PRESENTACIÓN COBIT 2019

GRUPO 2 COBIT 2019

Catherine Xiomara VelaLuis Fernando QuinilloGerson Alexander Portillo Mirian Teresa Choy Roslin Rubí Martinez

Índice

Entregar, Dar Servicio y Soporte

Evaluar, Dirigir y Monitorizar

Qué es COBIT?

10

Objetivos de Gestión

Monitorizar, Evaluar y Valorar

Versiones

Alinear, Planificar y Organizar

COBIT 2019

11

Gracias

Objetivo de Gobierno

Construir, Adquirir e Implementar

COBIT

COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa.

Versiones

• COBIT1 (1996): Auditoría
• COBIT2 (1998): Control
• COBIT3 (2000): Gestión
• COBIT4 (2005/2007): IT Gobernanza

Val IT 2.0 Riesgo IT

• COBIT5 (2012): Gobernanza de la TI empresarial

COBIT 2019

Con el paso de los años, se han desarrollado y promocionado marcos de referencia de mejores prácticas para contribuir al proceso de conocimientos, diseño e implementación del gobierno empresarial de TI (GETI). COBIT® 2019 integra y se basa en más de 25 años de desarrollo en este campo, no solo mediante la incorporación de los nuevos conocimientos de la ciencia, sino también con la aplicación de estos conocimientos en la práctica.

COBIT 2019

COBIT® 2019 incluye 40 objetivos de gobierno y gestión, organizados en cinco dominios. Los dominios se nombran mediante verbos que expresan el propósito clave y las áreas de actividad de los objetivos que los contienen: Los objetivos de gobierno se agrupan en el dominio . 1. Evaluar, Dirigir y Monitorizar (EDM en inglés Los objetivos de gestión se agrupan en cuatro dominios: 1. Alinear, Planificar y Organizar (APO) 2. Construir, Adquirir e Implementar (BAI) 3. Entregar, Dar Servicio y Soporte (DSS) 4. Monitorizar, Evaluar y Valorar (MEA)

Objetivos de Gobierno

Evaluar, Dirigir y Monitorizar

EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno

Descripción: Analizar y articular los requisitos para el gobierno de la I&T de la empresa. Establecer y mantener componentes de gobierno claros con respecto a la autoridad y las responsabilidades para lograr la misión, las metas y los objetivos de la empresa.

Propósito: Proporcionar un enfoque consistente integrado y alineado con el enfoque de gobierno de la empresa. Las decisiones relacionadas con I&T deben hacerse en línea con las estrategias y objetivos de la empresa y para alcanzar el valor deseado

+Componentes

EDM02 Asegurar la obtención de beneficios

Descripción: Optimizar el valor al negocio de las inversiones en procesos empresariales, servicios de I&T y activos de I&T.

Propósito: Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados para I&T; la entrega rentable de soluciones y servicios; y una imagen confiable y precisa de los costes y beneficios probables para que las necesidades empresariales se satisfagan de forma eficaz y eficiente.

+Componentes

EDM03 Asegurar la optimización del riesgo

Descripción: Asegurar que el apetito y la tolerancia al riesgo de la empresa se entiendan, articulen y comuniquen, y que se identifique y gestione el riesgo para el valor de negocio relacionado con el uso de I&T.

Propósito: Asegurarse de que el riesgo de negocio relacionado con la I&T no exceda el apetito y tolerancia al riesgo de la empresa, que se identifique y gestione el impacto del riesgo de I&T para el valor de negocio y que se minimicen los posibles fallos de cumplimiento.

+Componentes

EDM04 Asegurar la optimización de los recursos

Descripción: Asegurar que se dispone de recursos adecuados y suficientes relacionadas con I&T (personas, procesos y tecnología) y con el negocio para apoyar eficazmente los objetivos empresariales, a un coste óptimo.

Propósito: Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que los costes de I&T se optimicen, y que exista una mayor probabilidad de obtener beneficios y disponibilidad para cambios futuros.

+Componentes

EDM05 Asegurar el compromiso de las partes interesadas

Descripción: Asegurar que se identifica e involucra a las partes interesadas en el sistema de gobierno de I&T y que la medición y comunicación sobre el rendimiento y conformidad de I&T de la empresa sean transparentes, con las partes interesadas aprobando las metas y métricas y las acciones remediales necesarias.

Propósito: Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de I&T, que la comunicación con las partes interesadas sea eficaz y oportuna, y que se establezcan las bases para los informes con el fin de aumentar el rendimiento

+Componentes

Objetivos de Gestión

Alinear, Planificar y Organizar (APO)

APO01 Gestionar el marco de gestión de I&T

Descripción: Diseñar el sistema de gestión para la I&T de la empresa basándose en las metas empresariales y otros factores de diseño. En base a este diseño, implementar todos los componentes necesarios del sistema de gestión.

Propósito: Implementar un enfoque de gestión consistente para permitir que se alcancen los requisitos de gobierno empresarial, con cobertura de componentes de gobierno, como los procesos de gestión, las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles, los elementos de información, las políticas y procedimientos, las habilidades y las competencias, la cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.

+Componentes

APO02 Gestionar la estrategia

Descripción: Proporcionar una visión holística del entorno empresarial y de I&T actual, la dirección futura y las iniciativas necesarias para migrar al entorno futuro deseado. Garantizar que el nivel de digitalización deseado sea integral en la dirección y la estrategia de I&T futuras.

Propósito: Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de ruta con cambios incrementales. Usar un enfoque holístico en cuanto a I&T, asegurando que cada iniciativa esté claramente conectada con una estrategia global

+Componentes

APO03 Gestionar la Arquitectura Empresarial

Descripción: Establecer una arquitectura común que consiste en capas de arquitectura de procesos de negocio, información, datos, aplicaciones y tecnología. Crear modelos y prácticas claves que describen las arquitecturas base y objetivo, en línea con la estrategia de I&T de la empresa.

Propósito: Representar los diferentes bloques de construcción que conforman la empresa y sus interrelaciones, así como los principios que guían su diseño y evolución a lo largo del tiempo, para posibilitar una prestación estándar, responsable y eficiente de los objetivos operativos y estratégicos.

+Componentes

APO04- Gestionar la Innovación

Descripcion: Ayuda a identificar de forma poractiva las oportunidades de innovacion y planifica como beneficiarse de la innovacion en relacion con las necesidades empresariales y la estrategias de I&T.

Propósito: Lograr ventajas competitivas, innovacion empresarial, una mejor experiencia del cliente y una mayor eficacioa y efeiciencia con el aporvechamiento de los desarrollos de I&T y tecnologias emergentes.

APO05- Gestionar el Portafolio

Descripcion: Ejecutar la dirección estratégica establecida para las invesiones, en línea con la arquitectura empresarial y la hoja de ruta de I&T. Considera las diferentes categorías de inversiones y las limitaciones de recursos y financiación.

Propósito: Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de programas, productos y servicios y a las cambiantes prioridades y demandas de la empresa.

APO06- Gestionar el Presupuesto y los Costes

Descripción: Gestionar las actividades realacionadas con I&T en las funciones empresariales y de TI, cubiendo el presupuesto, la gestión de costes y beneficios, la priorización de gastos mediente el uso de prácticas presupuestarias formales asi como un sistema justo y equitativo de asignacion de costes a la empresa.

Propósito: Fomenta la asociación entre las partes interesadas de la empresa y de TI para permitir el uso eficaz y eficiente de los recursos relacionados con I&T, también proporcionar transparencia y rendición de cuentas y sobre el coste y valor para el negocio de soluciones y servicios.

APO07- Gestionar los Recursos Humanos

Descripción: Proporcionar un enfoque estructurado para asegurar una contratación/adquisición, planificacion, evaluación y desarrollo de recursos humanso óptimos.

Propósito: Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa.

APO08- Gestionar las Relaciones

Descripción: Gestionar las relaciones con las partes interesadas de una manera formal y transparente que asegure una confianza mutua y un enfoque combinado en lograr las metas estratpegicas dentro de las limitaciones de los presupuestos y la tolerancia al riesgo.

Propósito: Facilitar el conocimiento, habilidades y comportamientos correctos para generar mejores resultados, aumentar la confianza, credibilidad mutua y uso eficaz de los recurso para estimular una relación productiva con las partes interesadas de la empresa.

APO09- Gestionar los Acuerdos de Servicio

Descripción: Alienar los productos y servicios habilitados por I&T y los niveles de servicio con las necesidades y expectativas de la empresa, incluidos la identificación, especificación, diseño, publicación, acuerdo y monitorizacion de los productos y servicios de I&T, niveles de servicio e indetificadores de rendimiento.

Propósito: Asegurarse que los productos, servicios y niveles de servicio satisfagan las necesidades actuales y futuras de la empresa.

APO10- Gestionar los Proveedores

Descripción: Gestiones los productos y servicios con I&T proporcionados por todo tipo de proveedores para que satisfagan los requisitos de la empresa. Esto incluye la busqueda y selección de proveedores, gestion de relaciones, gestión de contratos y monitorización del rendimiento y ecosistema de proveedores para que sea efectiva y cumpla con la legislación.

Propósito: Optimizar las capacidades de I&T disponibles para apoyar la estrategia y la hoja de ruta de I&T, minimizar el riesgo asociado con proveedores que no rinden o cumplen con los requisitos y asegurar precios competitivos.

APO11- Gestionar la Calidad

Descripción: Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados empresariales relacionados. Habilitar los controles, monitorización continua y uso de prácticas y estándares probados en esfuerzos de mejora y eficiencia continuos.

Propósito: Asegurar la prestación consistente de soluciones y servicios tecnológicos para satisfacer los requisitos de calidad de la empresa y las necesidades de las partes interesadas.

APO12—Gestionar el riesgo

Descripcion: identificar, evaluar y reducir continuamente los riesgos relacionados con I&T dentro de los niveles de tolerancia establecidos por la gerencia ejecutiva de la empresa.

Proposito: Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con las I&T

+Componentes

APO13—Gestionar la seguridad

Descripcion : Definir, operar y monitorizar un sistema de gestión de seguridad de la información.

Proposito: Mantener el impacto y la ocurrencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo de la empresa.

+Componentes

APO014—Gestionar los datos

Descripcion: Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega, mantenimiento y archivo.

Proposito: Lograr y mantener la gestión eficaz de los activos de datos de la empresa durante todo el ciclo de vida de los datos, desde la creación hasta su entrega, mantenimiento y archivo.

+Componentes

Construir, Adquirir e Implementar

BAI01—Gestionar los programas

Descripcion: Gestionar todos los programas del portafolio de inversión, de conformidad con la estrategia de la empresa y de forma coordinada, según un enfoque de gestión de programas estándar. Iniciar, planificar, controlar y ejecutar programas, y monitorizar el valor esperado del programa.

Proposito: Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor inesperados. Para ello, mejorar las comunicaciones y la participación del negocio y usuarios finales, garantizar el valor y la calidad de los entregables del programa y realizar un seguimiento de los proyectos dentro de los programas, y maximizar la contribución del programa al portafolio de inversiones

+Componentes

BAI02—Gestionar la definición de requisitos

Descripcion: Identificar las soluciones y analizar los requisitos antes de su adquisición o construcción para asegurarse de que se ajustan a los requisitos estratégicos de la empresa cubriendo los procesos , aplicaciones, información/datos, infraestructura y servicios del negocio Coordinar la revisión de opciones viables con las partes interesadas afectadas, incluidos costes y beneficios relativos, análisis de riesgos y aprobación de los requisitos y soluciones propuestas. .

Proposito: Crear soluciones óptimas que satisfagan las necesidades de la empresa mientras que se minimiza el riesgo

+Componentes

BAI03 — Gestionar la identificación y construcción de soluciones

Descripcion: Establecer y mantener productos y servicios identificados (tecnología, procesos de negocio y flujos de trabajo) alineados con los requisitos de la empresa que cubran el diseño, desarrollo, adquisición/subcontratación y la asociación con proveedores. Gestionar la configuración, preparación de pruebas, pruebas, gestión de requisitos y mantenimiento de procesos de negocio, aplicaciones, información/datos, infraestructura y servicios.

Proposito: Garantizar una prestación ágil y escalable de productos y servicios digitales. Establecer soluciones oportunas y rentables (tecnología, procesos de negocio y flujos de trabajo) capaces de apoyar los objetivos estratégicos y operativos de la empresa

+Componentes

BAI04 — Gestionar la disponibilidad y la capacidad

Descripcion: Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con la prestación de servicios rentables. Incluir la evaluación de las capacidades actuales, previsión de las necesidades futuras basándose en los requisitos del negocio, el análisis de impactos en el negocio y la evaluación del riesgopara planificar e implementar acciones que satisfagan los requisitos identificados.

Proposito: Mantener la disponibilidad del servicio, la gestión eficiente de los recursos y la optimización del rendimiento del sistema a través de la predicción de los requisitosfuturos de rendimiento y capacidad.

+Componentes

BAI05 — Gestionar el cambio organizativo

Descripcion: Maximizar la probabilidad de implementar con éxito un cambio organizativo sostenible en toda la empresa, de forma rápida y con un riesgo reducido. Cubrir el ciclo de vida completo del cambio y todas las partes interesadas en el negocio y en TI.

Proposito: Preparar y conseguir el compromiso de las partes interesadas para el cambio en el negocio y reducir el riesgo de fracaso

+Componentes

BAI06- Gestionar los cambios de TI

Descripción

Propósito

Componente

Facilitar una ejecución de cambios rápida y confiable para el negocio.

Gestionar todos los cambios de una manera controlada

• BAI06.01 Evaluar, priorizar y autorizar solicitudes de cambio. • BAI06.02 Gestionar cambios de emergencia. • BAI06.03 Hacer seguimiento e informar sobre cambios de estado. • BAI06.04 Cerrar y documentar los cambios

BAI07- Gestionar la aceptación y transición de los cambios de TI

Descripción

Propósito

Componente

Gestionar la aceptación y la transición de los cambios de TI

Implementar soluciones de forma segura y conforme a las expectativas y resultados acordados.

• BAI07.01 Establecer un plan de implementación.
• BAI07.02 Planificar la conversión de procesos de negocio, sistemas y datos.
• BAI07.03: Plan de pruebas de aceptación.
• BAI07.04: Establecer un entorno de pruebas.

BAI08- Gestionar el conocimiento

Descripción

Propósito

Componente

Mantener disponible la información de gestión relevante, vigente, conocimiento validado y confiable con el fin de apoyar todas las actividades del proceso y facilitar la toma de decisiones relacionadas con el gobierno y la gestión

BAI08.01 Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T. BAI08.02 Organizar y contextualizar la información en conocimiento. BAI08.03 Utilizar y compartir conocimiento. BAI08.04 Evaluar y actualizar o retirar la información.

Proporcionar el conocimiento e información de gestión necesarios

BAI09- Gestionar los activos

Descripción

Componente

Propósito

Gestionar a través de su ciclo de vida para asegurarse de que su uso aporta valor a un coste óptimo

BAI09.01 Identificar y registrar los activos actuales. BAI09.02 Gestionar activos críticos. BAI09.03: Gestionar el ciclo de vida del activo. BAI09.04 Optimizar el valor de los activos. BAI09.05 Gestionar las licencias.

Tener en cuenta todos los activos de I&T y optimizar el valor proporcionado por su uso.

BAI10- Gestionar la configuración

Componente

Descripción

BAI10.01 Establecer y mantener un modelo de la configuración. BAI10.02 Establecer y mantener un repositorio de configuración y una línea de referencia. BAI10.03 Mantener y controlar los elementos de configuración. BAI10.04 Generar informes de estado y de la configuración. BAI10.05 Verificar y revisar la integridad del repositorio de configuración

Propósito

Definir y mantener descripciones y relaciones entre recursos claves y las capacidades necesarias para ofrecer servicios habilitados por I&T

Proporcionar información suficiente sobre los activos de servicio para facilitar que el servicio se gestione de forma eficiente.

BAI11- Gestionar los proyectos

Componente

Descripción

Propósito

BAI11.01 Mantener un enfoque estándar en la gestión de proyectos. BAI11.02 Establecer e iniciar un proyecto. BAI11.03 Gestionar la participación de las partes interesadas. BAI11.04 Desarrollar y mantener el plan del proyecto.

Gestionar todos los proyectos que se inician en la empresa, alineados con la estrategia de la empresa y de forma coordinada

Lograr los resultados definidos en el proyecto y reducir el riesgo de retrasos inesperados,

Entregar, Dar Servicio y Soporte

DSS01- Gestionar las operaciones

Componente

Descripción

1. DSS01.01 Ejecutar procedimientos operativos.
2. DSS01.02 Gestionar servicios tercerizados de I&T.
3. DSS01.03 Monitorizar la infraestructura de I&T
4. DSS01.04 Gestionar el medioambiente.
5. DSS01.05 Gestionar las instalaciones.

Coordinar y ejecutar las actividades y los procedimientos operativos

Propósito

Proporcionar resultados

DSS02 Gestionar las peticiones y los incidentes del servicio

Descripción

Propósito

Proporcionar una respuesta oportuna y efectiva

Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de consultas e incidencias de los usuarios.

• DSS02.01 Definir esquemas
• DSS02.02 Registrar, clasificar y priorizar
• DSS02.03 Verificar, aprobar y resolver
• DSS02.04 Investigar, diagnosticar y asignar incidentes.
• DSS02.05 Resolver y recuperarse de los incidentes.
• DSS02.06 Cerrar las peticiones de servicio y los incidentes.
• DSS02.07 Hacer seguimiento al estado y producir informes.

DSS03 Gestionar los problemas

Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costes y atender mejor las necesidades del cliente y lograr su satisfacción mediante una reducción del número de problemas operativos, e identificar las causas raíz como parte de la resolución de problemas

• DSS03.01 Identificar y clasificar los problemas
• DSS03.02 Investigar y diagnosticar problemas.
• DSS03.03 Presentar los errores conocidos.
• DSS03.04 Resolver y cerrar los problemas.
• DSS03.05 Realizar una gestión proactiva de los problemas

DSS04 Gestionar la continuidad

Adaptarse rápidamente, continuar con las operaciones del negocio

• DSS04.01 Definir la política de continuidad del negocio, sus objetivos y alcance • DSS04.02 Mantener la resiliencia del negocio. • DSS04.03 Desarrollar e implementar una respuesta de continuidad del negocio. • DSS04.04 Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP). • DSS04.05 Revisar, mantener y mejorar los planes de continuidad • DSS04.06 Realizar formación sobre el plan de continuidad. • DSS04.07 Administrar los acuerdos de copia de seguridad. • DSS04.08 Realizar revisiones post-reanudación.

DSS05 Gestionar los servicios de seguridad

Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad de la información

• DSS05.01 Proteger contra software malicioso
• DSS05.02 Gestionar la seguridad de la conectividad y de la red.
• DSS05.03 Gestionar la seguridad de endpoint.
• DSS05.04 Gestionar la identidad del usuario y el acceso lógico.
• DSS05.05 Gestionar el acceso físico a los activos de I&T.
• DSS05.06 Gestionar documentos sensibles y dispositivos de salida.
• DSS05.07 Gestionar las vulnerabilidades y monitorizar la infraestructura para detectar eventos relacionados con la seguridad

DSS06 Gestionar los controles de procesos de negocio

Mantener la integridad de la información y la seguridad de los activos de información manejados dentro de los procesos de negocio, dentro de la empresa u operación externalizada.

• DSS06.01 Alinear las actividades de control incorporadas en los procesos de negocio con los objetivos empresariales.
• DSS06.02 Controlar el procesamiento de información.
• DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de autoridad.
• DSS06.04 Gestionar errores y excepciones.
• DSS06.05 Asegurar la trazabilidad y la rendición de cuentas de los eventos de información.
• DSS06.06 Asegurar los activos de información.

Monitorizar, Evaluar y Valorar

MEA01 Gestionar la supervisión del rendimiento y la conformidad

Proporcionar transparencia en el rendimiento y la conformidad e impulsar la consecución de las metas

• MEA01.01 Establecer un enfoque de supervisión
• MEA01.02 Establecer los objetivos de rendimiento y conformidad.
• MEA01.03 Recopilar y procesar los datos de rendimiento y conformidad
• MEA01.04 Analizar e informar sobre el rendimiento.
• MEA01.05 Asegurar la implementación de acciones correctivas.

MEA02 Gestionar el sistema de control interno

Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de controles internos que permita, proporcionar confianza en las operaciones

• MEA02.01 Supervisar los controles internos.
• MEA02.02 Revisar la eficacia de los controles del proceso de negocio.
• MEA02.03 Realizar autoevaluaciones de control.
• MEA02.04 Identificar y reportar las deficiencias de control.

MEA03 — Gestionar el cumplimiento de los requisitos externos

Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.

• MEA03.01 Identificar los requisitos externos de cumplimiento
• MEA03.02 Optimizar la respuesta a los requisitos externos.
• MEA03.03 Confirmar el cumplimiento externo.
• MEA03.04 Obtener aseguramiento de cumplimiento externo

MEA04 Gestionar el aseguramiento

Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de aseguramiento con una hoja de ruta basada en estrategias de aseguramiento ampliamente aceptadas.

• MEA04.01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados.
• MEA04.02 Desarrollar una planificación de iniciativas de aseguramiento basada en los riesgos.
• MEA04.03 Determinar los objetivos de la iniciativa de aseguramiento.
• MEA04.04 Definir el alcance de la iniciativa de aseguramiento.
• MEA04.05 Definir el programa de trabajo para la iniciativa de aseguramiento
• MEA04.06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño.
• MEA04.07 Ejecutar la iniciativa de aseguramiento, enfocándose en la eficacia operativa.
• MEA04.08 Informar y hacer seguimiento a la iniciativa de aseguramiento.
• MEA04.09 Hacer seguimiento a las recomendaciones y a las acciones.

¡Gracias!