Cobit 4.1 vs Cobit 5

June 28, 2018 | Author: Freddy Esparza | Category: Cobit, Quality (Business), Decision Making, Information Technology, Technology
Share Embed Donate


Short Description

Download Cobit 4.1 vs Cobit 5...

Description

2013

Cobit 4.1 vs. Cobit 5 Análisis comparativo del nuevo marco COBIT. El presente documento constituye un análisis comparativo de las dos últimas versiones de COBIT, ejercicio de un proceso y la lista de verificación correspondiente bajo el nuevo enfoque.

Freddy Esparza – José Luis García – Daniel Guerrón Benalcázar - Leopoldo Venegas

ESCUELA POLITÉCNICA DEL EJÉRCITO 01/04/2013

Cobit 4.1 vs. Cobit 5

Tabla de contenido Antecedentes................................................................................................................................. 3 Comparación COBIT 4.1 vs. COBIT 5. .............................................................................................. 4 Características Cobit 4.1. ............................................................................................................ 4 Características Cobit 5. ............................................................................................................... 4 Figura 4. Procesos del Gobierno de TI ......................................................................................... 8 Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5............................................................................ 8 Ejercicio con Objetivo de Control. ................................................................................................ 10 ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1).......................... ................. 10 AI6 Administrar Cambios ........................ ......................... .......................... ......................... ..... 10 DESCRIPCIÓN DEL PROCESO. .................................................................................................... 10 CONSTRUIR, ADQUIRIR E IMPLEMENTAR IMPLEMENTAR – Gestionar los Cambios (COBIT 5). .......................... 15 Lista de Verificación (Construir, Adquirir e Implementar – Gestionar los Cambios). ...................... 18 Conclusiones. ............................................................................................................................... 22 Recomendaciones. ....................................................................................................................... 23 ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. ........................................................................................ 24 ANEXO 2. VENTAJAS Y DESVENTAJAS DESVENTAJAS COBIT 4.1 Y COBIT 5. ........................ ......................... ......... 26 ANEXO 3. FUENTES DE CONSULTA.......................... .......................... ......................... .................. 28

Página 2

Cobit 4.1 vs. Cobit 5

 Antecedentes. Con objeto de introducirnos en el tema antes de realizar la comparación se ha encontrado importante citar varios conceptos y antecedentes. COBIT es el acrónimo de  Control Objectives for Information and related Technology en español Objetivos de Control para tecnología de la información y relacionada) Es un modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI), Tiene varios objetivos a nivel alto que cubren lineamientos de control clasificados en varios dominios como Planificación, Organización, Adquisición, Entrega, Supervisión y Evaluación Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del COBIT.  Esta versión no invalida  el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el  trabajo hecho. Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. Es un marco de gobernación TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones. Con el avance progresivo de sus lineamientos acentúa el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en práctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones más tempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobre aquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativas de gobernación TI, o cuando una revisión y reparación del marco de control de la empresa es esperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades de regalos en una manera más dinamizada y práctica tan la mejora continua de la gobernación TI es más fácil que alguna vez para alcanzar. Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización. Proporciona a gerentes, interventores, y usuarios TI con un  juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa.

Página 3

Cobit 4.1 vs. Cobit 5 Proporciona además ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician de COBIT porque esto provee de ellos de una fundación sobre cual TI las decisiones relacionadas e inversiones pueden estar basadas. La  toma de decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la información, la adquisición del hardware necesario TI y el software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoría. La misión COBIT es investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales e interventores. Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI.

Comparación COBIT 4.1 vs. COBIT 5. Características Cobit 4.1. Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1 





COBIT es un marco de trabajo de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones. COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

La versión, COBIT® 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo.

Características Cobit 5. Esta es la más recién versión de COBIT y está basada en procesos, se enfoca fuertemente en el control y menos en la ejecución, es decir, indica qué se debe conseguir sin focalizarse en el cómo. Página 4

Cobit 4.1 vs. Cobit 5 La primera impresión es que ISACA ha orientado definitivamente COBIT hacia el Gobierno de las TI. En sus primeras versiones, COBIT se definía como un marco de control para auditores de TI. En la revisión del año 2000, COBIT 3, se incluía como producto/documento aparte las Management Guidelines o guía de gestión para la dirección, con una orientación más cercana al concepto de Gobierno TI. La versión 4 de COBIT supuso la configuración definitiva de Cobit como un marco general de Gobierno TI, pero quedaba confusa la relación con otros marcos de ISACA con otra orientación como Val IT (valor de las TI) o RISK IT (riesgos) o con el nuevo estándar de Gobierno TI ISO/IEC 38500.

Figura 1. Evolución de Cobit La nueva versión tiene un carácter clarificador, integrando COBIT 4, Val IT y RISK IT en su modelo de referencia de procesos. Asimismo, COBIT 5 ha sido adaptado para alinearse con la norma ISO/IEC 38500 de Gobierno TI y con el marco GEIT del ITGI (IT Governance Institute). El nuevo modelo se basa en los siguientes elementos: 5 Principios  

 

Satisfacer las necesidades de los Stakeholders (Interesados) Crear valor manteniendo el equilibrio entre realización de beneficios y la optimización del uso de recursos y gestión del riesgo. Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio. Página 5

Cobit 4.1 vs. Cobit 5 

Aplicar un único marco de trabajo integrado.

COBIT cubre todas las necesidades y se integra con otros marcos y buenas prácticas, de forma que puede ser utilizado como marco general. Aproximación holística. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia:  

Separar Gestión de Gobierno. Ambas disciplinas son importantes y complementarias.

Figura 2. Cobit 5 7 Facilitadores Son los elementos a tener en cuenta en el modelo: 

Principios, políticas y marcos Son los vehículos para trasladar el comportamiento deseado en una guía práctica para conducir las tareas de gestión TI en el día a día.





Procesos Constituyen un conjunto organizado de prácticas y actividades para conseguir alcanzar los objetivos establecidos respecto a las tecnologías de la información. Estructura organizacional

Página 6

Cobit 4.1 vs. Cobit 5 Son las entidades de la organización que toman las decisiones críticas. 

Cultura, Ética y Comportamiento Tanto de los individuos como de la organización. Muy a menudo se subestima su influencia en la consecución de los objetivos de Gobierno establecidos.





Información. La información invade todos los ámbitos de la organización, es necesitada por esta para operar y para la toma de decisiones. También puede ser el resultado de la actividad de la organización. Servicios, Infraestructura y Aplicaciones Es la parte más cercana a los profesionales de las TIC.



Personas, habilidades y competencias. Se asocia a las personas necesarias para realizar las actividades, tomar decisiones y realizar tareas correctivas.

Figura 3. Principios y Políticas Procesos Guía muy detallada del modelo de procesos que conforman la esencia de COBIT. Se sigue manteniendo la "Cascada de Objetivos", esto es la forma en la que los objetivos y métricas TI se derivan de los objetivos de negocio de alto nivel, permitiendo esa integración TINegocio tan característica de ese marco.

Página 7

Cobit 4.1 vs. Cobit 5 En esta versión de COBIT aparece una separación entre procesos de Gestión y procesos orientados al Gobierno de las TI, en claro alineamiento con la norma ISO/IEC 38500 (Evaluar, Dirigir, Monitorizar).

Figura 4. Procesos del Gobierno de TI

Diferencias y Semejanzas Cobit 4.1 vs. Cobit 5. Áreas de cambio Los principales cambios en COBIT 5: 1. 2. 3. 4. 5. 6. 7. 8. 9.

Nuevos Principios de GEIT. Mayor foco en Habilitadores. Nuevo Modelo de Referencia de Procesos. Nuevos y modificados procesos. Prácticas y Actividades. Metas y Métricas más desarrolladas. Entradas y Salidas a nivel de práctica. RACI Charts más detalladas. Process Capability Maturity Models and Assessments.

Página 8

Cobit 4.1 vs. Cobit 5 Integración de Val IT y Risk IT COBIT 5 ha integrado el contenido de COBIT 4.1, Val IT and Risk IT en un Modelo de Referencia de Procesos.

Nuevos y modificados procesos Hay nuevos y modificados procesos, en particular:           

APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organizational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.

Prácticas y Actividades Las prácticas de gobierno y de administración de COBIT 5 son equivalentes a los objetivos de control de COBIT 4.1 y los procesos de Val IT y Risk IT. Las actividades de COBIT 5 son equivalentes a las prácticas de control de COBIT 4.1 y a las prácticas de administración de Val IT y Risk IT.



Process Capability Maturity Models and Assessments



COBIT 5 descontinúa el “COBIT 4.1, Val IT and Risk IT



 



CMM-based capability maturity modelling approach”. COBIT 5 será soportado por un nuevo “ process capability assessment approach” basado en ISO/IEC 15504. Otros cambios: o Algo que puede resultar impactante es que en COBIT 5 los Objetivos de Control han desaparecido. Realmente se han convertido en prácticas de gestión o de Gobierno de las TI a fin de generalizar el concepto para todos los ámbitos de aplicación, y no únicamente para el Control. También desaparece el modelo de madurez de capacidades- CMM aplicado a los o procesos para introducir un modelo basado en la ISO/IEC 15504. o Asimismo, se han actualizado los procesos, los modelos de responsabilidad RACI y otros elementos de COBIT para hacer más completo, sencillo e integrado. Página 9

Cobit 4.1 vs. Cobit 5

Ejercicio con Objetivo de Control. El objeto del ejercicio es encontrar las variantes que a consecuencia de la nueva versión el proceso elegido para los talleres de clases tiene, para esto se ha encontrado apropiado enunciar la conceptualización que este tiene en cada versión de COBIT.

 ADQUIRIR E IMPLEMENTAR - Administrar los Cambios (COBIT 4.1)  AI6 Administrar Cambios DESCRIPCIÓN DEL PROCESO. Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedimientos, procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los resultados planeados después de la implantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.

Control sobre el proceso TI de Administrar cambios Que satisface el requerimiento del negocio de TI para: Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Enfocándose en: Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados Se logra con: 

La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia Página 10

Cobit 4.1 vs. Cobit 5  

La evaluación, la asignación de prioridad y autorización de cambios Seguimiento del estatus y reporte de los cambios

Y se mide con: 





El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales

OBJETIVOS DE CONTROL AI6 Administrar Cambios AI6.1 Estándares y Procedimientos para Cambios Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales. AI6.2 Evaluación de Impacto, Priorización y Autorización Garantizar que todas las solicitudes de cambio se evalúan de una estructurada manera en cuanto a impactos en el sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y priorización de los cambios. Previo a la migración hacia producción, los interesados correspondientes autorizan los cambios. AI6.3 Cambios de Emergencia Establecer un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.

Página 11

Cobit 4.1 vs. Cobit 5 AI6.4 Seguimiento y Reporte del Estatus de Cambio Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas fundamentales. AI6.5 Cierre y Documentación del Cambio Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la documentación de usuario y procedimientos correspondientes. Establecer un proceso de revisión para garantizar la implantación completa de los cambios.

Página 12

Cobit 4.1 vs. Cobit 5

MODELO DE MADUREZ AI6 Administrar Cambios La administración del proceso de Administrar cambios que satisfaga el requerimiento de negocio de TI de responder a los requerimientos de acuerdo con la estrategia del negocio, mientras que se reducen los defectos y repeticiones de trabajos en la entrega de soluciones y servi cios es: 0 No Existente cuando No existe un proceso definido de administración de cambio y los cambios se pueden realizar virtualmente sin control. No hay conciencia de que el cambio puede causar una interrupción para TI y las operaciones del negocio y no hay conciencia de los beneficios de la buena administración de cambio. 1 Inicial / Ad Hoc cuando Se reconoce que los cambios se deben administrar y controlar. Las prácticas varían y es muy probable que se puedan dar cambios sin autorización. Hay documentación de cambio pobre o no existente y la documentación de configuración es incompleta y no confiable. Es posible que ocurran errores junto con interrupciones al ambiente de producción, provocados por una pobre administración de cambios. Página 13

Cobit 4.1 vs. Cobit 5 2 Repetible pero Intuitivo cuando Existe un proceso de administración de cambio informal y la mayoría de los cambios siguen este enfoque; sin embargo, el proceso no está estructurado, es rudimentario y propenso a errores. La exactitud de la documentación de la configuración es inconsistente y de planeación limitada y la evaluación de impacto se da previa al cambio. 3 Definido cuando Existe un proceso formal definido para la administración del cambio, que incluye la categorización, asignación de prioridades, procedimientos de emergencia, autorización del cambio y administración de liberación, y va surgiendo el cumplimiento. Se dan soluciones temporales a los problemas y los procesos a menudo se omiten o se hacen a un lado. Aún pueden ocurrir errores y los cambios no autorizados ocurren ocasionalmente. El análisis de impacto de los cambios de TI en operaciones de negocio se está volviendo formal, para apoyar la implantación planeada de nuevas aplicaciones y tecnologías. 4 Administrado y Medible cuando El proceso de administración de cambio se desarrolla bien y es consistente para todos los cambios, y la gerencia confía que hay excepciones mínimas. El proceso es eficiente y efectivo, pero se basa en manuales de procedimientos y controles considerables para garantizar el logro de la calidad. Todos los cambios están sujetos a una planeación minuciosa y a la evaluación del impacto para minimizar la probabilidad de tener problemas de post-producción. Se da un proceso de aprobación para cambios. La documentación de administración de cambios es vigente y correcta, con seguimiento formal a los cambios. La documentación de configuración es generalmente exacta. La planeación e implantación de la administración de cambios en TI se van integrando con los cambios en los procesos de negocio, para asegurar que se resuelven los asuntos referentes al entrenamiento, cambio organizacional y continuidad del negocio. Existe una coordinación creciente entre la administración de cambio de TI y el rediseño del proceso de negocio. Hay un proceso consistente para monitorear la calidad y el desempeño del proceso de administración de cambios. 5 Optimizado cuando El proceso de administración de cambios se revisa con regularidad y se actualiza para permanecer en línea con las buenas prácticas. El proceso de revisión refleja los resultados del monitoreo. La información de la configuración es computarizada y proporciona un control de versión. El rastreo del cambio es sofisticado e incluye herramientas para detectar software no autorizado y sin licencia. La administración de cambio de TI se integra con la administración de cambio del negocio para garantizar que TI sea un factor que hace posible el incremento de productividad y la creación de nuevas oportunidades de negocio para la organización. Página 14

Cobit 4.1 vs. Cobit 5 CONSTRUIR, ADQUIRIR E IMPLEMENTAR – Gestionar los Cambios (COBIT 5). BAI06 Gestionar los Cambios DESCRIPCIÓN DEL PROCESO Gestione todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.

Declaración del Propósito del Proceso Posibilitar una entrega de los cambios rápida y fiable para el negocio, a la vez que se mitiga cualquier riesgo que impacte negativamente en la estabilidad e integridad del entorno en que se aplica el cambio.

El proceso apoya la consecución de un conjunto de principales metas TI:

Meta TI

Métricas Relacionadas

04 Riesgos de negocio relacionados con las TI gestionados

• Porcentaje de procesos de negocio críti cos,

servicios TI y programas de negocio habilitados por las TI cubiertos por evaluaciones de riesgos •

Número

de

incidentes

significativos

relacionados con las TI que no fueron identificados en la evaluación de riesgos • Porcentaje de evaluaciones de riesgo de la empresa que incluyen los riesgos relacionados con TI • Frecuencia de actualización del perfil de

riesgo 07 Entrega de servicios de TI de acuerdo a los requisitos del negocio

• Número de interrupciones del negocio

debidas a incidentes en el servicio de TI • Porcentaje de partes interesadas satisfechas

con el cumplimiento del servicio de TI entregado respecto a los niveles de servicio acordados • Porcentaje de usuarios satisfechos con la

calidad de los servicios de TI entregados 10 Seguridad de la información, infraestructura de procesamiento y aplicaciones



Número

de

incidentes

de

seguridad

causantes de pérdidas financieras, interrupciones del negocio o pérdida de imagen pública • Número de servicios de TI con los requisitos

de seguridad pendientes • Tiempo para otorgar, modificar y eliminar los

Página 15

Cobit 4.1 vs. Cobit 5 privilegios de acceso, comparado con los niveles de servicio acordados • Frecuencia de la evaluación de seguridad

frente a los últimos estándares y guías

Objetivos y Métricas del Proceso: Meta TI

Métricas Relacionadas

1. Los cambios autorizados son realizados de acuerdo a sus cronogramas respectivos y con errores mínimos.

• Cantidad de trabajo rehecho debido a

cambios fallidos • Reducción en el tiempo y esfuerzo necesarios

para aplicar los cambios • Número y antigüedad de peticiones de

cambio en cartera 2. Las evaluaciones de impacto revelan el efecto de los cambios sobre todos los componentes afectados. 3. Todos los cambios de emergencia son revisados y autorizados una vez hecho el cambio.

• Porcentaje de cambios sin éxito debidos a

evaluaciones de impacto inadecuadas • Porcentaje sobre el total de cambios que

corresponde a cambios de emergencia • Número de cambios de emergencia no

autorizados una vez hecho el cambio 4. Las principales partes interesadas están • Ratios de satisfacción de las partes informadas sobre todos los aspectos del interesadas con las comunicaciones de los cambio. cambios

Página 16

Cobit 4.1 vs. Cobit 5

Página 17

Cobit 4.1 vs. Cobit 5

Lista de Verificación (Construir, Adquirir e Implementar – Gestionar los Cambios). Para el desarrollo de la siguiente sección se ha considerado necesario relevar la conceptualización que los procesos tienen en cada una de las versiones de Cobit:

Página 18

Cobit 4.1 vs. Cobit 5

COBIT 4.1

COBIT 5

ADQUIRIR E IMPLEMENTAR Administrar los Cambios

CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar los Cambios

AI6 Administrar Cambios

BAI06 Gestionar los Cambios

Todos los cambios, incluyendo el mantenimiento de emergencia y parches, relacionados con la infraestructura y las Gestione todos los cambios de una forma aplicaciones dentro del ambiente de controlada, incluyendo cambios estándar y de producción, deben administrarse formalmente mantenimiento de emergencia en relación y controladamente. con los procesos de negocio, aplicaciones e Los cambios (incluyendo procedimientos, infraestructura. procesos, sistema y parámetros del servicio) se Esto incluye normas y procedimientos de deben registrar, evaluar y autorizar previo a la cambio, análisis de impacto, priorización y implantación y revisar contra los resultados autorización, cambios de emergencia, planeados después de la implantación. seguimiento, reporte, cierre y documentación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad o integridad del ambiente de producción.

A continuación se da a conocer la lista de verificación para ambas versiones de Cobit y su aplicabilidad:

Página 19

LISTA DE VERIFICACIÓN COBIT 4.1 Y COBIT 5 Objetivos de control (COBIT 4.1)

Prácticas de gobierno y de administración (COBIT 5)

AI6.1 Estándares y Procedimientos para Cambios BAI06.01 Evaluar, priorizar y autorizar peticiones de cambio

AI6.2 Evaluación de Impacto, Priorización y Autorización

AI6.3 Cambios de Emergencia

BAI06.02 Gestionar Cambios de Emergencia

LISTA DE VERIFICACIÓN

APLICABILIDAD

¿Existen procedimientos y formularios estándar para la solicitud de cambios?

Cobit 4.1 & Cobit 5

¿Se han definido responsabilidades de la revisión, ajuste y aprobación de solicitudes de cambio?

Cobit 4.1 & Cobit 5

¿Las peticiones de cambio son categorizadas, estas obedecen a una clasificación y se conoce claramente el alcance de afectación e impacto del cambio?

Cobit 4.1 & Cobit 5

¿Bajo qué criterios se determina la prioridad de atención de los requerimientos de cambio? (Negocio, Cumplimiento, Oportunidad, etc.)

Cobit 4.1 & Cobit 5

¿De qué manera se distinguen los cambios estándar de los cambios ocasionales?

Cobit 4.1 & Cobit 5

¿Se analiza el volumen de cambios existente, esfuerzo asociado y cronogramas para su aplicación?

Cobit 4.1 & Cobit 5

Como se involucra a los proveedores en los cambios que afectan servicios de terceros y ponen en riesgo los SLAs?

Cobit 4.1 & Cobit 5

¿Qué política y procedimiento se emplea para declarar, evaluar, aprobar y autorizar cambios de emergencia?

Cobit 4.1 & Cobit 5

¿Se ha determinado personal responsable para la aplicación de cambios de emergencia?

Cobit 4.1 & Cobit 5

¿Qué procedimientos se han definido para la revisión y seguimiento post implementación?

Cobit 5

Cobit 4.1 vs. Cobit 5 ¿Cuál es el nivel de control y material guía para la implementación de acciones correctivas ante un cambio emergente con resultados no previstos?

AI6.4 Seguimiento y Reporte del Estatus de Cambio

AI6.5 Cierre y Documentación del

BAI06.03 Hacer seguimiento e informar cambios de estado

BAI06.04 Cerrar y

Cobit 4.1 & Cobit 5

¿Cuál es el procedimiento empleado para mantener un control adecuado del inventario de solicitudes de cambio, como se lo ha clasificado?

Cobit 5

¿De qué manera se notifica el resultado y rendimiento de los cambios emergentes?

Cobit 4.1 & Cobit 5

¿Cómo se mide la efectividad y oportunidad de los cambios de emergencia?

Cobit 4.1 & Cobit 5

Como se cotejan los informes de estado de cambios con la realidad? (Pistas de auditoría e historial de cambios)

Cobit 5

¿Qué métricas se llevan para conocer si la implementación de cambios emergentes es efectiva y oportuna?

Cobit 4.1 & Cobit 5

¿Existen herramientas que permitan conocer el estado de las peticiones de cambio y muestren estadísticas al respecto?

Cobit 5

¿Cuáles son los entregables de una petición de cambio ejecutada? ¿Existen procedimientos que evidencien las consecuencias de la implementación de los cambios, orienten sobre su afectación, establezcan actividades de contingencia y procedimientos de ayuda? ¿Se ha definido categorías de documentación y tiempos de conservación?

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 vs. Cobit 5 ¿Cuál es el nivel de control y material guía para la implementación de acciones correctivas ante un cambio emergente con resultados no previstos?

AI6.4 Seguimiento y Reporte del Estatus de Cambio

AI6.5 Cierre y Documentación del Cambio

BAI06.03 Hacer seguimiento e informar cambios de estado

BAI06.04 Cerrar y Documentar los cambios

Cobit 4.1 & Cobit 5

¿Cuál es el procedimiento empleado para mantener un control adecuado del inventario de solicitudes de cambio, como se lo ha clasificado?

Cobit 5

¿De qué manera se notifica el resultado y rendimiento de los cambios emergentes?

Cobit 4.1 & Cobit 5

¿Cómo se mide la efectividad y oportunidad de los cambios de emergencia?

Cobit 4.1 & Cobit 5

Como se cotejan los informes de estado de cambios con la realidad? (Pistas de auditoría e historial de cambios)

Cobit 5

¿Qué métricas se llevan para conocer si la implementación de cambios emergentes es efectiva y oportuna?

Cobit 4.1 & Cobit 5

¿Existen herramientas que permitan conocer el estado de las peticiones de cambio y muestren estadísticas al respecto?

Cobit 5

¿Cuáles son los entregables de una petición de cambio ejecutada? ¿Existen procedimientos que evidencien las consecuencias de la implementación de los cambios, orienten sobre su afectación, establezcan actividades de contingencia y procedimientos de ayuda? ¿Se ha definido categorías de documentación y tiempos de conservación? ¿Qué niveles de revisión existen para la documentación generada y cuál es el proceso de elaboración y revisión de la misma? ¿Se cuenta con un manual de calidad o lineamientos sobre la estructura, contenido, formato y niveles de revisión y aprobación de la información generada?

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5 Cobit 4.1 & Cobit 5

Cobit 4.1 & Cobit 5

Página 21

Conclusiones. 







Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de manera general se puede rescatar que Cobit 5 tiene una conceptualización más sobria, clara y ordenada respecto a lo que denomina Prácticas de gobierno y organización que en Cobit 4.1 son Objetivos de Control. Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que implicará que todos los involucrados, más allá del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolución estratégicamente sincronizados con este nuevo estándar. Cobit 5 es la mayor evolución estratégica de Cobit 4.1, el único framework globalmente aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT. El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y de una estructura general para su clasificación y presentación.

Conclusiones. 















Para el caso elegido no existen mayores diferencias en cuanto al enfoque, sin embargo de manera general se puede rescatar que Cobit 5 tiene una conceptualización más sobria, clara y ordenada respecto a lo que denomina Prácticas de gobierno y organización que en Cobit 4.1 son Objetivos de Control. Con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el management de TI, que implicará que todos los involucrados, más allá del rol (CEO, CIO, CRO, CISO, CCO, Advisor, Auditor, etc), evolución estratégicamente sincronizados con este nuevo estándar. Cobit 5 es la mayor evolución estratégica de Cobit 4.1, el único framework globalmente aceptado para el IT Governance y brinda a los interesados la guía más completa y actualizada para un mejor gerenciamiento de IT. El marco referencial de Cobit 4 y Cobit 5 consta de Objetivos de control de TI de alto nivel y de una estructura general para su clasificación y presentación. La aplicación del marco de referencia COBIT permite al departamento de TI tener la visibilidad a un nivel detallado la mayoría de sus procesos que son repetitivos, intuitivos y críticos al mismo tiempo evidencia el nivel de maduración de procesos con la que se trabaja en TI. Con el avance progresivo de sus lineamientos acentúa el cumplimiento regulador, ayuda a organizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta en marcha de un cambio radical. El esquema de objetivos de control categorizados en cuatro dominios para definir los procesos de COBIT es apropiado para integrar actividades similares que se ejecuten en equipos de TI, al manejarse de manera aislada con definiciones, ejecuciones y evaluaciones diferentes la aplicación de COBIT es ineficiente. Debido que COBIT al ser independiente de herramientas tecnológicas trata de integrar dentro de un objetivo de control las actividades comunes a través de prácticas y políticas que permitan alinear actividades de cada equipo en una sola definición, ejecución y evaluación. La inclusión de factores críticos de éxito, objetivos de control de bajo nivel, indicadores claves de desempeño y de resultados, y su seguimiento para cada proceso de TI son factores importantes que aportan a crear prácticas de monitoreo de procesos que es un punto a fortalecer en TI y tendrá como resultado final alcanzar procesos administrados y medidos que optimicen la calidad de los servicios ofrecidos por TI. COBIT al tener como misión investigar, desarrollar, y promover cambios en procesos los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y decidir el nivel de seguridad y control que es necesario para proteger el activo de sus empresas por el desarrollo de un modelo de gobernación TI.

Cobit 4.1 vs. Cobit 5

Recomendaciones. 









Aunque la versión 5 de Cobit es más estructurada no basta con seguir únicamente estas pautas, siempre será nutrido y conveniente el agregar criterios de otras guías como ISO/IEC e ITIL. Dentro de la validación del proceso COBIT se encontró que algunos indicadores claves de desempeño y de resultados planteados pueden ser representados de manera cualitativa; por lo cual puede volver subjetiva la medición de los procesos de TI. Esta situación se debe a que el marco de referencia COBIT trata de ser general y abarcar un amplio rango de consideraciones técnicas y de negocio en los procesos. Para la aplicación del proceso COBIT se recomienda considerar los indicadores claves que puedan ser calificados cuantitativamente. La aplicación de COBIT en una empresa con una organización y estructura limitada puede producir resultados no adecuados. Por lo que se recomienda que para una aplicación de COBIT en una organización se la incluya como parte de un plan estratégico de tecnología y como objetivo del negocio; de igual manera cuente con el apoyo e impulso total de la gerencia de TI, para obtener mejor calidad en sus procesos. Al detallar el proceso DS9, Administración de la configuración, y M1, Monitoreo del proceso; se encontró en la definición del proceso según COBIT se abarca actividades que se ejecutan una sola vez relacionadas con estrategia, y actividades que son recurrentes y están relacionadas con la operación. Esta limitación de COBIT puede ocasionar confusión y ambigüedad al momento de definir y documentar un proceso. Se recomienda dividir en subprocesos, las actividades de un mismo proceso cuya recurrencia y naturaleza puedan ser distintas; y que se considere estas diferencias al momento de comunicar y monitorear el rediseño del proceso. Este análisis comparativo motivo de este documento permitió visualizar que algunos de los procesos definidos por COBIT; como la administración de la configuración no consta varios servicios, proyectos o implementaciones que ameriten la evaluación de cada uno de estos componentes; por el contrario es preferible aplicar solamente una evaluación global tanto de eficacia como de eficiencia para asegurar la medición completa del proceso. Por esta razón se recomienda identificar claramente este tipo de procesos en COBIT al momento de aplicar una propuesta de mejora en la organización para obtener una fase de evaluación alineada con la naturaleza del negocio

Página 23

Cobit 4.1 vs. Cobit 5

 ANEXO 1. MAPEO COBIT 4.1 Y COBIT 5. COBIT 4.1 PROCESO DESCRPCIÓN PO PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Definir la dirección tecnológica PO4 Definir los procesos organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las metas y dirección de la gerencia PO7 Administrar los recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar los proyectos AI ADQUIRIR E IMPLEMENTAR AI01 Identificar las soluciones automatizadas AI02 Adquirir y mantener software aplicativo AI03 Adquirir y mantener la infraestructura tecnológica AI04 Facilitar la operación y el uso AI05 Procurar recursos de TI AI06 Administrar los cambios AI07 Instalar y acreditar las soluciones y cambios DS ENTREGAR SERVICIO DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros

COBIT 5 – Cobertura Primaria (P) y Secundaria (S) PRIMARIA SECUNDARIA ALINEAR, PLANEAR Y ORGANIZAR APO02 EDM02/APO05 APO03

APO01

APO02/APO04

EDM01/APO03/APO01

APO01

APO07/ APO11/DSS06

APO06

APO05

APO01

EDM03

APO07

APO01

APO11 APO12

EDM03/APO01

BAI01 CONSTRUIR, ADQUIRIR E IMPLEMENTAR BAI02 BAI03 BAI03

DSS02

BAI08

BAI05

APO10 BAI06 BAI07

BAI03 BAI05

ENTREGAR SERVICIO Y SOPORTAR APO09 APO10

Página 24

Cobit 4.1 vs. Cobit 5 DS3

DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 ME ME1 ME2 ME3

ME4

Administrar el desempeño y la capacidad Asegurar el servicio continuo Garantizar la seguridad de los sistemas Identificar y asignar costos Educar y entrenar a los usuarios Administrar la mesa de servicios y los incidentes Administrar la configuración Administrar los problemas Administrar los datos Administrar el ambiente físico Administrar las operaciones MONITOREAR Y EVALUAR Monitorear y evaluar el desempeño de TI Monitorear y evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI

BAI04

DSS04 DSS05

APO13

APO06 APO07 DSS02 BAI10

DSS02

DSS03 DSS04 DSS01/DSS05

DSS01/DSS05/DSS06

DSS01

DSS05/BAI09

MONITOREAR Y EVALUAR MEA01 MEA02 MEA03

EDM01/EDM02/EDM03/EDM04/MEA02

Página 25

Cobit 4.1 vs. Cobit 5

 ANEXO 2. VENTAJAS Y DESVENTAJAS COBIT 4.1 Y COBIT 5.

Página 26

Cobit 4.1 vs. Cobit 5

Modelo de Madurez Cobit 4.1

Modelo de Madurez Cobit 5

Página 27

Cobit 4.1 vs. Cobit 5

 ANEXO 3. FUENTES DE CONSULTA. 







2012. Cobit 5 comparativo con Cobit 4 - ISACA. Extraído de: http://francoitgrc.wordpress.com/2012/04/14/cobit-5-update-por-version-oficial-deisaca/ 2009. Cobit 4 –  Slideshare. Extraído de: http://www.slideshare.net/MarthaLechuga/cobit-4 2007. IT Governance Institute. Extraído de: http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf  2012. Presentación SEGURINFO - ISACA.

Página 28

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF