Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Enfocado al negocio Arquitectura para TI
El área de TIC administra mediante procesos infraestructura para generar una salida de valor para al área de negocios de la empresa
Scorecard para TI
Cuadro de Mando que mide los procesos empleados para desarrollar y entregar los servicios de TI.
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Orientado a procesos Principio básico de COBIT
Para obtener la información que requiere la empresa para obtener sus objetivos, esta necesita invertir en, administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida.
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Orientado a procesos Manejo de procesos en COBIT
COBIT administra los procesos considerando 3 niveles:
Dominios (4)
Procesos (34)
Actividades
Dominios de COBIT
Planear y Organizar [PO]
Adquirir e Implementar [AI]
Entregar y soportar [DS]
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Basado en controles COBIT define objetivos de control
Políticas, procedimientos, practicas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos
institucionales.
Cada proceso tiene:
objetivo de control de alto nivel
Identificado como PCn n = {1, …, 6} objetivos de control específicos
Identificados como: siglas del dominio + num de proceso + . num de objetivo PO8.4, AI3.2, DS1.2, etc.
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Basado en controles
Objetivos de control genéricos aplicables a todos los procesos PC1 – Metas y objetivos de proceso
PC2 – Propietario del proceso
PC3 – Repetibilidad de los procesos PC4 – Roles y responsabilidades
PC5 – Políticas, planes y procedimientos
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Basado en controles
Adopción de controles de los procesos Decisión sobre
Seleccionar los que son aplicables
Decidir cuales se implementarán
Determinar como se implementaran
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Dirigido por mediciones Modelo de madurez
Forma de medición a través del uso de un modelo de madurez, que permite la comparación. Como estamos en relación a buenas prácticas aceptadas
Como estamos frente a similares Se realiza lo necesario?
Identificar que se necesita realizar para lograr el nivel de procesos
Nivel de madurez Descripción
0- No existe Carencia de reconocimiento del proceso 1- Inicial Procesos no estandarizados
2- Repetible No existe entrenamiento o comunicación formal 3 - Definido Estandarizado y documentado
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Dirigido por mediciones Atributos de madurez
Conciencia y comunicación
Políticas, estándares y procedimientos
Herramientas y automatización
Habilidades y experiencia
Responsabilidad y rendición de cuentas
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Dirigido por mediciones Valor del atributo
Políticas estándares y procedimientos
1 Hay acercamiento ad hoc a los procesos y prácticas. Los procesos y prácticas no están definidos
2 Emergen procesos comunes y similares, pero son altamente intuitivos por la experiencia individual. Algunos aspectos del proceso son repetibles
3 Emerge el uso de mejores prácticas. Los procesos, políticas y procedimientos están definidos y documentados para todas las actividades clave
4 El proceso es sano y está completo, se aplican las mejores prácticas internas. Todos los aspectos delos procesos están documentados y son repetibles
5 Se aplican las mejores prácticas y estándares externos. La documentación de procesos ha evolucionado a flujos de trabajo evolucionado
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
COBIT Dirigido por mediciones Medición de desempeño
Se definen tres niveles de métricas:
Metas de TI y métricas
Procesos y métricas
Actividades y métricas
Dos tipos de métricas
Mediciones de salida
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500
La norma se publicó en junio de 2008, basándose en la norma australiana AS8015:2005. Es la primera de una serie sobre el Gobierno de TI.
Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI's).
Está alineada con los principios de gobierno corporativo recogidos en el "Informe Cadbury" y en los "Principios de Gobierno Corporativo de la OCDE".
La norma se aplica al gobierno de los procesos de gestión de las TI's en todo tipo de organizaciones que las utilicen, facilitando las bases para la evaluación objetiva del gobierno de TI.
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500
Dentro de los beneficios de un buen gobierno de TI estaría la conformidad de la organización con:
los estándares de seguridad
legislación de privacidad
legislación sobre el spam
legislación sobre prácticas comerciales
derechos de propiedad intelectual, incluyendo acuerdos de licencia de software
regulación medioambiental
normativa de seguridad y salud laboral
legislación sobre accesibilidad
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500
También busca un buen rendimiento de la TI mediante:
apropiada implementación y operación de los activos de TI
clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos de la organización
continuidad y sostenibilidad del negocio
alineamiento de las TI's con las necesidades del negocio
asignación eficiente de los recursos
innovación en servicios, mercados y negocios
buenas prácticas en las relaciones con los interesados (stakeholders)
reducción de costos
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500 Principales definiciones
La norma incluye 19 definiciones de términos, entre los que se pueden destacar los siguientes:
Gobierno corporativo de TI (corporate governance of IT): El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologías de la información
Gestión (management): El sistema de controles y procesos requeridos para lograr los
objetivos estratégicos establecidos por la dirección de la organización. Está sujeta a la guía y monitorización establecida mediante el gobierno corporativo.
Interesado (stakeholder): Individuo, grupo u organización que puede afectar, ser afectado, o percibir que va a ser afectado, por una decisión o una actividad.
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500 Principales definiciones
Uso de TI (use of IT): Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para cumplir con las necesidades del negocio. Incluye tanto la demanda como la oferta de servicios de TI por unidades de negocio internas, unidades
especializadas de TI, proveedores externos y "utility services" (los que se proveen de software como servicio).
Conducta humana (human behavior): La comprensión de las interacciones entre personas y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el buen rendimiento del sistema. Incluye la cultura, necesidades y aspiraciones de las
Unidad 2: Arquitectura tecnológica empresarial
Evaluación de modelos de referencia de gobernabilidad TI
ISO/IEC 38500 Principios
La norma define seis principios de un buen gobierno corporativo de TI: Responsabilidad
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva de la mano la autoridad para su realización.
Estrategia
La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TI. Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.
Adquisición
Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costos y riesgos tanto a corto como a largo plazo.