2.1 DEFINICION Y ANTECEDENTES
DEFINICION
COBIT
COBIT (Objetivos
de control para la información y tecnologías relacionadas) es una
metodología publicada en 1996 por el Instituto de Control de TI y la ISACA(Asociación de Auditoría y Control de
Sistemas de Información) que se usa para evaluar el departamento de
informática de una compañía; en Francia está representada por la AFAI
(Asociación Francesa de Auditoría y Consejo de TI).
Este enfoque se basa en un índice de referencia de
procesos, indicadores de objetivos clave (KGl) e indicadores de rendimiento
clave (KPI) que se usan para controlar los procesos para recoger datos que la
compañía puede usar para alcanzar sus objetivos.
El enfoque COBIT propone 34 procesos organizados en
4 áreas funcionales más grandes que abarcan 318 objetivos:
·
Entrega y asistencia técnica
·
Control
·
Planeamiento y organización
·
Aprendizaje e implementación
ANTECEDENTES
COBIT
El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin
de crear un mayor producto global que pudiese tener un impacto duradero sobre
el campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados. La primera edición del COBIT, fué publicada en 1996 y
fue vendida en 98 paises de todo el mundo. La segunda edición (tema de estudio
en este informe) publicada en Abril de 1998, desarrolla y mejora lo que
poseía la anterior mediante la incorporación de un mayor número de documentos
de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos
de control de alto nivel, intensificando las lineas maestras de auditoría,
introduciendo un conjunto de herramientas de implementación, así como un CD-ROM
completamente organizado el cual contiene la totalidad de los contenidos de
esta segunda edición.
Una temprana adición significativa visualizada para
la familia de productos COBIT,
es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de
Exito, Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores
Críticos de Éxito, identificarán los aspectos o acciones más importantes para
la administración y poder tomar, así, dichas aciones o considerar los aspectos
para lograr control sobre sus procesos de TI. Los Indicadores Clave de
Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer
si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas
Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia
para: determinar el nivel actual de madurez de la empresa; determinar el nivel
de madurez que se desea lograr, como una función de sus riesgos y objetivos; y
proporcionar una base de comparación de sus prácticas de control de TI contra
empresas similares o normas de la industria. Esta adición, proporcionará
herramientas a la gerencia para evaluar el ambiente de TI de su organización
con respecto a los 34 Objetivos de Control de alto nivel de COBIT.
En definitiva, la organización ISACF (creadora, como ya se ha
comentado, de la norma) espera que el COBIT sea adoptado por las comunidades de auditoría y negocio
como un estándar generalmente aceptado para el control de las Tecnologías de la
Información.
DEFINICION ITIL.
La Biblioteca
de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la
información y las
operaciones relacionadas con la misma en general. ITIL da descripciones
detalladas de un extenso conjunto de procedimientos de gestión ideados para
ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de
TI. Estos procedimientos son independientes del proveedor y han sido
desarrollados para servir como guía que abarque toda infraestructura, desarrollo
y operaciones de TI.
ANTECEDENTES ITIL
- 1980, pero
ampliamente adoptada mediados de los 90. Esta mayor adopción y
conocimiento ha llevado a varios estándares (ISO/IEC 20000).
- La Gestión de
Servicio ITIL está actualmente integrada en el estándar ISO 20000
(anterior BS 15000).
- ITIL contiene una
sección específicamente titulada “Gestión de Servicios de TI” (la
combinación de los volúmenes de Servicio de Soporte y Prestación de
Servicios).
- Recomendaciones de
ITIL fueron desarrolladas en los años 1980 por la CCTA (Agencia Central de
Telecomunicaciones y Computación, hoy Ministerio de Comercio, OGC -1991)
de UK como respuesta a la creciente dependencia de las TI.
- ITILv1: Auspicio
de la CCTA: “Método de Infraestructura de la Tecnología de Información del
Gobierno” – GITM.
- Tras la publicación
inicial de estos libros, su número creció rápidamente (dentro la versión
1) hasta unos 30 libros.
Para hacer a ITIL más accesible a aquellos de
deseen explorarla, uno de los objetivos del proyecto de actualización ITIL
v2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar
los procesos de administración que cada uno cubre.
- El tema de Gestión
de Servicios (Servicio de Soporte y Entrega de Servicios) es el más
ampliamente difundido e implementado,
- La metodología ITIL
provee un conjunto completo de prácticas que abarca no sólo los procesos y
requerimientos técnicos y operacionales, sino que se relaciona con la
gestión estratégica, la gestión de operaciones y la gestión financiera de
una organización moderna.
- 12/ 2005, OGC
emitió un aviso: ITILv3 - ITIL Refresh y fue publicada
en el año 2007.
- Para este “refresh”,
se realizaron las siguientes actividades
- Se realizaron
consultas públicas sobre el contenido para incorporar nuevos
requerimientos del mercado.
- Se formó un panel
de expertos.
- Se contrataron
autores y equipos de mentores.
- Revisión de
consistencia, alcance y nivel de detalle.
- ITIL v3 5 libros
principales: Ciclo de Vida de los Servicios:
- Diseño de
Servicios de TI.
- Introducción de
los Servicios de TI.
- Operación de los
Servicios de TI.
- Mejora de los
Servicios de TI.
Estrategias de los Servicios de TI.
2.2 PROCESO DE NEGOCIO A LOS QUE APOYA
PROCESOS DE
NEGOCIO COBIT
·
Resumen Ejecutivo: Es un documento dirigido a la
alta gerencia presentando los antecedentes y la estructura básica de COBIT
Además, describe de manera general los procesos, los recursos y los criterios
de información, los cuales conforman la "Columna Vertebral" de COBIT.
·
Marco de Referencia (Framework): Incluye la introducción contenida
en el resumen ejecutivo y presenta las guías de navegación para que los
lectores se orienten en la exploración del material de COBIT haciendo una
presentación detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo
expuesto tanto en el resumen ejecutivo como en el marco de referencia y
presenta los objetivos de control detallados para cada uno de los 34 procesos.
·
PLANEAR Y ORGANIZAR
PO4 Definir procesos, organización y relaciones de
TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la
gerencia.
PO8 Administrar calidad.
PO10 Administrar proyectos.
PO11Administración de Calidad
·
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI3 Adquirir y mantener la infraestructura
tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
·
MONITOREAR Y EVALUAR
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
·
PRESTACIÓN Y SOPORTE
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los
incidentes.
DS9 Administrar la configuración.
DS11 Administrar los datos.
DS13 Administrar las
operaciones.
PROCESOS DE NEGOCIO ITIL.
El primer paso a la hora
de acometer la racionalización de los recursos de una organización TI consiste
en conocer cuáles son las necesidades de rendimiento ocasionadas por los
servicios que presta.
El enfoque más extendido
para predecir la demanda es el basado en actividades, y consiste en
analizar los patrones de actividad del negocio (PBAs) y predecir la demanda
tomando como referencia los activos del servicio que soportan esas actividades.
La Gestión de la
Demanda basada en actividades se encarga de:
- Monitorizar y analizar los patrones de
actividad del proceso de negocio con el fin de predecir la demanda de
servicios.
- Asignar las unidades de demanda adicionales
generadas por la actividad del negocio a elementos de la capacidad del
servicio.
- Asegurarse de que, en lo que se refiere a
patrones de demanda, los planes de negocio del cliente están alineados con
los planes de gestión del servicio del proveedor.
Por otro lado, también
es clave para que la Gestión de la Demanda pueda tomar decisiones estratégicas
acertadas que en esta primera etapa se recabe y analice información sobre el
mercado en el que opera el servicio:
- Necesidades de los clientes a los que se dará
servicio, agrupándolos por segmentos de mercado.
- Alternativas de las que disponen los clientes
de esos segmentos, tanto si se trata de servicios ofrecidos por sus
propias organizaciones como de otros proveedores de la competencia.
2.3
FASES.
Fases
cobit.
FASE1:
ANALISIS DE BRECHAS E IDENTIFICACIÓN DEL NIVEL DE MADUREZ DE COBIT.
Objetivo.
Evaluar el nivel de madurez de los procesos de
tecnologías de información según el marco de control de COBIT, y asistir a SavPeru
en la preparación de un plan de acción para cerrar las brechas identificadas.
Alcance.
La relación de procesos de tecnologías de
información indicados en el marco de control COBIT
FASE2:
MEJORAR EL NIVEL DE MADUREZ DE COBIT.
Objetivo.
Apoyar a SavPeru en la implementación de los
siguientes objetivos de control de COBIT, para lograr el nivel de madurez3.
§ Definir
los procesos de TI, organización y relaciones (PO4)
§ Comunicar
aspiraciones y dirección de la gerencia (PO6)
§ Evaluar
y administrar riesgos de TI (PO9)
§ Administrar
cambios (AI6)
§ Instalar
y acreditar soluciones y cambios (AI7)
§ Administrar
servicios de terceras partes (DS2)
§ Asegurar
servicios continuos (DS4)
§ Asegurar
servicios en los sistemas (DS5)
§ Administrar
mesa de ayuda e incidentes (DS8)
§ Administrar
la configuración (DS9)
§ Monitorear
y evaluar rendimiento de TI(ME1)
Alcance.
Las ocho (08) iniciativas definidad por la alta gerencia
§ Iniciativa
1: implementación de un comité de TI
§ Iniciativa
2: actualización de estructura organizacional de TI.
§ Iniciativa
3: definición e implementación de indicadores claves de desempeño (KPIs).
§ Iniciativa
4: definición e implementación de políticas, estándares y procesos de TI.
§ Iniciativa
5: comunicación y conciencia de seguridad y políticas, estándares y procedimientos
de TI.
§ Iniciativa
6: definición e implementación del marco de riesgos TI.
§ Iniciativa
7: definición de las condiciones para el establecimiento de acuerdos de niveles
de servicio (SLAs)
§ Iniciativa
8: revisión y ajuste del actual plan de recuperación ante Desastres (DRP).
FASES
ITIL
Ciclo de Vida del Servicio de TI.
ITIL
es un marco público que reseña buenas prácticas para la gestión de servicios en
Tecnología de Información. Provee un esquema para la gestión de las tecnologías
de la información y se enfoca en la medición y mejora continua de la calidad
del Servicio proporcionado por TI otorgado desde la perspectiva del cliente y
del negocio. Este enfoque se ha convertido en el factor clave para el éxito
mundial de ITIL, y ha contribuido a la extensión de su uso en las principales
áreas y empresas de tecnología. Entre los beneficios clave obtenidos por las
organizaciones que lo utilizan se encuentran:
·
Incrementar la satisfacción de usuario y cliente
con los servicios de TI
·
Mejorar la disponibilidad del servicio, ligado
directamente a incrementar los beneficios y rendimientos de la empresa
·
El ahorro financiero en la reducción de retrabajos
y tiempo perdido, así como la mejora en la gestión de recursos
·
Mejora la toma de decisiones y disminuye los
riesgos
El ciclo de vida del servicio es un acercamiento a la gestión de las áreas de Tecnología que pone énfasis en la Estrategia, Diseño, Transición, Operación y Mejora Continua de los servicios proporcionados al negocio, a través de diferentes funciones, procesos y sistemas necesarios para gestionar estos servicios a lo largo de su ciclo de vida.
El
Ciclo de Vida de la Gestión del Servicio consta de cinco fases:
Estrategia
del Servicio. En esta fase se presenta el cómo alinear los
servicios proporcionados por TI a los objetivos estratégicos del negocio. Los
requerimientos del servicio son identificados y estipulados dentro del Paquete
del Nivel del Servicio (SLP) en un conjunto definido de resultados a entregar
al negocio, estableciendo además su validez financiera y generando las bases
para su diseño, transición y operación. Aquí se expone el cómo transformar la
Gestión del Servicio en un activo estratégico.
Diseño
del Servicio. Aquí se diseñan y desarrollan los servicios, los
procesos y las capacidades de la Gestión del Servicio a fin de asegurar el
cumplimiento del valor establecido como parte de la estrategia. Se utilizan los
principios y métodos de diseño para convertir objetivos estratégicos en planes
tácticos que garanticen y mejoren los niveles de disponibilidad, capacidad,
seguridad y continuidad de todos los servicios.
Transición
de Servicios. Es
en esta fase en donde se desarrollan y mejoran las capacidades para la
transición de nuevos servicios y/o cambios a los ya existentes, asegurando los
requerimientos de la estrategia de servicio. Es una guía para gestionar la
complejidad relacionada con los cambios a servicios y gestión de procesos
de servicios, previniendo consecuencias indeseables, como fallas e
interrupciones.
Operación
del Servicio. Esta fase demuestra cómo se puede alcanzar la
efectividad y eficiencia en la entrega y soporte de servicios para asegurar
valor tanto al cliente como al proveedor del servicio. La Operación del
Servicio es donde los planes, diseños y optimizaciones son ejecutados y
medidos. Desde el punto de vista del cliente, la Operación del Servicio es
donde realmente se aprecia el valor del servicio.
Mejora
Continua del Servicio. Se preocupa de crear y mantener el valor para el
cliente a través de un mejor diseño, introducción y operación de los servicios,
asociando esfuerzos de mejora y resultados con la Estrategia, Diseño,
Transición y Operación del Servicio, identificando las oportunidades para
mejorar las debilidades o fallas dentro de cualquiera de éstas etapas.
2.4 VENTAJAS
Y DESVENTAJAS.
DESVENTAJAS
COBIT
·
“Resulta un modelo ambicioso que requiere de
profundidad en el estudio, que se enriquece constantemente y provee de guías de
auditorías que por dificultades económicas y de gestión no hemos podido
obtener.
·
Las buenas practicas de COBIT están enfocadas fuertemente en
el control y de menor forma en la ejecución.
·
El marco de referencia mejora las áreas de TI desde el punto
de vista solamente del gobierno corporativo.
·
COBIT es un modelo ambicioso que requiere de un profundo
estudio para realizar la implementación dentro de la organización. CUBO COBIT:
PROCESOS PROCESOS: Series de actividades. Son 34 procesos dentro de los 4
dominios. Lo que se necesita para lograr objetivos.
VENTAJAS
COBIT.
§ Con el uso apropiado de Cobit se logra que la
información relevante sea pertinente para el proceso de negocio, así como que
su entrega sea oportuna, correcta consistente y de manera utilizable. Para la
alta dirección esto es de suma importancia pues en la información se sustentan
las decisiones que se toman con miras a lograr los objetivos estratégicos del
negocio.
§ Para la administración, el ambiente de tecnología de
información, frecuentemente es impredecible; el uso de Cobit les ayuda a lograr
un balance entre los riesgos y las inversiones que se requieren en controles.
§ Para los
usuarios, Cobit les permite obtener una garantía en cuanto a la seguridad y
controles de los servicios de tecnología de información proporcionados
internamente o por terceras partes (proveedores).
§ A los Auditores
de Sistemas de información, cuando en la empresa se trabaja aplicando Cobit,
esto les permite dar soporte a las opiniones mostradas a la administración
sobre los controles internos.
§ Se provee información a través de la utilización óptima
(más productiva y económica) de recursos, en otras palabras trabajar con
eficiencia.
§ Proteger la información sensible contra la divulgación
no autorizada, es decir lograr la confidencialidad de la información.
Las ventajas de ITIL para los clientes y usuarios
•
Mejora la comunicación con los clientes y usuarios
finales a través de los diversos puntos de contacto acordados.
•
Los servicios se detallan en lenguaje del cliente y
con más detalles.
•
Se maneja mejor la calidad y los costos de los
servicios.
•
La entrega de servicios se enfoca mas al cliente,
mejorando con ello la calidad de los mismos y relación entre el cliente y el
departamento de IT.
•
Una mayor flexibilidad y adaptabilidad de los
servicios.
Ventajas de ITIL para TI
•
La organización TI desarrolla una estructura más
clara, se vuelve más eficaz, y se centra más en los objetivos de la
organización.
•
La administración tiene un mayor control, se
estandarizan e identifican los procedimientos, y los cambios resultan más
fáciles de manejar.
•
La estructura de procesos en IT proporciona un
marco para concretar de manera mas adecuada los servicios de outsourcing.
•
A través de las mejores prácticas de ITIL se apoya
al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita
la introducción de un sistema de administración de calidad.
•
ITIL proporciona un marco de referencia uniforme
para la comunicación interna y con proveedores.
Desventajas
•
Tiempo y esfuerzo necesario para su implementación.
•
Que no se dé el cambio en la cultura del área
involucrada.
•
Que no se vea reflejada una mejora, por falta de
entendimiento sobre procesos, indicadores y como pueden ser controlados.
•
Que el personal no se involucre y se comprometa.
•
La mejora del servicio y la reducción de costos
puede no ser visible.
•
Que la inversión en herramientas de soporte sea
escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en
los servicios.