COBIT dominios.

Dominio3:Entrega y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

·         DS1 Definir y administrar los niveles de servicio

·          DS2 Administrar los servicios de terceros  

·         DS3 Administrar el desempeño y la capacidad

·         DS4 Garantizar la continuidad del servicio

·         DS5 Garantizar la seguridad de los sistemas  

·         DS7 Educar y entrenar a los usuarios

·          DS6 Identificar y asignar costos

·         DS8 Administrar la mesa de servicio y los incidentes

·         DS9 Administrar la configuración

·         DS10 Administrar los problemas

·         DS11 Administrar los datos

·         DS12 Administrar el ambiente físico

·         DS13 Administrar las operaciones

A este dominio se le podría llamar servicios y no perdería su esencia.

Gestión de incidentes.

Es tan operativo que lo puedo tercerizar en la empresa.

Hay que tener en cuenta que si no se hace una buena gestión de los incidentes estos se repiten continuamente.

Dominio4:Monitoreo y evaluación

Como estoy haciendo las cosas . métricas y medidas de eficiencia y eficacia. Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

·         M1 Monitorear y evaluar el rendimiento TI 

·         M2 Monitorear y Evaluar el control Interno

·         M3 Garantizar el Cumplimiento Regulatorio

·         M4 Proporcionar Gobierno TI

 Representaciones del modelo de madurez.

Modelo genérico de madurez

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

COBIT dominios.

Estructura de los dominios

Los procesos se definen entonces en un nivel superior como una serie de  actividades o tareas conjuntas con “cortes” naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios.

Dominio 1: Planeación y organización.

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de la información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y/o administrada desde diferentes perspectivas.

§  PO1 Definir un Plan Estratégico de Tecnología de Información

§  PO2 Definir la Arquitectura de Información

§  PO3 Determinar la dirección tecnológica

§  PO4 Definir los procesos , la Organización y las Relaciones de TI

§  PO5 Manejar la Inversión en Tecnología de Información

§  PO6 Comunicar la dirección y aspiraciones de la gerencia

§  PO7 Administrar Recursos Humanos

§  PO8 Administrar calidad

§  PO9 Administrar y evaluar Riesgos

§  PO10 Administrar proyectos

·       

Dominio 2: Adquirir e Implementar.

Para llevara a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

§  AI1 Identificar soluciones de automatización

§  AI2 Adquirir y mantener software de aplicación

§  AI3 Adquirir y mantener la infraestructura tecnológica

§  AI4 Habilitar la operación y uso

§  AI5 Adquirir recursos TI

§  AI6 Administrar cambios

§  AI7 Instalar y acreditar soluciones y cambios

Dominio 3: Entregar y dar soporte.

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de  continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte  necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

§  DS1 Definir y administrar los niveles de servicio

§  DS2 Administrar los servicios de terceros

§  DS3 Administrar el desempeño y la capacidad

§  DS4 Garantizar la continuidad del servicio

§  DS5 Garantizar la seguridad de los sistemas

§  DS7 Educar y entrenar a los usuarios

§  DS6 Identificar y asignar costos

§  DS8 Administrar la mesa de servicio y los incidentes

§  DS9 Administrar la configuración

§  DS10 Administrar los problemas

§  DS11 Administrar los datos

§  DS12 Administrar el ambiente físico

§  DS13 Administrar las operaciones.

Gobierno de TI

El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del negocio.

El Gobierno de TI conduce a la empresa a tomar total ventaja de su información logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.

GOBIERNO DE TI

Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos.

El núcleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. La gerencia de la organización necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologías de Información son capaces de soportar los objetivos y estrategias de la organización.

Cada implementación de gobierno de TI se lleva a cabo en diferentes condiciones y circunstancias (entorno de Gobierno de TI) determinados por factores tales como:

− Ética y cultura de la organización y de la industria.

− Leyes, regulaciones y guías vigentes, tanto internas como externas.

− Misión, visión y valores de la organización.

− La organización de la organización de sus roles y responsabilidades.

− Intenciones estratégicas y tácticas de la organización.

COBIT Y GOBIERNO DE TI

Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su información, como para sus activos. La gerencia deberá además optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con esta responsabilidad, así como para alcanzar sus objetivos, la gerencia debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas.

Areas de focalización del Gobierno de TI.

El alineamiento estratégico se centra en asegurar el enlace entre el plan del negocio y los planes de TI; al definir, mantener y validar la proposición de valor de TI; al alinear las operaciones TI con las operaciones de la empresa.

• La entrega de valor tiene que ver con la ejecución de la propuesta de valor a través del ciclo de entrega, asegurando que las TI entregan los beneficios prometidos con respecto a la estrategia, concentrándose en la optimización de costos y la provisión del valor intrínseco de las TI.

• La administración de recursos tiene que ver con la inversión optima en, y la adecuada administración de los recursos críticos TI: aplicaciones, información, infraestructura y recurso humano. Aspectos claves que están relacionados con la optimización del conocimiento y la infraestructura.

• La gestión del riesgo requiere conciencia del riesgo por parte de los ejecutivos corporativos sénior, un claro entendimiento del apetito de la empresa por el riesgo, entendiendo el cumplimiento de los requerimientos, la transparencia acerca de riesgos significativos para la empresa y el encajamiento de las responsabilidades de administración del riesgo en la organización.

• La medida del rendimiento traza la pista y monitorea la implementación de estrategias, culminación de proyectos, uso de recursos, rendimiento de procesos y entrega de servicios, usando, por ejemplo, cuadros de mando integral que traducen las estrategias en acciones para alcanzar objetivos medibles mas allá de la contabilidad convencional.

El gobierno y los marcos de trabajo de control son parte de las mejores prácticas de la administración de las TI y facilitan su Gobierno, además de la necesidad de cumplir con el constante incremento de requerimientos regulatorios. Las mejores prácticas de las TI se han vuelto significativas debido a un número de factores:

• Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en las TI
• Preocupación por el creciente nivel de gasto en las TI
• La necesidad de cumplir con requerimientos regulatorios para controles de las TI en áreas como la privacidad o los informes financieros: Sarbanes-Oxley Act, Basel II o regulaciones locales: LOPD, LSSI-CE, etc, y en sectores específicos como el financiero, salud, telecomunicaciones e Internet, seguros, farmacéutico, etc
• La selección de proveedores de servicio y el manejo del Outsourcing y de la Adquisición de servicios
• Riesgos cada vez más complejos de las TI
• La conectividad entre las redes y su seguridad
• Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de las TI, aumentar el valor del negocio y reducir sus riesgos
• La necesidad de optimizar y minimizar los costes siguiendo un enfoque estandarizado en lugar de enfoques individualizados
• La madurez y concienciación creciente y la aceptación de marcos de trabajo respetados tales como: COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, etc.
• La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia.