www.jagi.pe
(51) 9-8935-4789
www.jagi.pe
Veamos…
ISACA Pero… no está
pensada con un
proporciona
enfoque prescriptivo
amplias y ni como una
prácticas guías solución completa,
de sino más bien como
implementación una guía para evitar
los obstáculos más
en su publicación
comunes,
COBIT 5 aprovechar las
Implementación, mejores prácticas y
que está basada ayudar en la
Así, esta parte tratará el tema creación de
en un ciclo de de implementación desde un resultados
vida de mejora punto de vista de alto nivel satisfactorios.
continua.
(51) 9-8935-4789
www.jagi.pe
Mapa de implementación de
Gobierno de TI en las organizaciones
92
(51) 9-8935-4789
www.jagi.pe
Diagrama ejemplo
93
(51) 9-8935-4789
www.jagi.pe
Entonces… debemos considerar el contexto
empresarial
Cada empresa
necesita diseñar su Recordemos, el
propio plan de enfoque óptimo para
implantación, el gobierno y gestión
atendiendo a los de la TI empresarial
factores específicos será distinto para
del entorno interno y cada empresa,
El gobierno y la externo de la siendo necesario
gestión de la TI empresa entender y
empresarial no considerar el
suceden de manera contexto para
aislada. adoptar y adaptar
COBIT de modo
efectivo en la
implementación de
Contexto los catalizadores de
gobierno y gestión
(51) 9-8935-4789
empresarial de TI empresarial.
www.jagi.pe
Y… debemos crear el entorno apropiado
La mayoría de las iniciativas relacionadas con TI fracasan a menudo por una dirección,
soporte y supervisión inadecuados por las distintas partes interesadas necesarias.
95
El apoyo y orientación de las partes interesadas clave es crítico para que las mejoras
sean adoptadas y mantenidas.
Los requerimientos basados en aspectos sensibles y factores actuales deberían ser

identificados por la dirección como áreas que tienen que ser consideradas.
Desde el inicio se debe solicitar el compromiso e interiorización de las partes

interesadas más relevantes.
Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser

claramente expresados en términos de negocio y resumidos en un caso de negocio.
Una vez que el compromiso ha sido obtenido, es necesario contar con los recursos
adecuados para apoyar el programa.
Los roles y responsabilidades esenciales del programa deberían ser definidos y

(51) 9-8935-4789
asignados.
www.jagi.pe
Además… debemos reconocer los puntos débiles y
sus eventos desencadenantes… aquí algunos
•
solamente
Frustración a nivel de negocio con iniciativas fallidas,
incrementando los costos de TI y la percepción de bajo valor 96
de negocio.
• Incidentes significativos relativos al riesgo de TI, como
pérdida de datos y fallos en proyectos.
• Problemas en la externalización de la entrega del servicio,
como por ejemplo el fallo sistemático al mantener los niveles
de servicio acordados.
• Incapacidad de cumplir con requerimientos regulatorios o
contractuales.
• Limitación por TI de las capacidades de innovación de la
compañía y la agilidad de negocio.
• Hallazgos periódicos de auditoría en relación al bajo
rendimiento de TI o notificación de problemas de calidad de
servicio de TI.
• Gastos de TI ocultos o malintencionados.
• Duplicación o superposición entre iniciativas, o despilfarro de
recursos, como la cancelación prematura de un proyecto.
• Insuficientes recursos de TI, personal con habilidades
inadecuadas, agotado o insatisfecho.
• Fallos en los cambios de TI a la hora de alcanzar las
(51) 9-8935-4789
necesidades de negocio y entregados tarde o con sobre
costo. www.jagi.pe Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
Y… facilitar el cambio… y no negar o minimizar
lo evidente
• Miembros del consejo, altos directivos y ejecutivos de 97
alto nivel que son reticentes en implicarse con las TI o
una ausencia de patrocinadores de las TI
comprometidos y satisfechos.
• Modelos operativos de TI complejos.
• Fusiones, adquisiciones o desinversiones.
• Un movimiento en el mercado, la economía o en una
posición competitiva.
• Un cambio en el modelo operativo de negocio o en el
modelo de dotación de recursos.
• Nuevos requerimientos regulatorios y legales.
• Un cambio tecnológico significativo o un nuevo
paradigma.
• Un proyecto de ámbito corporativo.
• Un nuevo CEO, CFO, CIO, etc.
• Auditorías externas o revisiones de consultores.
• Una nueva estrategia o prioridad de negocio.
(51) 9-8935-4789
www.jagi.pe
•… Fuente COBIT® 5, © 2012 ISACA® Todos los derechos reservados
GEIT se enfoca en la Mejora continua,
Un enfoque de ciclo de vida

Gestión del cambio (cambio
organizacional - comportamientos y
cultura), y en la Gestión de la cartera y
del portafolio, para asegurarse de que
TI no está cegado en un mundo aparte, 98
sino integrado de forma que el negocio
puede confiar en él como un aliado
importante y uno de los facilitadores
del éxito de las organizaciones.
A lo largo del tiempo, el ciclo de

vida debería seguirse de modo
iterativo, al tiempo que se
construye un modelo sostenible
de gobierno y gestión de TI
(51) 9-8935-4789
proyectos_tic@jagi.pe corporativa.
www.jagi.pe
Resumamos
• Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio
Fase 1 a un nivel de dirección ejecutiva.
99
• Define el alcance de la iniciativa de implementación o mejora empleando el
mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI
asociados, y considerando cómo los escenarios de riesgos podrían destacar los
Fase 2 procesos clave en los que focalizarse. Se lleva a cabo una evaluación del estado
actual y se identifican los problemas y deficiencias mediante la ejecución de un
proceso de revisión de capacidad.
• Establece un objetivo de mejora, seguido de un análisis más detallado
aprovechando las directrices de COBIT para identificar diferencias y posibles
Fase 3 soluciones. Algunas soluciones pueden ser beneficios inmediatos y otras
actividades de largo plazo.
• Planifica soluciones prácticas y desarrolla un plan de cambios para la
Fase 4 implementación.
• Las soluciones propuestas son implementadas. Se pueden definir las
Fase 5 mediciones y establecer la supervisión empleando las metas y métricas de
COBIT.
• Se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y
Fase 6 de la supervisión de la consecución de los beneficios esperados.
• Se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para
Fase 7 el gobierno o la gestión de la TI empresarial.
(51) 9-8935-4789
www.jagi.pe
Caso de negocio
100
(51) 9-8935-4789
www.jagi.pe
El caso de negocio no es un
documento estático puntual,
sino una herramienta
dinámica y operativa que
debe ser continuamente
actualizada para reflejar las
previsiones actuales, de
manera que se pueda 101
mantener una perspectiva de
la viabilidad del programa.
(51) 9-8935-4789
www.jagi.pe
Bueno, el caso de negocio debería incluir
Los objetivos de beneficio de Los cambios de negocio requeridos para
negocio, su alineación con la crear el valor previsto. Esto podría
estrategia de negocio y los basarse en comprobaciones y análisis de102
propietarios asociados del beneficio deficiencias de capacidad y deberían
(quién dentro del negocio será indicar claramente qué está dentro del
responsable de asegurarlos). ámbito y qué está fuera de él.
Las inversiones precisas para

realizar los cambios de gobierno y
gestión de TI corporativa (basado en Los costos ordinarios de TI y de negocio.
estimaciones de proyectos
necesarios).
El riesgo inherente en los puntos

Los beneficios esperados de operar anteriores, incluyendo cualquier
en el nuevo modo. restricción o dependencia (basado en los
desafíos y factores de éxito).
Cómo la inversión y la creación de valor

Roles, responsabilidades y serán supervisadas a través del ciclo de
obligaciones relativas a la iniciativa. vida económico y cómo se usarán las
(51) 9-8935-4789 métricas (basado en metas y métricas).
www.jagi.pe
Un ejemplo VISIÓN ¿quiénes somos y
por qué estamos
MISIÓN aquí? 103
ANÁLISIS
OBJETIVOS DIAGNÓSTICO
Fortalezas y debilidades
EXTERNO ESTRATÉGICOS INTERNO
Oportunidades
Amenazas y
Factores regulatorios Unidades estratégicas

(¿a dónde
Económicos Estructura
queremos llegar?
Tecnológicos Procesos
Marco Funciones
ÁREAS CLAVES DE
Presupuestario
DESEMPEÑO Recursos
...
...
METAS
¿dónde ¿dónde
estamos? PROGRAMAS, PLANES estamos?
TÁCTICOS Y OPERATIVOS,
PROYECTOS ¿cómo lo hacemos y cómo
¿cómo mantenemos el sabemos si hemos llegado?
impulso? (seguimiento, re-planificación,
procesos, mejora continua,
(51) 9-8935-4789 INDICADORES seguridad…)
JUNTO
FuenteA TU
COBIT®
EMPRESA
5, © 2012
APOYANDO
ISACA®LAS
Todos
GRANDES
los derechos
INNOVACIONES
reservados
www.jagi.pe
104
(51) 9-8935-4789
www.jagi.pe
Trabajemos un poco…
105
Tell me and I will forget

Show me and I will remember
Involve me and I will understand
-Lao Tse

Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
(51) 9-8935-4789
www.jagi.pe
Veamos…
• COBIT® 5 incluye un modelo de capacidad de procesos,
basado en la norma ISO/IEC 15504 de Ingeniería de
Software-Evaluación de Procesos.
• Un modelo de procesos define un catálogo, una colección
estructurada, buenas prácticas que describen las
características de un proceso efectivo.
• La ISO/IEC 15504 proporciona los principios requeridos para
realizar una evaluación de la implantación de dicho modelo de
procesos en una organización.
• Software Process Improvement Capability Determination
(SPICE) significa «Determinación de la Capacidad de
Mejora del Proceso de Software»
(51) 9-8935-4789
Fuente: ISO/IEC 15504
www.jagi.pe
ISO/IEC 15504
Esta Establecer un punto de referencia para la evaluación de la capacidad.
evaluación
es muy Realizar revisiones sobre “el estado actual (as-is)” y “el estado
exigente objetivo (to-be)” para asistir al órgano de Gobierno y de Gestión de
respecto a lo la empresa en la toma de decisiones de inversiones para la mejora de
que debe procesos.
cumplir cada
proceso para Realizar un análisis de carencias e información sobre la planificación
de mejoras para apoyar la definición de proyectos de mejora
ascender de justificables.
nivel, y
permite, Proporcionar al órgano de Gobierno y de Gestión de la empresa los
entre otras porcentajes de evaluación para medir y monitorizar la capacidad
cosas, lo actual.
siguiente: La evaluación de las prácticas del proceso revelará qué prácticas
faltan o están fallando, habilitando la implementación y/o la mejora
de esas prácticas y permitiendo alcanzar todos los objetivos de los
procesos.
(51) 9-8935-4789
Fuente: ISO/IEC 15504
www.jagi.pe
Términos clave
Calidad
• La calidad de un producto o servicio está altamente influenciada por el
proceso que se utiliza (CMMI).
• Para el establecimiento o medición del nivel de implantación de las
prácticas descritas en el modelo se utilizan dos enfoques, que permiten
alcanzar los mismos resultados pero utilizando estrategias diferentes.
Nivel de madurez
• Conjunto de prácticas, preestablecidas por el modelo, que se deben
garantizar por la Organización en su conjunto.
• Es decir, o se cumplen todas o no se tiene el nivel de madurez.
• En términos del modelo son las áreas de proceso que se consideran en cada
nivel de madurez y que van evolucionando.
Nivel de capacidad
• Es un análisis individual y no de conjunto.
• Por cada área de proceso se evoluciona de generar los artefactos o
resultados del proceso, a gestionar la ejecución del proceso hasta tenerlo
definido como proceso estándar.
• La idea es que mejora la calidad de los productos propios del proceso y en
su conjunto contribuyen a mejorar la calidad del producto o servicio que se
(51) 9-8935-4789
desarrolla.
Fuente: http://gesegtic.blogspot.pe/2014/09/analisis-de-madurez-y-capacidad-de.html
www.jagi.pe
6 niveles de capacidad
Niveles de capacidad,
Nivel 5 –
atributos de proceso de Optimizado
Nivel 4 –
ISO/IEC 15504 Predecible
Nivel 3 – 110
Nivel 2 – Establecida La
organización
Nivel 1 – Gestionada La mejora en
organización forma
Nivel 0 – Básica La gestiona de continua los
organización forma
Inmadura La utiliza cuantitativa
procesos
organización procesos para cumplir
La gestiona los los procesos los objetivos
organización definidos
La organización procesos y basados en de negocio
no tiene una
implementa los PA 4.1
y alcanza los estándares Medición del
implementació productos PA 5.1
n efectiva de objetivos de resultantes proceso Innovación del
procesos los procesos se
PA 3.1 Definición
PA 4.2 Control proceso
del proceso
establecen, del proceso PA 5.2
PA 1.1 controlan y PA 3.2 Optimización
Rendimiento mantienen Implementación del proceso
del proceso PA 2.1 Gestión del proceso
del rendimiento
PA 2.2 Gestión
del producto de
(51) 9-8935-4789
trabajo 9 atributos de proceso
www.jagi.pe
Realización de la evaluación
• Evidencias de Realización del
Proceso (Dimensión del proceso) –111
outcomes.
• Evidencias de la Capacidad del
Proceso (Dimensión de la capacidad)
ISO/IEC 15504-2
–prácticas genéricas/atributos.
Process Assessment
Model (PAM):
Using COBIT® 5
COBIT® 5
(51) 9-8935-4789
www.jagi.pe
Elementos de la norma ISO/IEC 15504-2
112
La norma describe los requisitos

mínimos para realizar una
evaluación asegurando un nivel
de consistencia y capacidad de
(51) 9-8935-4789
repetición. proyectos_tic@jagi.pe Fuente ISO/IEC 15504-2

www.jagi.pe
… ISO/IEC 15504
Alcanzar el nivel 1 requiere que el atributo de
rendimiento sea alcanzado ampliamente, lo que
significa que el proceso se ejecuta con éxito y la
organización obtiene los resultados esperados.
Debe
tenerse
en cuenta
que
Si el resultado requerido de
un proceso no se alcanza de El proceso debe estar
manera continuada, el descrito en términos de
proceso no alcanza su su propósito y
objetivo y necesita ser
(51) 9-8935-4789
resultados.
mejorado.
www.jagi.pe
(51) 9-8935-4789
www.jagi.pe
El proceso de evaluación de COBIT® 5
(PAM) está basado en evidencia para
permitir una evaluación confiable,
Niveles de capacidad coherente y repetible en el ámbito del

Gobierno y la Gestión de las TI de la
Empresa.
El PAM de COBIT® 5 se compone de un conjunto de indicadores de desempeño y

(51) 9-8935-4789
capacidad del proceso. Los indicadores se utilizan como base para recopilar pruebas
objetivas que permitan a un evaluador asignar calificaciones.
www.jagi.pe
Escala de evaluación
• N - No alcanzado (0 - 15%)
• Hay muy poca o ninguna evidencia de que se alcanza el atributo definido en el proceso
de evaluación.
• P - Parcialmente alcanzado (>15% - 50%)
• Hay alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso
evaluado.
• Algunos aspectos del logro del atributo pueden ser impredecibles.
• L – Ampliamente alcanzado (>50% - 85%)
• Hay evidencias de un enfoque sistemático y de un logro significativo del atributo definido
en el proceso evaluado.
• Pueden encontrarse algunas debilidades relacionadas con el atributo en el proceso
evaluado.
• F - Completamente alcanzado (>85%-100%)
• Se ha conseguido totalmente el atributo definido.
• No existen debilidades significativas relacionadas con el atributo en el proceso evaluado.
(51) 9-8935-4789
www.jagi.pe
Proceso de evaluación
3. Plan the assessment,
including processes
1. Initiate an
2. Select assessor and and organizational unit
assessment
assessment team to be assessed
(assessment sponsor)
(lead assessor and
assessment team)
4. Pre-assessment
5. Data collection 6. Data validation
briefing
8. Reporting the
7. Process rating
assessment result
(51) 9-8935-4789
Fuente: https://en.wikipedia.org/wiki/ISO/IEC_15504
www.jagi.pe
Un ejemplo
118
Fuente: RODRIGO MUÑOZ SERNA, MARIO ALBERTO MARTINEZ ARIAS.

(51) 9-8935-4789 “Caracterización de Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL, CMMI DEV, PMBOK,
proyectos_tic@jagi.pe para la implementación en la industria Editorial Colombiana, apoyando el proceso de transformación digital”.
MAESTRÍA EN GESTIÓN INFORMÁTICA Y TELECOMUNICACIONES. SANTIAGO DE CALI. 2012
www.jagi.pe
Trabajemos un poco…
119
Tell me and I will forget

Show me and I will remember
Involve me and I will understand
-Lao Tse

Fuente: http://www.hms.org/pub/synprove/SPiCE121/SpiceMotivation.pdf
www.jagi.pe
¿Dudas, Preguntas,
Consultas, Aportes?
(51) 9-8935-4789
www.jagi.pe
¿Dudas, Preguntas,
Repasemos
Consultas, Aportes?
(51) 9-8935-4789
www.jagi.pe
¿Qué principio es clave para el buen gobierno y gestión de la empresa?
• A. Gestión de Operaciones de TI
• B. Asegurar la Optimización de Recursos
• C. Creación de un enfoque holístico
• D. Gestión de la Información
¿Qué habilitador describe las entidades clave en la toma de decisiones en una

organización?
• A. Estructuras organizativas
• B. Procesos
• C. Las personas, habilidades y competencias
• D. Principios, políticas y marcos
¿Qué proceso se incluirá en el dominio del proceso construir, adquirir y

poner en práctica de la Gestión Corporativa de TI?
• A. Manejo de la Continuidad
• B. Gestionar las operaciones
• C. Gestionar los Riesgos
• D. Gestionar la disponibilidad y la capacidad
¿Qué producen los procesos como resultado de su funcionamiento?

• A. Gráficos RACI
• B. Aspectos Culturales
• C. Capacidades de servicio
(51) 9-8935-4789
• D. Objetivos comerciales
www.jagi.pe
CONTENIDO
• Motivadores
• Beneficios
• Evolución
(51) 9-8935-4789
www.jagi.pe
Plan de estudio y tips
• Entender, organizar la información recibida
• Entienda que la estructura (orden) presentada es un compendio de
mejores prácticas en la industria
• Céntrese en conocimientos recibidos –no en la experiencia personal
(esto es fatal estadísticamente)
• Entienda los términos y sus -sutiles- diferencias
• No olvide las equivalencias de las palabras
• Identifique las palabras clave que son útiles para usted
• Identifique qué es primero, o qué no tiene relación (distractores)
• Las preguntas no siempre están circunscritas a módulos
específicos; algunas respuestas pueden requerir
entendimiento de interrelaciones, qué o en dónde se hace
qué, procesos y sub-procesos, y funciones involucradas
en COBIT® 5
• No asuma lo que no está escrito
(51) 9-8935-4789
www.jagi.pe
Plan de estudio y tips
• Las preguntas son 40 –se aprueba con un mínimo de 65%
respuestas correctas
• Lea la pregunta, identifique en qué módulo se centra o con cuáles se
relaciona y trate de encontrar una respuesta –SIN MIRAR LAS
ALTERNATIVAS
• Busque los distractores en la respuesta
• Busque LA MEJOR respuesta SEGÚN COBIT® 5
• No necesariamente -ni siempre- la respuesta más simple es la
correcta –ni tampoco la más desarrollada  analice, más palabras
no siempre implica más claridad
• Busque relación entre palabras clave en la pregunta con la
respuesta
• Identifique las combinaciones que son incorrectas
(51) 9-8935-4789
www.jagi.pe
Gracias por su atención
¿Dudas, Preguntas,
Consultas, Aportes?
Cualquier esfuerzo resulta
ligero con el hábito.
Tito Livio
(51) 9-8935-4789
www.jagi.pe

COBIT 5 - Fundamentos

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

COBIT 5 - Fundamentos

Încărcat de

Drepturi de autor:

Formate disponibile

COBIT® 5 Fundamentos

Mg. Ing. Jack Daniel Cáceres Meza, PMP

• Propuesta de plan de estudio

Mg. Ing. Jack Daniel Cáceres Meza, PMP

Mg. Ing. Jack Daniel Cáceres Meza, PMP

“Ningún viento es favorable para

(51) 9-8935-4789 Fuente Deloite Estudio 180 Empresas España 2012

“Ningún viento es favorable para

TI se mira como “caja negra”, no se Se desarrollan/compran sistemas de

Los contratos con las software Los contratos de servicios TI son

Proporcionar orientación adicional en el

Cubrir completamente las

Enlazar y, cuando sea relevante,

Permite que la información y la

• Peligro, riesgo de pérdida, daño o

Lograr metas estratégicas y mejoras al

Mantener los riesgos de TI a un nivel

Optimizar el costo de los servicios entregados

Entender el enfoque COBIT de la gobernanza y su

Apoyar el cumplimiento de las leyes,

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Que Requerimientos del

Vinculando cada inversión en Tecnología

¿Lo estamos logrando bien? ¿Lo estamos haciendo correctamente?

• Las Organizaciones tienen

El sistema de Gobierno deberá

Desarrolladas utilizando Metas Corporativas de COBIT 5

Metas relacionadas con las TI

Los catalizadores incluyen procesos, estructuras

www.jagi.pe apoyo de las metas relacionadas con la TI

Roles, actividades y relaciones

• Describen una serie organizada de prácticas y

Estructuras • Constituyen las entidades claves para la toma de

Cultura, Ética y • De los individuos así como de la organización; se

Servicios, • Incluyen la infraestructura, la tecnología y las

• Están vinculadas con las personas y son

Facilitan resultados exitosos de los

Buenas prácticas significa que se está de

Buenas prácticas no significa que el

Una empresa puede

Todas las cuestiones mencionadas se

Categoría: Calidad Intrínseca

Categoría: Calidad Contextual

Categoría: Accesibilidad y Seguridad

Niveles de Las decisiones que la estructura está

Delegación de La estructura puede delegar (un

Una empresa puede identificar cambios necesarios y

Las capacidades de servicio en el futuro o en proyecto se

Comprar frente a construir

Los requerimientos basados en aspectos sensibles y factores actuales deberían ser

Desde el inicio se debe solicitar el compromiso e interiorización de las partes

Para conseguir esto, los objetivos y beneficios de la implementación necesitan ser

Los roles y responsabilidades esenciales del programa deberían ser definidos y

Un enfoque de ciclo de vida

A lo largo del tiempo, el ciclo de

Las inversiones precisas para

El riesgo inherente en los puntos

Cómo la inversión y la creación de valor

Factores regulatorios Unidades estratégicas

Tell me and I will forget

La bibliografía oficial debe conseguirse en:

La norma describe los requisitos

repetición. proyectos_tic@jagi.pe Fuente ISO/IEC 15504-2