36 0 8MB
Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Acerca de ISACA Con casi 50 años de vida, ISACA® (isaca.org) es una organización global que ayuda tanto a individuos como a empresas a alcanzar el potencial positivo de la tecnología. La tecnología impulsa el mundo de hoy e ISACA proporciona a los profesionales los conocimientos, credenciales, educación y comunidad para avanzar en sus carreras profesionales y transformar sus organizaciones. ISACA aprovecha la experiencia de su medio millón de profesionales dedicados a información y ciberseguridad, gobierno, aseguramiento, riesgo e innovación, así como su filial de desempeño empresarial, el instituto CMMI®, para contribuir a una mayor innovación a través de la tecnología. ISACA está presente en más de 188 países, con más de 217 capítulos y oficinas, tanto en Estados Unidos como en China.
Descargo de responsabilidad ISACA ha diseñado y creado Guía de diseño COBIT® 2019 : Diseño de una solución de Gobierno de Información y Tecnología (el «Trabajo») fundamentalmente como un recurso educativo para los profesionales del gobierno empresarial de información y tecnología(GEIT), aseguramiento, riesgo y seguridad. ISACA no asume ninguna responsabilidad acerca de que el uso de cualquier parte del Trabajo garantice un resultado exitoso. No debe considerarse que el Trabajo incluye toda la información, procedimientos y pruebas correctas, ni que excluye otra información, procedimientos y pruebas que estén orientadas razonablemente hacia la obtención de los mismos resultados. Para determinar la propiedad de cualquier información, procedimiento o prueba específicos, los profesionales del gobierno empresarial de información y tecnología (GEIT), aseguramiento, riesgo y seguridad deben aplicar su propio criterio profesional a las circunstancias específicas de los sistemas o entorno de tecnología de la información particular.
Copyright © 2018 ISACA. Todos los derechos reservados. Para acceder a las instrucciones de uso, visite www.isaca.org/COBITuse.
ISACA 1700 E. Golf Road, Suite 400 Schaumburg, IL 60173, USA Phone: +1.847.660.5505 Fax: +1.847.253.1755 Contact us: https://support.isaca.org Website: www.isaca.org Participate in the ISACA Online Forums: https://engage.isaca.org/onlineforums Twitter: http://twitter.com/ISACANews LinkedIn: www.linkedin.com/company/isaca Facebook: www.facebook.com/ISACAHQ Instagram: www.instagram.com/isacanews/
Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología ISBN 978-1-60420-793-4
2 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
IN MEMORIAM: JOHN LAINHART (1946-2018) In Memoriam: John Lainhart (1946-2018) Dedicado a John Lainhart, Presidente del Consejo de Administración de ISACA, 1984-1985. John fue una figura clave en la creación del marco COBIT® y en los últimos años ejerció como presidente del grupo de trabajo de COBIT ® 2019, que culminó con la creación de este trabajo. Durante sus cuatro décadas en ISACA, John participó en distintos aspectos de la organización, además de contar con las certificaciones CISA, CRISC, CISM y CGEIT de ISACA. John deja un increíble legado personal y profesional, y su trabajo ha tenido un gran impacto en ISACA.
3 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
4 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
AGRADECIMIENTOS
Agradecimientos ISACA desea agradecer a:
COBIT Working Group (2017-2018) John Lainhart, Presidente, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, EE. UU. Matt Conboy, Cigna, EE. UU. Ron Saull, CGEIT, CSP, Great-West Lifeco & IGM Financial (jubilado), Canadá
Equipo de desarrollo Steven De Haes, Ph.D., Antwerp Management School, University of Antwerp, Bélgica Matthias Goorden, PwC, Bélgica Stefanie Grijp, PwC, Bélgica Bart Peeters, PwC, Bélgica Geert Poels, Ph.D., Ghent University, Bélgica Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Revisores expertos Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC, Bélgica Graciela Braga, CGEIT, Auditor and Advisor, Argentina James L. Golden, Golden Consulting Associates, EE. UU. J. Winston Hayden, CISA, CRISC, CISM, CGEIT, Sudáfrica Abdul Rafeq, CISA, CGEIT, FCA, Managing Director, Wincer Infotech Limited, India Jo Stewart-Rattray, CISA, CRISC, CISM, CGEIT, FACS CP, BRM Holdich, Australia
Consejo de dirección de ISACA Rob Clyde, CISM, Clyde Consulting LLC, EE. UU., Presidente Brennan Baybeck, CISA, CRISC, CISM, CISSP, Oracle Corporation, EE. UU., Vicepresidente Tracey Dedrick, Ex Director de Riesgo con Hudson City Bancorp, EE. UU. Leonard Ong, CISA, CRISC, CISM, CGEIT, COBIT 5 Implementador y Asesor, CFE, CIPM, CIPT, CISSP, CITBCM, CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapur R.V. Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., India Gabriela Reynaga, CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, México Gregory Touhill, CISM, CISSP, Cyxtera Federal Group, EE. UU. Ted Wolff, CISA, Vanguard, Inc., EE. UU. Tichaona Zororo, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT | Enterprise Governance of IT (Pty) Ltd, Sudáfrica Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, EE. UU., Presidenta del Consejo de Administración de ISACA, 2017-2018 Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grecia, Presidente del Consejo de Administración de ISACA, 2015-2017 Matt Loeb, CGEIT, CAE, FASAE, Director Ejecutivo, ISACA, EE. UU. Robert E Stroud (1965-2018), CRISC, CGEIT, XebiaLabs, Inc., EE. UU, Presidente del Consejo de Administración de ISACA, 2014-2015 ISACA lamenta profundamente el fallecimiento de Robert E. Stroud en septiembre de 2018.
5 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
6 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
ÍNDICE
ÍNDICE Lista de Figuras ..............................................................................................................................................11 Parte I - Proceso de diseño ................................................................................................................15 Capítulo 1. Introducción y propósito .........................................................................................15 1.1 1.2 1.3 1.4
Sistemas de gobierno....................................................................................................................................15 Estructura de esta publicación ......................................................................................................................15 Público objetivo de esta publicación ............................................................................................................16 Documentación Relacionada: Guía de implementación de COBIT ® 2019 .......................................................16
Capítulo 2. Conceptos básicos: Sistema de Gobierno y Componentes ...................................................................................................................................................17 2.1 2.2 2.3 2.4 2.5 2.6
Introducción.................................................................................................................................................17 Objetivos de gobierno y gestión....................................................................................................................18 Componentes del sistema de gobierno...........................................................................................................20 Áreas prioritarias .........................................................................................................................................20 Niveles de capacidad ....................................................................................................................................20 Factores de diseño........................................................................................................................................21 2.6.1 ¿Por qué no existe un factor de diseño del sector industrial? ....................................................................28
Capítulo 3. Impacto de factores de diseño ........................................................................29 3.1 Impacto de factores de diseño.......................................................................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado ........................31 4.1 Introducción.................................................................................................................................................31 4.2 Paso 1: Entender el contexto y estrategia de la empresa ................................................................................32 4.2.1 Entender la estrategia empresarial .........................................................................................................32 4.2.2 Entender las metas empresariales ..........................................................................................................32 4.2.3 Entender el perfil de riesgo ...................................................................................................................33 4.2.4 Entender los problemas actuales relacionados con I&T ...........................................................................33 4.2.5 Conclusión ..........................................................................................................................................33 4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno .......................................................................33 4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión ........................................................34 4.3.2 Considerar la estrategia empresarial (Factor de diseño 1) ........................................................................34 4.3.3 Considerar las metas empresariales y aplicar la cascada de metas COBIT (Factor de diseño 2) ...................35 4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3) .............................................................36 4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) ..................36 4.3.6 Conclusión ..........................................................................................................................................36 4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................37 4.4.1 Considerar el escenario de amenazas (Factor de diseño 5) .......................................................................37 4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6) ...............................................................38 4.4.3 Considerar el rol de TI (Factor de diseño 7) ...........................................................................................38 4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ................................39 4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9) ..........................................................39 4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10) .................................................40 4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11) .......................................................................40 4.4.8 Conclusión ..........................................................................................................................................41 4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno ......................................................41 4.5.1 Resolver conflictos de prioridades inherentes .........................................................................................42 4.5.1.1 Propósito ...................................................................................................................................42 4.5.1.2 Estrategias de resolución .............................................................................................................42 4.5.1.3 Enfoque de resolución .................................................................................................................42
7 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 4.5.2 Finalizar el diseño del sistema de gobierno ............................................................................................43 4.5.2.1 Finalizar el diseño .....................................................................................................................43 4.5.2.2 Sostener el sistema de gobierno ..................................................................................................43
Capítulo 5. Conectando con la Guía de implementación COBIT ® 2019 ....................................................................................................................................................45 5.1 Propósito de la Guía de implementación COBIT ® 2019 ................................................................................45 5.2 Método de Implementación de COBIT ..........................................................................................................45 5.2.1 Fase 1: ¿Cuáles son los impulsores? ......................................................................................................46 5.2.2 Fase 2: ¿Dónde estamos ahora? .............................................................................................................46 5.2.3 Fase 3: ¿Dónde queremos estar? ............................................................................................................47 5.2.4 Fase 4: ¿Qué debe hacerse? ...................................................................................................................47 5.2.5 Fase 5: ¿Cómo conseguiremos llegar? ....................................................................................................47 5.2.6 Fase 6: ¿Lo logramos? ..........................................................................................................................47 5.2.7 Fase 7: ¿Cómo mantenemos el impulso? ................................................................................................47 5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT .............................................47
Parte II - Ejecución y ejemplos .......................................................................................................51 Capítulo 6. Kit de herramientas de diseño del sistema de gobierno ........51 6.1 Introducción.................................................................................................................................................51 6.2 Elementos básicos del kit de herramientas ....................................................................................................51 6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno..........................................................52 6.3.1 Estrategia empresarial (Factor de diseño 1) ............................................................................................52 6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2) .......................53 6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3) .................................................................................54 6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) .......................................55 6.3.5 Conclusión ..........................................................................................................................................56 6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno ................................................................................58 6.4.1 Escenario de amenazas (Factor de diseño 5) ...........................................................................................59 6.4.2 Requisitos de cumplimiento (Factor de diseño 6) ....................................................................................60 6.4.3 Rol de TI (Factor de diseño 7) ...............................................................................................................61 6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8) ....................................................64 6.4.5 Métodos de implementación de TI (Factor de diseño 9) ...........................................................................63 6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10) .....................................................................64 6.4.7 Tamaño de la empresa (Factor de diseño 11) ...........................................................................................65 6.4.8 Conclusión ..........................................................................................................................................65
Capítulo 7. Ejemplos .................................................................................................................................67 7.1 Introducción.................................................................................................................................................67 7.2 Ejemplo 1: Empresa de manufactura .............................................................................................................67 7.2.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................67 7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................71 7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ..........................................................................80 7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno ...........................................................................89 7.2.4.1 Objetivos de gobierno y gestión ..................................................................................................89 7.2.4.2 Otros componentes ....................................................................................................................91 7.2.4.3 Directrices para áreas prioritarias específicas ..............................................................................91 7.3 Ejemplo 2: Empresa de innovación de tamaño mediano.................................................................................92 7.3.1 Paso 1: Entender el contexto y estrategia de la empresa ..........................................................................92 7.3.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ..................................................................96 7.3.3 Paso 3: Perfeccionar el alcance del sistema de gobierno ........................................................................105 7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno ...........................................................................115 7.3.4.1 Objetivos de gobierno y gestión ................................................................................................115 7.3.4.2 Otros componentes ...................................................................................................................118 7.3.4.3 Directrices para áreas prioritarias específicas .............................................................................118
8 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
ÍNDICE 7.4 Ejemplo 3: Agencia gubernamental de perfil alto ........................................................................................119 7.4.1 Paso 1: Entender el contexto y estrategia de la empresa .........................................................................119 7.4.2 Paso 2: Determinar el alcance inicial del sistema de gobierno ................................................................123
Apéndices .........................................................................................................................................................137 Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y gestión .........................137 Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento ..............................................139 Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y gestión .............................140 Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión............................................141 Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de gobierno y gestión ..............143 Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y gestión.............................145 Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno y gestión.....................146 Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión.................................................147 Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión ..........................................................................................................................................................148 Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de gobierno y gestión ...........149 Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos de gobierno y gestión ......150
9 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
10 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
LISTA DE FIGURAS
LISTA DE FIGURAS Capítulo 2. Conceptos básicos: Sistema de Gobierno y Componentes Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura
2.1—Generalidades de COBIT .......................................................................................................................17 2.2—Modelo Core de COBIT.........................................................................................................................19 2.3—Niveles de capacidad para los procesos ..................................................................................................21 2.4—Factores de diseño de COBIT ................................................................................................................22 2.5—Factor de diseño de estrategia empresarial .............................................................................................22 2.6—Factor de diseño de metas empresariales ................................................................................................22 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) ...........................................................23 2.8—Factor de diseño de problemas relacionados con I&T .............................................................................26 2.9—Factor de diseño del escenario de amenazas ...........................................................................................26 2.10—Factor de diseño de los requisitos de cumplimiento ..............................................................................27 2.11—Factor de diseño del rol de TI ..............................................................................................................27 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI .................................................27 2.13—Factor de diseño de métodos de implementación de TI .........................................................................27 2.14—Factor de diseño de estrategia de adopción de tecnología......................................................................28 2.15—Factor de diseño de tamaño de la empresa ............................................................................................28
Capítulo 3. Impacto de factores de diseño Figura 3.1—Impacto de factores de diseño en el sistema de gobierno ........................................................................29
Capítulo 4. Diseño de un sistema de gobierno personalizado Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno ..................................................................................31 Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de estrategia empresarial..................................................................................................................................................................34 Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de escenario de amenazas ..37 Figura 4.4—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de requisitos de cumplimiento ..............................................................................................................................................................38 Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de TI .......................38 Figura 4.6—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de modelo de abastecimiento de proveedores para TI ........................................................................................................................39 Figura 4.7—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de métodos de implementación de TI ..................................................................................................................................................40 Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de estrategia de adopción de tecnología ................................................................................................................................................40 Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada a un factor de diseño de tamaño de la empresa .41 Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión..........................................................................41
Capítulo 5. Conectando con la Guía de implementación COBIT® 2019 Figura 5.1—Hoja de ruta de implementación COBIT.................................................................................................46 Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT ......................48
Capítulo 7. Ejemplos Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial ...........................................................................................67 Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales ..............................................................................................68 Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil .........................................................................................................69 Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados .................................................................................70 Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial ...........................................................................................71 Figura 7.6—Ejemplo 1, Paso 2.1: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 1 Estrategia empresarial ..............................................................................................................72 Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales ..............................................................................................73 Figura 7.8—Ejemplo 1, Paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 2 Metas empresariales.................................................................................................................74 Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo .....................................................................................................75
11 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 3 Perfil de riesgo ............................................................................................................................76 Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T .........................................................................77 Figura 7.12—Ejemplo 1, Paso 2.4: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 4 Problemas relacionados con I&T..................................................................................................78 Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión.......79 Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno.....................................................................80 Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas ........................................................................................82 Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 5 Escenario de amenazas.............................................................................................................82 Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento.................................................................................83 Figura 7.18—Ejemplo 1, paso 3.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 6 Requisitos de cumplimiento .....................................................................................................84 Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI.............................................................................................................84 Figura 7.20—Ejemplo 1, paso 3.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 7 Rol de TI .................................................................................................................................85 Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI ...............................................86 Figura 7.22—Ejemplo 1, paso 3.4: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 8 Modelo de abastecimiento de proveedores para TI ....................................................................86 Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI .......................................................................87 Figura 7.24—Ejemplo 1, paso 3.5: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 9 Métodos de implementación de TI ............................................................................................87 Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología..................................................................88 Figura 7.26—Ejemplo 1, paso 3.6: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 10 Estrategia de Adopción de Tecnología ....................................................................................88 Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)...89 Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de Proceso....................90 Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial .........................................................................................92 Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales ............................................................................................93 Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo....................................................................................................94 Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T .........................................................................95 Figura 7.33—Ejemplo 2, paso 2.1: Estrategia empresarial .........................................................................................96 Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 1 Estrategia empresarial .............................................................................................................97 Figura 7.35—Ejemplo 2, paso 2.2: Metas empresariales ............................................................................................98 Figura 7.36—Ejemplo 2, paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de Diseño 2 Metas empresariales ...............................................................................................................99 Figura 7.37—Ejemplo 2, paso 2.3: Perfil de riesgo ..................................................................................................100 Figura 7.38—Ejemplo 2, paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de Diseño 3 Perfil de riesgo......................................................................................................................101 Figura 7.39—Ejemplo 2, paso 2.4: Problemas relacionados con I&T........................................................................102 Figura 7.40—Ejemplo 2, paso 2.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 4 Problemas relacionados con I&T ...........................................................................................103 Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....104 Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 ................................105 Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas ......................................................................................107 Figura 7.44—Ejemplo 2, paso 3.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 5 Escenario de amenazas ..........................................................................................................107 Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento ...............................................................................109 Figura 7.46—Ejemplo 2, paso 3.2: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 6 Requisitos de cumplimiento...................................................................................................109 Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI ...........................................................................................................110 Figura 7.48—Ejemplo 2, paso 3.3: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 7 Rol de TI...............................................................................................................................110 Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI..............................................112 Figura 7.50—Ejemplo 2, paso 3.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI..................................................................112 Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI......................................................................113
12 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
LISTA DE FIGURAS Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para el Factor de Diseño 9 Métodos de implementación de TI .........................................................................................113 Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología..................................................................114 Figura 7.54—Ejemplo 2, paso 3.6: Importancia derivada de los objetivos de gobierno/gestión para el Factor de Diseño 10 Estrategia de adopción de tecnología ...................................................................................114 Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) ...............................................................................................................................................................116 Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de procesos .................117 Figura 7.57—Ejemplo 3, paso 1.1: Estrategia empresarial .......................................................................................119 Figura 7.58—Ejemplo 3, paso 1.2: Metas empresariales ..........................................................................................120 Figura 7.59—Ejemplo 3, paso 1.3: Perfil de riesgo ..................................................................................................121 Figura 7.60—Ejemplo 3, paso 1.4: Problemas relacionados con I&T........................................................................122 Figura 7.61—Ejemplo 3, paso 2.1: Estrategia empresarial .......................................................................................123 Figura 7.62—Ejemplo 3, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 1 Estrategia empresarial ............................................................................................................123 Figura 7.63—Ejemplo 3, paso 2.2: Metas empresariales ..........................................................................................124 Figura 7.64—Ejemplo 3, paso 2.2: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 2 Metas empresariales ...............................................................................................................125 Figura 7.65—Ejemplo 3, paso 2.3: Perfil de riesgo ..................................................................................................126 Figura 7.66—Ejemplo 3, paso 2.3: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 3 Perfil de riesgo ......................................................................................................................127 Figura 7.67—Ejemplo 3, paso 2.4: Problemas relacionados con I&T........................................................................128 Figura 7.68—Ejemplo 3, paso 2.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 4 Problemas relacionados con I&T ...........................................................................................129 Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión .....130 Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3 ................................131 Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño) .132 Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso......................133 Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas ......................................................................................135
Apéndices Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura
A.1—Asignación de estrategia empresarial a objetivos de gobierno y gestión ...............................................137 A.2—Asignación de metas empresariales a metas de alineamiento ................................................................139 A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión ...............................................140 A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión ..............................................................141 A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión ...............................143 A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión ..............................................145 A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión .......................................146 A.8—Asignación del rol de TI a objetivos de gobierno y gestión ..................................................................147 A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión ....148 A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión ...........................149 A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión ......................150
13 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
14 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 1 INTRODUCCIÓN Y PROPÓSITO Parte I Proceso de diseño Capítulo 1 Introducción y propósito 1.1 Sistemas de gobierno Esta publicación describe cómo una empresa puede diseñar una solución de gobierno empresarial para la información y la tecnología (I&T). Un sistema de gobierno de I&T eficiente y eficaz es el punto de partida para generar valor. Esto se aplica a todo tipo y tamaño de empresas. El gobierno de un dominio complejo, como la I&T, requiere de multitud de componentes, incluyendo procesos, estructuras organizativas, flujos de información y comportamientos. Todos estos elementos deben funcionar al unísono de forma sistémica; por ello, esta publicación aborda la solución de gobierno personalizada que toda empresa debería crear como «el sistema de gobierno para I&T de la empresa» o «sistema de gobierno», en su forma abreviada. No hay un único sistema de gobierno apto para la I&T de todas las empresas. Cada empresa cuenta con su propio perfil y carácter, que se diferenciarán de otras organizaciones en varios aspectos críticos: el tamaño de la empresa, el sector industrial, el entorno regulatorio, el escenario de amenazas, el papel de TI en la organización y las opciones tácticas relacionadas con la tecnología, entre otros. Todos estos aspectos, a los que COBIT® se refiere de forma conjunta como los factores de diseño, precisan que las organizaciones personalicen sus sistemas de gobierno para obtener el máximo valor de su uso de la I&T. Dicha personalización significa que una empresa debe empezar con el modelo Core de COBIT® , y a partir de ahí, aplicar cambios al marco genérico dependiendo de la relevancia e importancia de una serie de factores de diseño. Este proceso se denomina «diseñar el sistema de gobierno para la I&T de la empresa».
1.2 Estructura de esta publicación Esta publicación contiene las partes, capítulos y apéndices principales siguientes: Parte I: Proceso de diseño
El capítulo 1 proporciona una introducción en la que se indica la estructura y el público objetivo.
El capítulo 2 revisa los conceptos y definiciones principales de la publicación Marco de referencia COBIT® 2019: Introducción y metodología, incluido el concepto de factor de diseño.
El capítulo 3 explora las implicaciones de los factores de diseño en el diseño de la solución de gobierno.
El capítulo 4 es el núcleo de la publicación. Este capítulo presenta un flujo de trabajo para el diseño de una solución de gobierno empresarial y para ello tiene en cuenta todos los posibles factores de diseño. El flujo de trabajo consiste en cuatro pasos distintos y tiene como resultado una solución de gobierno personalizada.
El capítulo 5 explica cómo se relaciona esta publicación con la Guía de implementación de COBIT® 2019, y cómo deben usarse ambas conjuntamente.
Parte II: Ejecución y ejemplos
El capítulo 6 introduce el kit de herramientas de la Guía de diseño COBIT® 2019, una herramienta de Excel® , que facilita el flujo de trabajo del diseño del sistema de gobierno.
15 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
El capítulo 7 ilustra cómo debe aplicarse el flujo de trabajo del capítulo 4 mediante el uso de la herramienta.
Los apéndices de la A a la K contienen varias tablas de asignación usadas durante el proceso de diseño.
1.3 Público objetivo de esta publicación El público objetivo de esta publicación incluye una serie de partes interesadas directas en el gobierno de I&T: miembros del consejo de administración, ejecutivos y alta dirección y profesionales experimentados de la empresa, no solo del negocio y las TI, sino también de las disciplinas de auditoría, aseguramiento, cumplimiento, seguridad, privacidad y gestión de riesgos. Otras partes interesadas indirectamente en el gobierno de I&T incluyen clientes, usuarios y ciudadanos; estos constituyen los beneficiarios más importantes de un buen gobierno, aunque la mayoría de ellos casi nunca consultarán esta publicación. Sus intereses los asumen las partes interesadas directas anteriormente mencionadas. Se requiere un cierto nivel de experiencia y unos conocimientos profundos de la empresa para poder aprovechar esta guía. Dicha experiencia y conocimientos permiten a los usuarios personalizar las directrices principales de COBIT® 2019 (cuya naturaleza es genérica) en directrices personalizadas y centradas en la empresa, mediante la consideración del contexto de la empresa. El público objetivo incluye a aquellos responsables durante todo el ciclo de vida de la solución de gobierno, desde el diseño inicial a la ejecución y al aseguramiento. De hecho, los proveedores de aseguramiento pueden aplicar la lógica y el flujo de trabajo desarrollado en esta publicación para crear un programa de aseguramiento bien soportado para la empresa.
1.4 Documentación Relacionada: Guía de implementación de COBIT® 2019 La Guía de implementación COBIT® 2019 está relacionada con esta publicación. Dicha guía describe la hoja de ruta para la mejora continua del gobierno de I&T en la empresa. El diseño (inicial) de dicho sistema de gobierno, que en ella se describe, forma parte de las fases iniciales de dicha hoja de ruta. El capítulo 5 de esta guía profundiza en los vínculos entre ambas publicaciones e ilustra cómo usarlas conjuntamente.
16 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Capítulo 2 Conceptos básicos: Sistema de Gobierno y Componentes 2.1 Introducción La figura 2.1 muestra las generalidades de COBIT® 2019 y cómo las distintas publicaciones cubren distintos aspectos. Figura 2.1—Generalidades de COBIT
COBIT® 2019 está basado en COBIT® 5 y otras fuentes fidedignas. COBIT está alineado con una serie de estándares y marcos relacionados. La lista de estos estándares se incluye en el capítulo 10 del marco de referencia COBIT® 2019: Introducción y metodología. El análisis de estos estándares relacionados y el alineamiento de COBIT con ellos sustentan la posición consolidada de COBIT de ser el paraguas del marco de gobierno de I&T. En el futuro, COBIT acudirá a su comunidad de usuarios para que propongan actualizaciones de contenido, que serán aplicadas como contribuciones controladas de forma continua, para que COBIT esté al día con las últimas percepciones y evoluciones. La familia de productos COBIT es abierta. En el momento de la publicación de esta guía, están disponibles las publicaciones siguientes:
Marco de Referencia COBIT® 2019: Introducción y metodología presenta los conceptos clave de COBIT® 2019.
Marco de Referencia COBIT® 2019: Objetivos de gobierno y gestión describe de forma exhaustiva los 40 objetivos principales del gobierno y la gestión, los procesos incluidos en ellos y otros componentes relacionados. Esta guía también hace referencia a otros estándares y marcos.
17 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
La Guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología explora los factores de diseño que pueden influir en el gobierno e incluye un flujo de trabajo para la planificación de un sistema de gobierno personalizado para la empresa.
La Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología representa una evolución de la guía de Implementación de COBIT® 5 y desarrolla una hoja de ruta para la mejora continua del gobierno. Puede usarse en combinación con la Guía de diseño COBIT® 2019.
El contenido identificado como áreas prioritarias en la figura 2.1 incluirá una guía más detallada sobre determinados aspectos. Algunas de estas guías de contenido de áreas prioritarias ya están preparándose; y otras están previstas. Esta serie de guías de áreas prioritarias es abierta y seguirá evolucionando. Para obtener la información más reciente sobre publicaciones actualmente disponibles y previstas, así como otros contenidos, visite www.isaca.org/cobit. El resto de esta sección describe los conceptos básicos de COBIT® 2019, tal y como se definen en las publicaciones del marco de referencia COBIT. Los factores de diseño, las áreas prioritarias y los conceptos de variantes se usarán para diseñar un sistema de gobierno personalizado para la I&T empresarial. Un sistema de gobierno personalizado basado en COBIT es un sistema que ha tomado los contenidos genéricos de COBIT y ha asignado prioridades específicas y niveles de capacidad objetivos a los componentes de gobierno y gestión basados en el propio contexto de la empresa y los valores del factor de diseño. Cuando se precisa, también se ponen en práctica variantes de componentes de gobierno específicos.
2.2 Objetivos de gobierno y gestión Para que la información y la tecnología contribuyan a los objetivos de la empresa, deben alcanzarse una serie de objetivos de gobierno y gestión. Los conceptos básicos relacionados con los objetivos de gobierno y gestión son:
Un objetivo de gobierno o gestión siempre está relacionado con un proceso (con un nombre idéntico o similar) y una serie de componentes relacionados de otros tipos para contribuir a lograr el objetivo.
Un objetivo de gobierno está relacionado con un proceso de gobierno (mostrado en el fondo azul oscuro de la figura 2.2), mientras que un objetivo de gestión está relacionado con un proceso de gestión (mostrado en el fondo azul claro de la figura 2.2). Los consejos de administración y la dirección ejecutiva suelen ser responsables de los procesos de gobierno, mientras que los procesos de gestión pertenecen al dominio de la alta y media gerencia.
18 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Figura 2.2—Modelo Core de COBIT
Los objetivos de gobierno y gestión de COBIT se agrupan en cinco dominios. Los dominios se nombran mediante verbos que expresan el propósito clave y las áreas de actividad del objetivo contenida en ellos:
Los objetivos de gobierno se agrupan en el dominio Evaluar, Dirigir y Monitorizar (EDM). En este dominio, el organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia.
Los objetivos de gestión se agrupan en cuatro dominios:
Alinear, Planificar y Organizar (APO) aborda la organización en su conjunto, la estrategia y las actividades de apoyo para la I&T.
Construir, Adquirir e Implementar (BAI) se encarga de la definición, adquisición e implementación de soluciones de I&T y su integración en los procesos de negocio.
Entregar, Dar Servicio y Soporte (DSS) aborda la ejecución operativa y el soporte de los servicios de I&T, incluida la seguridad.
Monitorizar, Evaluar y Valorar (MEA) aborda la monitorización y la conformidad de I&T con los objetivos de desempeño interno, los objetivos de control interno y los requisitos externos.
2.3 Componentes del sistema de gobierno Para cumplir con los objetivos de gobierno y gestión, cada empresa debe establecer, personalizar y sostener un sistema de gobierno creado a partir de una serie de componentes.
19 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
Estos componentes son factores que, de forma individual y colectiva, contribuyen al buen funcionamiento del sistema de gobierno de la empresa en cuanto a I&T.
Los componentes interactúan entre sí, lo que da lugar a un sistema holístico de gobierno de I&T.
Los componentes pueden ser de diversos tipos. Los más comunes son los procesos. Sin embargo, los componentes de un sistema de gobierno incluyen también estructuras organizativas; políticas y procedimientos; elementos de información; cultura y comportamiento; habilidades y competencias; y servicios, infraestructura y aplicaciones.
Los componentes de cualquier tipo pueden ser genéricos o variantes de los componentes genéricos:
Los componentes Genéricos se describen en el modelo Core de COBIT (ver figura 2.2) y se aplican, en principio, a cualquier situación. Sin embargo, su naturaleza es genérica y suelen requerir una adaptación antes de que se puedan implementar en la práctica.
Las variantes se basan en componentes genéricos, pero se adaptan para un propósito o contexto específico dentro de un área prioritaria (p. ej.: para seguridad de la información, DevOps, una regulación específica).
2.4 Áreas prioritarias Un área prioritaria describe un tópico, dominio o asunto de gobierno determinado que puede abordarse como una serie de objetivos de gobierno y gestión y sus componentes. Algunos de los ejemplos de áreas prioritarias son: pequeñas y medianas empresas, ciberseguridad, transformación digital, computación en la nube, privacidad, y DevOps.1 Las áreas prioritarias pueden incluir una combinación de componentes y variantes genéricos de gobierno. 1
La cantidad de áreas prioritarias es prácticamente ilimitada. Esto hace que COBIT sea abierto. Se pueden añadir nuevas áreas prioritarias cuando se requiera o conforme los expertos y especialistas en la materia contribuyan al modelo COBIT abierto.
2.5 Niveles de capacidad COBIT® 2019 admite un esquema de capacidad de procesos basado en la Integración del modelo de madurez de capacidad (CMMI®). El proceso dentro de cada objetivo de gobierno y gestión puede funcionar con distintos niveles de capacidad, que van de 0 a 5. El nivel de capacidad es una medida de lo bien que se ha implementado y ejecuta un proceso. La figura 2.3 muestra el modelo, los niveles de capacidad incrementales y las características generales de cada uno.
1
1
DevOps es un ejemplo tanto de una variante de componente como de un área prioritaria. ¿Por qué? DevOPs es un tema de actualidad en el mercado y requiere indudablemente unas directrices específicas, lo que lo convierte en un área prioritaria. DevOps incluye una serie de objetivos de gobierno y gestión genéricos del modelo Core de COBIT, junto con una serie de variantes de desarrollo, la operación y la monitorización relacionadas con procesos y estructuras organizativas.
20 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Figura 2.3—Niveles de capacidad para los procesos
El modelo Core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara definición de los procesos a distintos niveles de capacidad. En esta guía, nos referiremos en ocasiones a niveles de capacidad «inferiores» o «superiores». A modo de convención en esta guía, cualquier nivel mayor de tres se denomina «superior» y cualquiera menor de 3 se denomina «inferior».
2.6 Factores de diseño Los factores de diseño son factores que pueden influir en el diseño del sistema de gobierno de una empresa y posicionarla para que tenga éxito al usar la I&T. Los factores de diseño se enumeran a continuación y su posible impacto en el sistema de gobierno se comenta en el capítulo 3. Los factores de diseño incluyen cualquier combinación de lo siguiente (figura 2.4):
21 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 2.4—Factores de diseño COBIT
1. Estrategia empresarial—Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno o más prototipos que se muestran en la figura 2.5. Las organizaciones suelen contar con una estrategia primaria y, como mucho, una estrategia secundaria. Figura 2.5—Factor de diseño de estrategia empresarial Prototipo de la estrategia Crecimiento/Adquisición Innovación/Diferenciación
Explicación La empresa se centra en el crecimiento (ingresos)2 La empresa debe centrarse en ofrecer productos y servicios diferentes y/o innovadores a sus clientes3 La empresa debe centrarse en la minimización de costes a corto plazo4 La empresa se centra en proporcionar un servicio estable y orientado al cliente.5 2
3
Liderazgo en costes
4
Servicio al cliente/Estabilidad
5
2. Las metas empresariales que apoyan la estrategia empresarial; la estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. Estos objetivos se definen en el marco de referencia COBIT, se estructuran en torno a las dimensiones del cuadro de mando integral (balanced scorecard) e incluyen lo siguiente (figura 2.6): Figura 2.6—Factor de diseño de metas empresariales Meta empresarial
EG01 2
2
Dimensión del BSC
Finanzas
Meta empresarial
Portafolio de productos y servicios competitivos
Se corresponde con el prospector de la tipología Miles-Snow. Ver “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor,” Elibrary, https://ebrary.net/3737/management/miles_snows_typology_defender_prospector_analyzer_reactor.
3
4
3
Ver Reeves, Martin; Claire Love, Philipp Tillmanns, “Your Strategy Needs a Strategy”, Harvard Business Review, septiembre 2012, https://hbr.org/2012/09/your-strategy-needs-a-strategy, especialmente relacionado con la visión y el modelado.
4
Corresponde al liderazgo en costes; ver University of Cambridge, “Porter’s Generic Competitive Strategies (ways of competing),” Institute for Manufacturing (IfM) Management Technology Policy, https://www.ifm.eng.cam.ac.uk/research/dstools/porters-generic-competitive-strategies/. También corresponde a la excelencia operativa; ver Treacy, Michael; Fred Wiersema, “Customer Intimacy and Other Value Disciplines», Harvard Business Review, enero/febrero 1993, https://hbr.org/1993/01/customer-intimacy-and-other-value-disciplines.
5
5
Corresponde a los defensores de la tipología Miles-Snow. Ver op cit “Miles and Snow’s Typology of Defender, Prospector, Analyzer, and Reactor”.
22 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Figura 2.6—Factor de diseño de metas empresariales (cont.) EG02 EG03 EG04 EG05 EG06 EG07 EG08 EG09 EG10 EG11 EG12 EG13
Finanzas Finanzas Finanzas Cliente Cliente Cliente Interno Interno Interno Interno Crecimiento Crecimiento
Gestión de riesgo del negocio Cumplimiento de leyes y regulaciones externas Calidad de la información financiera Cultura de servicio orientada al cliente Continuidad y disponibilidad del servicio del negocio Calidad de la información de gestión Optimización de la funcionalidad de los procesos internos del negocio Optimización de costes de los procesos del negocio Habilidades, motivación y productividad del personal Cumplimiento con las políticas internas Gestión de programas de transformación digital Innovación de producto y negocio
3. El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T—El perfil de riesgo identifica los tipos de riesgos relacionados con la I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de riesgo exceden el apetito al riesgo. Las categorías de riesgo enumeradas en la figura 2.7 merecen cierta consideración.6
6
Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI)
6
6
Referencia
Categoría del riesgo
Ejemplos de escenarios de riesgo
1
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
A. Programas seleccionados para su implementación desalineados con la estrategia y las prioridades corporativas. B. Fallo de las inversiones relacionadas con TI para respaldar la estrategia digital de la empresa C. Selección incorrecta del software (en términos de coste, rendimiento, funciones, compatibilidad, redundancia, etc.) para su adquisición e implementación D. Selección incorrecta de la infraestructura (en términos de coste, rendimiento, funciones, compatibilidad, etc.) para su implementación E. Duplicación o solapamiento importante entre las distintas iniciativas de inversión. F. Incompatibilidad a largo plazo entre los nuevos programas de inversión y la arquitectura empresarial G. Asignación inapropiada, gestión y/o competición ineficiente de los recursos sin que haya alineamiento con las prioridades del negocio
2
Gestión del ciclo de vida de programas y proyectos
A. Fallo de la alta dirección a la hora de poner fin a proyectos que fracasan (debido a costes, retrasos excesivos, aumento descontrolado del alcance, cambios en las prioridades del negocio) B. Déficit presupuestario para proyectos de I&T C. Falta de calidad de los proyectos de I&T D. Entrega fuera de plazo de los proyectos de I&T E. Fallo de los proveedores externalizados para entregar proyectos conforme a los acuerdos contractuales (cualquier combinación de exceso de presupuestos, problemas de calidad, falta de funcionalidad, entrega fuera de plazo).
3
Coste y supervisión de TI
A. Excesiva dependencia y uso de aplicaciones y soluciones ad hoc creadas, definidas y mantenidas por los usuarios B. Exceso de coste y/o ineficacia de compras relacionadas con I&T fuera del proceso de compras de I&T C. Requisitos inadecuados que derivan en acuerdos de nivel de servicio (SLA) ineficaces D. Falta de fondos para inversiones relacionadas con I&T
4
Comportamiento, habilidades y conocimiento de TI
A. Falta o incompatibilidad de habilidades relacionadas con TI dentro del área de TI (p. ej., debido a las nuevas tecnologías o métodos de trabajo) B. Falta de comprensión del negocio por parte del personal de TI, que afecta la calidad de la prestación de servicios/proyectos C. Incapacidad para contratar y retener personal de TI D. Contratación de perfiles inadecuados debido a una falta de debida diligencia en el proceso de reclutamiento E. Falta de formación de I&T F. Dependencia excesiva de personal clave para la prestación de los servicios de I&T
Modificada de ISACA, The Risk IT Practitioner Guide, EE. UU., 2009
23 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.) Referencia
Categoría del riesgo
Ejemplos de escenarios de riesgo
5
Arquitectura empresarial/TI A. Arquitectura empresarial (AE) compleja e inflexible, que obstaculiza una mayor evolución y expansión y deriva en oportunidades de negocio perdidas B. Falla en la adopción y explotación de nuevas infraestructuras o el abandono de infraestructura obsoleta B. Falla en adoptar y explotar software nuevo (funcionalidad, optimización, etc.) o al abandonar aplicaciones obsoletas D. Arquitectura empresarial no documentada, que conduce a ineficiencias y duplicaciones E. Número excesivo de excepciones en los estándares de arquitectura empresarial
6
Incidentes de A. Daño accidental de equipos de TI infraestructura operativa de B. Errores del personal de TI (durante la preparación de copias de seguridad, las actualizaciones de TI sistemas, el mantenimiento de sistemas, etc.). C. Información introducida de forma incorrecta por parte del personal de TI o los usuarios del sistema D. Destrucción del centro de datos (sabotaje, etc.) ocasionado por el personal interno E. Robo de dispositivo con datos sensibles F. Robo de un componente clave de infraestructura G. Configuración errónea de componentes de hardware H. Manipulación intencional del hardware (dispositivos de seguridad, etc.) I. Abuso de los derechos de acceso de roles preferentes para acceder a la infraestructura de TI J. Pérdida de medios de copia de seguridad o no comprobación de la eficacia de las copias de seguridad K. Pérdida de la integridad de los datos por parte del proveedor de la nube L. Interrupción de la operación del servicio por parte de los proveedores de la nube
7
Acciones no autorizadas
8
Problemas de adopción/uso A. No adopción de nuevo software de aplicaciones por parte de los usuarios de software B. Uso ineficiente de nuevo software por parte de los usuarios
9
Incidentes de hardware
A. Inestabilidad del sistema al instalar nueva infraestructura, que deriva en incidentes operativos (como el programa BYOD) B. Incapacidad de los sistemas para manejar los volúmenes de transacciones cuando aumentan los volúmenes de usuarios C. Incapacidad de los sistemas para manejar la carga del sistema cuando se implementan nuevas aplicaciones o iniciativas D. Fallo de servicios (telecomunicaciones, electricidad) E. Fallo de hardware debido a sobrecalentamiento y/u otras condiciones medioambientales, como la humedad F. Daño de los componentes de hardware, lo que lleva a la destrucción de datos por parte del personal interno G. Pérdida/divulgación de medios portátiles que contienen datos sensibles (CD, unidades USB, discos portátiles, etc.) H. Mayor tiempo de resolución o retraso de soporte en caso de incidentes de hardware
10
Fallos de software
A. Incapacidad para usar el software con el fin de lograr los resultados deseados (p. ej., no hacer los cambios necesarios al modelo de negocio o cambios organizativos) B. Implementación de software inmaduro (usuarios pioneros, bugs, etc.) C. Fallos operativos cuando se pone en funcionamiento un nuevo software D. Falla en el funcionamiento del software regular de aplicaciones críticas E. Software de aplicación obsoleto (p. ej., tecnología antigua, mal documentada, costosa de mantener, difícil de expandir, no integrada a la arquitectura actual, etc.) F. Incapacidad de volver a versiones anteriores en caso de problemas operativos con la nueva versión G. Base de datos corrupta debido al software con pérdida de acceso a los datos
11
Ataques lógicos [hackeo, malware, etc.]
A. Usuarios (internos) no autorizados tratando de penetrar los sistemas B. Interrupción del servicio debido a un ataque de denegación de servicio (DoS) C. Defacement del sitio web D. Ataque de malware E. Espionaje industrial F. «Hacktivismo» G. Un empleado descontento implementa una bomba de tiempo que deriva en la pérdida de datos H. Los datos de la empresa son robados a través del acceso no autorizado obtenido por un ataque de phishing I. Ataques de gobiernos extranjeros a sistemas críticos
A. Manipulación del software B. Modificación intencionada o manipulación del software, que deriva en datos incorrectos C. Modificación intencionada o manipulación del software, que deriva en acciones fraudulentas D. Modificación no intencionada del software que deriva en resultados inexactos E. Configuración no intencionada y errores en la gestión de cambios
24 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Figura 2.7—Factor de diseño del perfil de riesgo (Categorías de riesgo de TI) (cont.) Referencia
Categoría del riesgo
Ejemplos de escenarios de riesgo
12
Incidentes de terceros/proveedores
A. Rendimiento inadecuado del proveedor en acuerdos de outsourcing a largo plazo y a gran escala (p. ej., por una falta de debida diligencia de los proveedores con respecto a la viabilidad financiera, capacidad de entrega y sostenibilidad del servicio del proveedor) B. Aceptación de términos de negocio irrazonables por parte de los proveedores de TI C. Soporte inadecuado y servicios ofrecidos por los proveedores no alineados con el SLA D. Incumplimiento con los acuerdos de licencia de software (uso y/o distribución de software sin licencia) E. Incapacidad para transferir funciones a proveedores alternativos debido a la dependencia excesiva con el proveedor actual F. Compra de servicios de TI (especialmente servicios en la nube) por parte del negocio sin la consulta/participación del área de TI, lo que deriva en la incapacidad de integrar el servicio con los servicios internos. G. SLA inadecuado o incumplido para obtener los servicios acordados y multas en caso de incumplimiento
13
Incumplimiento
A. Incumplimiento de las regulaciones nacionales o internacionales (p. ej., privacidad, contables, fabricación, medioambiente, etc.) B. Falta de concienciación sobre los posibles cambios regulatorios que podrían tener un impacto empresarial C. Obstáculos operativos causados por las regulaciones D. Incumplimiento con procedimientos internos
14
Problemas geopolíticos
A. Falta de acceso debida a un incidente disruptivo en otras instalaciones B. Interferencia gubernamental e impacto de políticas nacionales en el negocio C. Acción dirigida por grupos o agencias auspiciados por el gobierno
15
Acción sindical
A. Instalaciones y edificios inaccesibles debido a una huelga sindical B. Incapacidad de terceros de proporcionar servicios debido a una huelga C. El personal clave no está disponible por una acción sindical (p. ej., huelga de transporte o servicios básicos)
16
Desastres naturales
A. Terremoto que destruye o daña infraestructura importante de TI B. Tsunami que destruye edificios críticos C. Grandes tormentas y ciclones tropicales o tornados que dañan infraestructuras críticas D. Gran incendio forestal E. Inundación F. Capa freática que deja una ubicación crítica inservible G. Temperatura elevada que hace que no sea rentable mantener operativas ubicaciones críticas
17
Innovación tecnológica
A. No identificar tendencias tecnológicas nuevas e importantes B. No apreciar el valor y potencial de las nuevas tecnologías C. No adoptar y explotar la nueva infraestructura de manera oportuna (funcionalidad, optimización de procesos, etc.) D. No proporcionar soporte tecnológico a nuevos modelos de negocio
18
Medio ambiente
A. Equipo no ecológico (p. ej., consumo de energía, embalaje)
19
Gestión de información y datos
A. Descubrimiento de información sensible por parte de personas no autorizadas debido a la retención/archivado/disposición ineficiente de la información B. Modificación intencional ilícita o maliciosa de datos C. Divulgación no autorizada de información sensible a través de correo electrónico o redes sociales D. Pérdida de propiedad intelectual (PI) y/o filtración de información competitiva
4. Problemas relacionados con I&T—Un método asociado para una valoración de riesgos de I&T de la empresa consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo relacionado con I&T se ha materializado. El problema más común de todos7 incluye la (figura 2.8): 7
7 7 Ver también la Sección 3.3.1 Puntos Típicos de Dolor en la Guía de implementación de COBIT® 2019: Implementación y optimización de una solución de gobierno de Información y Tecnología de ISACA, EE. UU., 2018.
25 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 2.8—Factor de diseño de problemas relacionados con I&T Referencia Descripción A Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja contribución al valor del negocio B Frustración entre unidades de TI y unidades de negocio en la organización debido a iniciativas fallidas o a una percepción de baja contribución al valor del negocio C Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de proyectos, errores de aplicaciones, etc. relacionados con TI D Problemas de entrega del servicio por parte de los terceros de TI E Incumplimiento de los requisitos regulatorios o contractuales relacionados con TI F Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas en la calidad o el servicio de TI G Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos usuarios fuera del control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI H Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos I Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho J Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y se ejecutan tarde o exceden el presupuesto K Resistencia de los miembros del consejo de administración, ejecutivos o la alta gerencia a involucrarse con las TI o una falta de patrocinadores empresariales comprometidos con TI L Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI M N O P Q R
Coste de TI excesivamente alto Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre el conocimiento tecnológico y el empresarial, lo que lleva a que los usuarios del negocio y los especialistas en TI y/o tecnología hablen idiomas distintos Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes Alto nivel de computación de usuario final, lo que genera (entre otros problemas) una falta de supervisión y control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa. 8 Ignorancia y/o incumplimiento de las regulaciones de seguridad y privacidad Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T 8
S T
5. Escenario de amenazas—El escenario de amenazas bajo el cual opera la empresa puede clasificarse tal como se muestra en la figura 2.9. Figura 2.9—Factor de diseño del escenario de amenazas Escenario de amenazas Normal Alto
Explicación La empresa funciona bajo lo que se consideran niveles de amenaza normales Debido a su situación geopolítica, sector industrial o perfil específico, la empresa funciona en un entorno de amenazas elevadas.
6. Requisitos de cumplimiento—Los requisitos de cumplimiento a los que la empresa está sujeta pueden clasificarse conforme a las categorías enumeradas en la figura 2.10.
8
8
Este problema está relacionado con la computación de usuario final, que suele surgir de la insatisfacción con respecto a las soluciones y servicios de TI.
26 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 2 CONCEPTOS BÁSICOS: SISTEMA DE GOBIERNO Y COMPONENTES Figura 2.10—Factor de diseño de los requerimientos de cumplimiento Entornos regulatorios Requerimientos de cumplimiento bajo Requerimientos de cumplimiento normal Requerimientos de cumplimiento alto
Explicación La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos que son inferiores a la media. La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a las distintas industrias. La empresa está sujeta a requerimientos de cumplimiento más elevados de lo normal, en la mayoría de los casos relacionados con el sector industrial y las condiciones geopolíticas.
7. Rol de TI—-El rol de TI para la empresa puede clasificarse tal como se muestra en la figura 2.11. Figura 2.11—Factor de diseño del rol de TI Rol de TI9
Explicación TI no es crucial para el funcionamiento y la continuidad de los procesos y servicios del negocio ni para su innovación. Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de los procesos y servicios del negocio. Sin embargo, las TI no se consideran un factor impulsor de la innovación de procesos y servicios del negocio. Las TI se consideran un factor impulsor de la innovación de procesos y servicios del negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el funcionamiento y la continuidad actual de los procesos y servicios del negocio. Las TI son críticas para el funcionamiento e innovación de los procesos y servicios del negocio de la organización.
9
Soporte Fábrica
Cambio
Estratégico
8. Modelo de abastecimiento de proveedores para TI—El modelo de abastecimiento de proveedores (sourcing) que la empresa adopta puede clasificarse tal como se muestra en la figura 2.12. Figura 2.12—Factor de diseño de modelo de abastecimiento de proveedores para TI Modelo de abastecimiento de proveedores Externalización (outsourcing) Nube Personal interno (Insourced) Híbrido
Explicación La empresa requiere los servicios de un tercero para proporcionar servicios de TI. La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus usuarios. La empresa aporta su propio personal y servicios de TI. Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados.
9. Métodos de implementación de TI—Los métodos que la empresa adopta pueden clasificarse tal como se muestra en la figura 2.13. Figura 2.13—Factor de diseño de métodos de implementación de TI Método de implementación de TI Agile DevOps
9
9
Explicación La empresa utiliza los métodos de trabajo de desarrollo Agile para su desarrollo de software. La empresa usa los métodos de trabajo DevOps para la creación, despliegue y operaciones de software.
Los roles incluídos en esta tabla se han extraído de McFarlan, F. Warren; James L. McKenney; Philip Pyburn; “The Information Archipelago—Plotting a Course,” Harvard Business Review, enero 1993, https://hbr.org/1983/01/the-informationarchipelago-plotting-a-course.
27 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 2.13—Factor de diseño de métodos de implementación de TI Tradicional
La empresa usa un método más clásico para el desarrollo de software (cascada) y separa el desarrollo de software de las operaciones. La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la que solemos referirnos como «TI bimodal».
Híbrido
10. Estrategia de adopción de tecnología—La estrategia de adopción de tecnología puede clasificarse tal como se muestra en la figura 2.14. Figura 2.14—Factor de diseño de estrategia de adopción de tecnología Estrategia de adopción de tecnología Primero en reaccionar (First mover) Seguidor (Follower)
Explicación
La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la «ventaja del primero en reaccionar». La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a prueba antes de adoptarlas. Adoptadores lentos (Slow adopter) La empresa tarda mucho en adoptar las nuevas tecnologías.
11. Tamaño de la empresa—Se identifican dos categorías, tal como se muestra en la figura 2.15, para el diseño de un sistema de gobierno de la empresa.10 10
Figura 2.15—Factor de diseño de tamaño de la empresa Tamaño de la empresa Empresa grande (predeterminada) Pequeñas y medianas empresas
Explicación Empresa con más de 250 empleados que trabajan a tiempo completo (FTE) Empresa con entre 50 y 250 empleados que trabajan a tiempo completo (FTE)
El impacto que los factores de diseño tienen en el diseño de la solución de gobierno se explican en el capítulo 3.
2.6.1 ¿Por qué no existe un factor de diseño del sector industrial? Cada sector industrial posee su propia serie de requisitos en cuanto a las expectativas del uso de I&T. Sin embargo, es posible captar las características principales de un sector de la industria mediante la combinación de los factores de diseño que se enumeraron en las tablas anteriores. Por ejemplo:
El sector financiero puede caracterizarse como sigue: TI es un sector altamente regulado, TI juega un rol estratégico, está compuesto por lo general de grandes empresas y opera en un escenario de grandes amenazas
Los proveedores de servicios de salud (p. ej. hospitales) suelen inclinarse por una combinación de servicio al cliente/estabilidad y estrategia de innovación, están altamente regulados y son objeto de una serie de áreas de riesgo específicas (salud, seguridad, privacidad, continuidad, etc.), operan en un escenario de amenazas moderado (aunque creciente) y dependen estratégicamente cada vez más de TI.
Las organizaciones sin ánimo de lucro son, por lo general, más pequeñas y están menos reguladas, se centran en los costes y no son pioneros a la hora de innovar en cuanto a adopción de tecnología.
Las agencias del sector público suelen ser organizaciones grandes, con estrategias de servicio al cliente y liderazgo en costes. Tienen perfiles de riesgo de moderado a alto y están altamente reguladas debido a su propia naturaleza. El rol de TI puede variar, desde el soporte en agencias conservadoras, a estratégico cuando se trata de iniciativas gubernamentales digitales (e-government). Los modelos de abastecimiento de proveedores usan cada vez más servicios externalizados, mientras que suelen seguir la corriente en adopción de tecnología.
10
10 En esta publicación no se han considerado las microempresas, es decir, empresas con menos de 50 empleados.
28 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 3 IMPACTO DE LOS FACTORES DE DISEÑO Capítulo 3 Impacto de factores de diseño 3.1 Impacto de los factores de diseño Los factores de diseño influyen de modo distinto en la personalización del sistema de gobierno de una empresa. Esta publicación distingue tres tipos distintos de impacto, ilustrados en la figura 3.1. Figura 3.1—Impacto de los factores de diseño en un sistema de gobierno
1. Gestión de prioridad/selección del objetivo—El modelo Core COBIT incluye 40 objetivos de gobierno y gestión; cada uno consiste en un proceso y una serie de componentes relacionados. Estos son intrínsecamente equivalentes; no hay ningún orden de prioridad natural entre ellos. Sin embargo, los factores de diseño pueden influir en esta equivalencia y hacer que algunos objetivos de gobierno y gestión sean más importantes que otros, a veces hasta el extremo de que algunos objetivos de gobierno y gestión pasen a ser insignificantes. En la práctica, esta mayor importancia se traduce en el establecimiento de unos niveles de capacidad objetivos más altos para objetivos de gobierno y gestión importantes. Ejemplo: Cuando una empresa identifica la(s) meta(s) más relevante(s) de la lista de metas empresariales y aplica la cascada de metas, esto llevará a una selección de objetivos de gestión prioritarios. Por ejemplo, cuando EG01 Portafolio de productos y servicios competitivos se califica como muy alto por una empresa, hará que el objetivo de gestión APO05 Gestionar el portafolio sea una parte importante de este sistema de gobierno de la empresa.
29 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Ejemplo: Una empresa que es muy adversa al riesgo dará más prioridad a los objetivos de gestión que aspiren a gobernar y gestionar el riesgo y la seguridad. Los objetivos de gobierno y gestión del EDM03 Garantizar la optimización del riesgo, APO12 Gestionar riesgos, APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de seguridad se convertirán en una parte importante de ese sistema de gobierno de la empresa y tendrán unos niveles de capacidad objetivos más altos definidos para ellos. Ejemplo: Una empresa que opera en un escenario de grandes amenazas requerirá un alto nivel de capacidad de los procesos relacionados con la seguridad: APO13 Gestionar la seguridad y DSS05 Gestionar los servicios de seguridad. Ejemplo: Una empresa en la que el rol de TI es estratégico y crucial para el éxito del negocio requerirá una alta participación de los roles relacionados con TI en las estructuras organizativas, un conocimiento profundo del negocio por parte de los profesionales de TI (y viceversa) y un foco en procesos estratégicos como en APO02 Gestionar la estrategia y APO08 Gestionar las relaciones. 2. Variación de componentes: Los componentes deben alcanzar los objetivos de gobierno y gestión. Algunos factores de diseño pueden obligar a variaciones específicas de los componentes o pueden influir en la importancia de los componentes. Ejemplo: Las pequeñas y medianas empresas podrían no necesitar un conjunto completo de roles y estructuras organizativas, como se presenta en el modelo Core COBIT, pero podrían usar un conjunto reducido. Este conjunto reducido de objetivos de gobierno y gestión y los componentes incluidos se define en el área prioritaria de pequeñas y medianas empresas.11 1
Ejemplo: Una empresa que opera en un entorno altamente regulado podría atribuir mayor importancia a productos de trabajo y políticas y procedimientos documentados y algunos roles, como la función de director de cumplimiento.
Ejemplo: Una empresa que usa DevOps en el desarrollo y operación de soluciones requerirá actividades específicas, estructuras organizativas, cultura, etc., centradas en BAI03 Gestionar la identificación y construcción de soluciones y DSS01 Gestionar las operaciones. 3. Necesidad de directrices para áreas prioritarias específicas: algunos factores de diseño, como el escenario de amenazas, riesgo específico, métodos de desarrollo a cumplir y configuración de la infraestructura, impulsará la necesidad para variar el contenido del modelo Core de COBIT para un contexto determinado. Ejemplo: Las empresas que adoptan un enfoque DevOps requieren un sistema de gobierno con una variante de diversos procesos de COBIT genéricos, descritos en la guía del área prioritaria de DevOps12 para COBIT. 2
Ejemplo: Las pequeñas y medianas empresas tienen menos personal, menos recursos de TI y líneas de mando jerárquicas más cortas y directas, además difieren en muchos aspectos de las empresas grandes. Por ese motivo, su sistema de gobierno para I&T tendrá que ser menos oneroso, comparado con las grandes empresas. Esto se describe en la guía del área prioritaria de PYMES de COBIT.13 3
1 11 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún. 12 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado. 3 13 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
30 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO Capítulo 4 Diseño de un sistema de gobierno personalizado 4.1 Introducción La figura 4.1 ilustra el flujo propuesto para el diseño de un sistema de gobierno personalizado. Cada paso se comenta con más detalle en los subsecciones siguientes. Figura 4.1—Flujo de trabajo del diseño del sistema de gobierno
1. Entender el contexto y estrategia de la empresa.
• 1.1 Entender la estrategia empresarial. • 1.2 Entender las metas empresariales. • 1.3 Comprender el perfil de riesgo. • 1.4 Entender los problemas actuales relacionados con I&T.
2. Determinar el alcance inicial del sistema de gobierno.
• 2.1 Considerar la estrategia empresarial. • 2.2 Considerar las metas empresariales y aplicar la cascada de metas de COBIT. • 2.3 Considerar el perfil de riesgo de la empresa. • 2.4 Considerar los problemas actuales relacionados con I&T.
3. Perfeccionar el alcance del sistema de gobierno.
4. Finalizar el diseño del sistema de gobierno.
• 3.1 Considerar el escenario • 4.1 Resolver conflictos de prioridades de amenazas. inherentes. • 3.2 Considerar los • 4.2 Finalizar el diseño requerimientos de del sistema de cumplimiento. gobierno. • 3.3 Considerar el rol de TI. • 3.4 Considerar el modelo de abastecimiento. • 3.5 Considerar los métodos de implementación de TI. • 3.6 Considerar la estrategia de adopción de TI. • 3.7 Considerar el tamaño de la empresa.
Las distintas etapas y pasos del proceso de diseño, como se ilustran en la figura 4.1, resultarán en recomendaciones para priorizar los objetivos de gobierno y gestión o componentes del sistema de gobierno relacionados con estos, para alcanzar niveles de capacidad, o para adoptar variantes específicas de un componente del sistema de gobierno. Algunos de estos pasos o subpasos podría derivar en recomendaciones contradictorias, lo cual es inevitable cuando se consideran un gran número de factores de diseño, la naturaleza genérica en su conjunto de la guía de factores de diseño y las tablas de asignación utilizadas. Se sugiere poner todas las recomendaciones obtenidas durante los distintos pasos en un Canvas de diseño y, en la última etapa del proceso de diseño, resolver (hasta donde sea posible) los conflictos entre los elementos del Canvas de diseño y acabar el diseño. No hay una fórmula mágica. El diseño final será una decisión que variará según el caso y dependerá de todos los elementos del Canvas de diseño. Si siguen estos pasos, las empresas lograrán un sistema de gobierno adaptado a sus necesidades.
31 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Nota 1:: Antes de iniciar el flujo de trabajo del diseño de un sistema de gobierno, es importante articular la unidad de análisis. Por ejemplo, ¿es la intención diseñar un sistema de gobierno para una unidad de negocio, una empresa en su conjunto, una red de empresas, etc.?14 1
Nota 2: El flujo de trabajo que se presenta en esta publicación contiene cuatro pasos. Los subpasos dentro de cada uno de los pasos no son obligatorios. Por ejemplo, una empresa puede decidir diseñar un sistema de gobierno para abordar una elección estratégica específica (únicamente) o para abordar determinadas áreas de riesgo de TI (únicamente), sin tener que seguir paso a paso toda la secuencia detallada del flujo de trabajo.
4.2 Paso 1: Entender el contexto y estrategia de la empresa En el primer paso, la empresa examina su contexto, estrategia y entorno de negocio para lograr un mayor conocimiento de cuatro dominios parcialmente superpuestos, interdependientes y, a menudo, complementarios. Las siguientes subsecciones describen los subpasos críticos del paso 1:
Estrategia empresarial
Metas empresariales y metas de alineamiento derivadas
Perfil de riesgo de I&T
Problemas actuales relacionados con I&T
4.2.1 Entender la estrategia empresarial La empresa debe decidir cuáles de las estrategias empresariales prototipo encajan mejor en su propia estrategia empresarial. Las estrategias empresariales prototipo se definen en la sección 2.6, apartado 1 (ver la figura 2.5). El mecanismo que traslada la estrategia de la empresa a una valoración relativa de la importancia de los objetivos de gobierno y gestión funciona mejor cuando se eligen opciones claras para los prototipos estratégicos empresariales. Generalmente, es mejor identificar un prototipo principal y seleccionar solo un prototipo secundario. Cuando se define una estrategia empresarial como una mezcla de prototipos estratégicos igualmente importante, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea difícil.
4.2.2 Entender las metas empresariales La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT define una serie de 13 metas empresariales genéricas; cada empresa puede/debería priorizar las metas de su empresa alineadas con la estrategia empresarial elegida. La lista de metas empresariales se define en la sección 2.6, apartado 2 (ver la figura 2.6). Para trasladar las metas empresariales a la valoración relativa de la importancia de los objetivos de gobierno y gestión (ver la cascada de metas, sección 4.3.3), se deberían tomar decisiones claras a la hora de seleccionar las metas empresariales. Se recomienda identificar solo unas pocas metas empresariales primarias y un número limitado de metas empresariales secundarias. Cuando a todas las metas empresariales se asignan prioridades igualmente importantes, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea difícil.
1
14
Entender este alcance está completamente en línea con el diseño del sistema pensando en la recursividad, que se refiere al hecho de que «cualquier sistema de gobierno de TI empresarial viable incluye y es contenido en un sistema de gobierno de TI empresarial viable»; ver Huygh, T.; S. De Haes; “Using the Viable System Model to Study IT Governance Dynamics: Evidence from a Single Case Study”, Actas de la Conferencia 51 Internacional de Hawái sobre Ciencias de Sistemas, 2018.
32 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO 4.2.3 Entender el perfil de riesgo Otra aportación importante al diseño de un sistema de gobierno es entender el perfil de riesgo de la empresa; es decir, entender qué escenarios de riesgo podrían afectar a la empresa y cómo evaluar su impacto y probabilidad de materialización. Para lograr este conocimiento debería realizarse un análisis de riesgos de alto nivel que incluya:
La identificación de escenarios de riesgo relevantes (que podría basarse en la lista de categorías de escenarios de riesgo definida en la sección 2.6, apartado 3; ver la figura 2.7)
Evaluación del impacto y probabilidad de que se materialice el escenario, considerando el estado actual de los controles de mitigación de riesgos
Valoración íntegra del riesgo basada en entradas precedentes
Para ser más eficaz a la hora de decidir el perfil de riesgo adecuado para los propósitos de diseño de gobierno, se debe hacer una diferenciación clara a la hora de evaluar el riesgo de I&T. Cuando todo el riesgo de TI se valora como igualmente importante, los objetivos de gobierno y gestión del modelo de referencia de COBIT tienden a convertirse en algo más o menos igual de importante, por lo que la priorización será difícil.
4.2.4 Entender los problemas actuales relacionados con I&T Los problemas relacionados con I&T (también denominados puntos de dolor) que sufre la empresa están estrechamente relacionados con el riesgo de TI. (Estos problemas podrían considerarse riesgos que se han materializado). Los problemas de TI pueden identificarse o reportarse a través de la gestión de riesgos, la auditoría, la alta dirección o las partes interesadas externas. Una lista de problemas comunes se define en la sección 2.5, apartado 4 (ver la figura 2.8). Debe realizarse una clara diferenciación en la clasificación de problemas de I&T para poder proporcionar los aportes necesarios para determinar las prioridades del diseño de gobierno. Cuando todos los problemas de TI se clasifican como igual de graves, los objetivos de gobierno y gestión del modelo Core de COBIT tienden a convertirse en algo más o menos igual de importante, haciendo que la priorización sea difícil.
4.2.5 Conclusión Al final del paso 1, la empresa tendrá una visión clara y consistente de la estrategia empresarial, las metas empresariales, el riesgo de TI y los problemas actuales de I&T. En el paso siguiente (sección 4.3), esta información se traducirá en objetivos de gobierno y gestión priorizados para un alcance inicial de un sistema de gobierno personalizado para la empresa.
4.3 Paso 2: Determinar el alcance inicial del sistema de gobierno Para determinar el alcance inicial del sistema de gobierno, el paso 2 resume la información recopilada durante el paso 1. Los valores derivados para la estrategia empresarial, las metas empresariales, el perfil de riesgo y los problemas relacionados con I&T se traducen en una serie de componentes de gobierno priorizados para producir el sistema inicial de gobierno personalizado para la empresa.
33 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 4.3.1 Trasladar los factores de diseño a prioridades de gobierno y gestión El paso 2 presenta una serie de factores de diseño relevantes y valores descriptivos asociados, cuya selección llevará a la priorización de objetivos de gobierno y gestión. Hay dos opciones básicas para esta evaluación: un enfoque cualitativo y un enfoque más cuantitativo. El enfoque cualitativo considera los objetivos de gobierno y gestión más relevantes para los valores de cada factor de diseño. Después del diseño inicial y los pasos de perfeccionamiento del diseño (para este último, ver la sección 4.4), se toma una decisión cualitativa sobre las prioridades de los objetivos de gobierno y gestión. El enfoque más cuantitativo implica tablas numéricas de asignación creadas para cada factor de diseño. Las tablas de asignación cuantifican los valores descriptivos asociados con cada factor de diseño para indicar su correlación con los objetivos de gobierno y gestión.
Las tablas de asignación de COBIT® 2019 suelen contener valores entre cero (0) y cuatro (4). Cuatro indica la máxima relevancia de un objetivo de gobierno o gestión con ese valor del factor de diseño determinado; cero indica que no es relevante.
Trasladar los valores del factor de diseño a la importancia de un objetivo de gobierno y gestión implica el cálculo de matrices que se deriva en una puntuación para cada objetivo de gobierno y gestión.
Según el método actual preferido, estas puntuaciones pueden manipularse más para su presentación (p. ej., normalizarse con determinadas escalas fijas).
Al final de los pasos 2 y 3, los resultados de varios de estos cálculos deben consolidarse. De nuevo, no hay ningún método objetivamente necesario y fijo para su consolidación; sin embargo, se suele conseguir mejor si se usa una suma.
El capítulo 7 de esta publicación incluye ejemplos del enfoque cuantitativo. Todos los ejemplos se refieren a un kit de herramientas Excel® que está disponible en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx y acompaña a esta Guía de diseño COBIT® 2019.
4.3.2 Considerar la estrategia empresarial (Factor de diseño 1) La figura 4.2 enumera para cada prototipo de estrategia empresarial, los objetivos de gobierno y gestión más importantes, componentes de gobierno importantes y directrices del área prioritaria relevantes. Cuando la estrategia empresarial se define como una estrategia híbrida, los objetivos de gobierno y gestión importantes reflejarán una combinación de elementos.
Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de estrategia empresarial Valor del factor de diseño Crecimiento/ adquisición
15
Prioridad de los objetivos de Variantes del Area Componentes gobierno y gestión Prioritaria Objetivos de gestión Componentes importantes: Modelo Core de COBIT importantes15 se incluyen: Estructuras organizativas APO02, APO03, APO05 Respaldar el rol de gestión del BAI01, BAI05, BAI11 portafolio con una oficina de inversión Arquitecto empresarial Servicios, infraestructura y aplicaciones Facilitar la automatización y el crecimiento y lograr economías de escala 2
«Importantes» corresponde a un valor de 3 o más en la asignación de la tabla de este factor de diseño a los objetivos de gobierno y gestión
34 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO Figura 4.2—Prioridad de los objetivos de gobierno y gestión asignados a un factor de diseño de estrategia empresarial (cont.) Valor del factor de Prioridad de los objetivos de Componentes diseño gobierno y gestión Innovación/Diferenciac Los objetivos de gestión Componentes importantes: ión importantes incluyen: Estructuras organizativas APO02, APO04, APO05 Director de tecnologías digitales y/o BAI08, BAI11 director de innovación Influencia importante del componente de la cultura y del comportamiento en la innovación
Variantes del Area Prioritaria Modelo Core de COBIT
Liderazgo en costes
Entre los objetivos de gobierno y gestión importantes se incluyen: EDM04 APO06, APO10
Modelo Core de COBIT
Servicio al cliente/estabilidad
Entre los objetivos de gobierno y gestión importantes se incluyen: EDM02 APO08, APO09, APO11 BAI04 DSS02, DSS03, DSS04
Componentes importantes: Habilidades y competencias Enfocado en habilidades presupuestarias y de costes de TI Influencia importante del componente de la cultura y del comportamiento Componente de servicios, infraestructura y aplicaciones (p. ej. para la automatización de controles, mejora de la eficiencia) Componente importante: Influencia importante del componente de la cultura y del comportamiento (centrado en el cliente)
Modelo Core de COBIT
4.3.3 Considerar las metas empresariales y aplicar la cascada de metas de COBIT (Factor de diseño 2) La estrategia empresarial se logra mediante la consecución de (una serie de) metas empresariales. COBIT® 2019 define 13 metas empresariales genéricas (ver sección 2.6, apartado 2 y figura 4.3); cada empresa debería priorizar estas metas empresariales en consonancia con la estrategia empresarial. Para trasladar las metas empresariales a objetivos de gobierno y gestión factibles: 1. Empezar con las metas empresariales genéricas y determinar las metas empresariales más importantes para la organización. Seleccionar de tres a cinco metas empresariales más importantes; demasiadas metas de alta prioridad producirían unos resultados menos significativos en la cascada de metas. 2. Encontrar las metas empresariales priorizadas en la tabla de asignación entre las metas empresariales y las metas de alineamiento (Apéndice B). Usar la asignación para determinar las metas de alineamiento más importantes. 3. Encontrar las metas de alineamiento priorizadas en la tabla de asignación entre las metas de alineamiento y los objetivos de gobierno y gestión (Apéndice C). Usar la asignación para determinar los objetivos de gobierno y gestión más importantes. Este subpaso identifica una serie de objetivos de gobierno y gestión que tienen una mayor importancia para la empresa, basados en las metas empresariales priorizadas. Nota: Esta técnica es puramente mecánica, usando tablas de asignación de naturaleza genérica. La empresa debe interpretar los resultados con precaución, o adaptar las tablas de asignación con base en su propia experiencia y contexto. En el flujo de trabajo descrito en esta guía, este ajuste se realiza en el paso 4 Finalizar el diseño del sistema de gobierno.
35 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Ejemplos de aplicación de la cascada de metas se incluyen en el Kit de herramientas que acompaña a esta Guía de diseño COBIT® 2019.16 3
4.3.4 Considerar el perfil de riesgo de la empresa (Factor de diseño 3) En el paso 1 (ver la sección 4.2.3 Entender el perfil de riesgo), la empresa realizó un análisis de riesgo de alto nivel para identificar las categorías de riesgo que superaban el apetito de riesgo de la empresa. A continuación, los resultados del análisis de riesgo se traducen en prioridades para los objetivos de gobierno y gestión. La respuesta más común al riesgo que se usa en la gestión del riesgo es la mitigación del riesgo, lo que requiere la implementación de una serie de controles (en lenguaje de riesgo), o (en el lenguaje de COBIT) objetivos de gobierno y gestión que deben lograrse. El apéndice D contiene una correlación entre las 19 categorías de riesgo de TI en COBIT® 2019 y los objetivos de gobierno y gestión, expresando hasta qué punto cada uno de los objetivos de gobierno y gestión puede considerarse como un control para cada escenario de riesgo. La tabla de asignación del apéndice D relaciona el perfil de riesgo de la empresa con los objetivos de gobierno y gestión y sus prioridades, utilizando la misma técnica y método de valoración descrita anteriormente. Ejemplo: El apéndice D ilustra que si la categoría 1 del escenario de riesgo de TI (RISKCAT01) Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio es una preocupación, entonces los objetivos de gobierno y gestión siguientes serán importantes: EDM01, EDM02, EDM04, EDM05
APO05
4.3.5 Considerar los problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) En el paso 1 (ver la sección 4.2.4 Entender los problemas actuales relacionados con I&T), la empresa realizó un diagnóstico a alto nivel de los problemas relacionados con I&T que experimenta. A continuación, los resultados de dicho diagnóstico se traducen en prioridades para los objetivos de gobierno y gestión. El apéndice E incluye una tabla de asignación entre los problemas de I&T y los objetivos de gobierno y gestión de COBIT® 2019. Como muestra el apéndice E, cada problema relacionado con la I&T está asociado a uno o más objetivos de gobierno o gestión que pueden influir en el problema relacionado con la I&T. Pueden usarse las mismas técnicas y mecanismos de valoración descritos anteriormente. Ejemplo: Cuando el problema relacionado con I&T, «Cambios o proyectos facilitados por TI que con frecuencia no satisfacen las necesidades del negocio y que se entregan tarde o por encima del presupuesto», preocupa, son importantes los siguientes objetivos de gobierno y gestión:
APO03
BAI01, BAI02, BAI03, BAI05, BAI11
4.3.6 Conclusión Al final del paso 2, todos los elementos están disponibles para definir el alcance inicial de un sistema de gobierno personalizado:
Los objetivos de gobierno y gestión priorizados indican en qué objetivos de gobierno y gestión se debería enfocar.
Puede que también se incluyan directrices sobre componentes de gobierno específicos en el diseño inicial.
3 16 El kit de herramientas que acompaña a esta guía puede descargarse en www.isaca.org/COBIT/Pages/COBIT-2019-Design-Guide.aspx.
36 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO La empresa puede elegir elaborar el diseño inicial actual y resolver todas las diferencias entre los distintos aportes, o puede esperar hasta el paso 4 del flujo de trabajo y combinar los distintos aportes con los refinamientos del alcance identificados en el paso 3.
4.4 Paso 3: Perfeccionar el alcance del sistema de gobierno El paso 3 identifica los refinamientos / perfeccionamientos del alcance inicial del sistema de gobierno con base en el conjunto de factores de diseño restantes, conforme se define en la sección 2.6. A lo largo de este capítulo, no todos los factores de diseño podrían aplicarse a cada empresa. Aquellos factores no aplicables pueden ignorarse. En este paso, el diseñador del sistema de gobierno: 1. Explicará cada factor de diseño (DF) de DF5 Escenario de amenazas a DF11 Tamaño de la empresa. 2. Determinará si cada factor de diseño puede aplicarse o no. 3. Para los factores de diseño aplicables, determinará cuál de los posibles valores (o qué combinación de valores posibles) es más aplicable a la empresa. Descripciones de referencia de los valores de factores de diseño aplicables, junto con las tablas de asignación de los apéndices F a K, para determinar qué refinamientos del sistema de gobierno están asociadas a estos valores. El resultado de cada consideración de un factor de diseño es una lista clasificada de objetivos de gobierno y gestión, similar al resultado obtenido en el paso 2. Con las tablas de asignación de los apéndices F a K, se pueden usar las mismas técnicas y escalas, como se describió anteriormente.
4.4.1 Considerar el escenario de amenazas (Factor de diseño 5) Cuando se considera este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.3.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4. Figura 4.3—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de escenario de amenazas
Valor del Prioridad de los objetivos de factor de gobierno y gestión diseño Alto Entre los objetivos de gobierno y gestión importantes se incluyen: EDM01, EDM03 APO01, APO03, APO10, APO12, APO13, APO14 BAI06, BAI10 DSS02, DSS04, DSS05, DSS06 MEA01, MEA03, MEA04
Normal
4
17
Según la definición de alcance inicial
Componentes
Variantes del Area Prioritaria
Entre las estructuras organizativas importantes Área prioritaria de se encuentran: seguridad de la Comité de estrategia de seguridad información17 Director de seguridad de la información Entre los aspectos de cultura y comportamiento importantes se encuentran: Concienciación sobre seguridad Los flujos de información incluyen: Política de seguridad Estrategia de seguridad 4
N/A
Modelo Core de COBIT
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
37 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 4.4.2 Considerar los requisitos de cumplimiento (Factor de diseño 6) A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.4.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4. Figura 4.4—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de requisitos de cumplimiento
Valor del Prioridad de los objetivos de factor de gobierno y gestión diseño Alto Entre los objetivos de gobierno y gestión importantes se incluyen: EDM01, EDM03 APO12 MEA03, MEA04 Normal Según la definición de alcance inicial Baja Según la definición de alcance inicial
Componentes Importancia de la función de cumplimiento: Gran relevancia de documentación (elementos de información) y políticas y procedimientos
Variantes del Area Prioritaria Modelo Core de COBIT
N/A
Modelo Core de COBIT
N/A
Modelo Core de COBIT
4.4.3 Considerar el rol de TI (Factor de diseño 7) A la hora de considerar este factor de diseño deben realizarse los pasos siguientes:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.5.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4. Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de TI Valor del factor de diseño
Prioridad de los objetivos de gobierno y gestión
Componentes
Variantes del Area Prioritaria
Soporte
Según la definición de alcance inicial
N/A
Modelo Core de COBIT
Fábrica
Entre los objetivos de gobierno y gestión importantes se incluyen: EDM03 DSS01, DSS02, DSS03, DSS04
N/A
Área prioritaria de seguridad de la información185
Cambio
Entre los objetivos de gobierno y gestión importantes se incluyen: APO02, APO04 BAI02, BAI03
N/A
Área prioritaria de DevOPs196
5
6
18 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado. 19 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
38 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO Figura 4.5—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de rol de TI Valor del factor de diseño
Prioridad de los objetivos de gobierno y gestión
Estratégico Entre los objetivos de gobierno y gestión importantes se incluyen: EDM01, EDM02, EDM03 APO02, APO04, APO05, APO12, APO13 BAI02, BAI03 DSS01, DSS02, DSS03, DSS04, DSS05
Componentes
Variantes del Area Prioritaria
Los componentes bimodales típicos incluyen: Área prioritaria de Estructuras organizativas transformación digital207 Director de tecnologías digitales Habilidades y competencias Personal que puede trabajar en un entorno ambidiestro que combina tanto la exploración como la explotación Procesos Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades de transformación digitales
4.4.4 Considerar el modelo de abastecimiento de proveedores para TI (Factor de diseño 8) A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.6.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4. Figura 4.6—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de modelo de abastecimiento de proveedores para TI Valor del factor de diseño
Prioridad de los objetivos de gobierno y gestión
Componentes
Externalizaci Entre los objetivos de gestión importantes N/A ón se incluyen: (outsourcing) APO09, APO10 MEA01
Variantes del Area Prioritaria Área prioritaria de gestión de proveedores218
Nube
Entre los objetivos de gestión importantes N/A se incluyen: APO09, APO10 MEA01
Área prioritaria de la nube229
Personal interno (Insourced)
Según la definición de alcance inicial
Modelo Core de COBIT
Híbrido
N/A
Combinación de directrices para las tres opciones específicas
4.4.5 Considerar métodos de implementación de TI (Factor de diseño 9) A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.7.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
7
8
9
20 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura. 21 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura. 22 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y tecnología, el área prioritaria de la nube se estaba considerando como una posible área prioritaria futura.
39 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 4.7—Prioridad de los objetivos de gobierno y gestión asignados al factor de diseño de métodos de implementación de TI Valor del Prioridad de los objetivos de Componentes factor de gobierno y gestión diseño Agile Entre los objetivos de gestión Roles importantes y específicos conforme se importantes se incluyen: identifican en las directrices del área BAI02, BAI03, BAI06 prioritaria de Agile DevOps Entre los objetivos de gestión Roles importantes y específicos conforme se importantes se incluyen: identifican en las directrices del área BAI03 prioritaria de DevOPs Tradicional Según la definición de alcance N/A inicial Híbrido Combinación de directrices para las tres opciones específicas
Variantes del Area Prioritaria Área prioritaria de Agile23 10
Área prioritaria de DevOPs24 11
Modelo Core de COBIT
4.4.6 Considerar la estrategia de adopción de tecnología (Factor de diseño 10) A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.8.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4. Figura 4.8—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de estrategia de adopción de tecnología
Valor del factor de diseño Primero en reaccionar (First mover)
Seguidor (Follower)
Adoptadores lentos (Slow adopter)
Prioridad de los objetivos de gobierno y gestión Entre los objetivos de gobierno y gestión importantes se incluyen: EDM01, EDM02 APO02, APO04, APO05, APO08 BAI01, BAI02, BAI03, BAI05, BAI07, BAI11 MEA01 Entre los objetivos de gobierno y gestión importantes se incluyen: APO02, APO04 BAI01 Según la definición de alcance inicial
Componentes
N/A
Variantes del Area Prioritaria Área prioritaria de DevOPs Área prioritaria de transformación digital25 12
N/A
Modelo Core de COBIT
N/A
Modelo Core de COBIT
4.4.7 Considerar el tamaño de la empresa (Factor de diseño 11) A la hora de considerar este factor de diseño deben realizarse los siguientes pasos:
Decidir qué combinación de valores encaja mejor en la situación actual de la empresa, conforme a las entradas definidas en la figura 4.9.
Considerar las directrices enumeradas para los objetivos, componentes y áreas prioritarias de gobierno y gestión e incluir la información pertinente en el canvas de diseño para la resolución y conclusión en el paso 4.
23 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el área prioritaria de Agile se estaba considerando como una posible área prioritaria futura. 11
12
24 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado. 25 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
40 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
Figura 4.9—Prioridad de los objetivos de gestión y gobierno asignada al factor de diseño de tamaño de la empresa Valor del factor de diseño
Prioridad de los objetivos de gobierno y gestión
Grande
Pequeña/mediana
Variantes del Area Prioritaria
Componentes
Según la definición de alcance inicial Según la definición de alcance inicial
N/A
Como corresponda a la descripción del área prioritaria de PyMEs
Modelo Core de COBIT Área prioritaria de PyMEs26 13
Ejemplo: si la empresa es una PyME (p. ej., tiene 250 empleados a tiempo completo o menos), debería usar las directrices contenidas en el área prioritaria de PyMEs para el diseño de su sistema de gobierno.
4.4.8 Conclusión Al final del paso 3, la empresa habrá identificado una serie de posibles refinamientos para el sistema de gobierno inicial y los habrá colocado en el canvas para su consolidación durante el paso 4 del flujo de trabajo del diseño. Los siguientes refinamientos se suelen expresar de forma similar al resultado del paso 2: objetivos de gobierno y gestión priorizados, componentes importantes para el sistema de gobierno y directrices del área prioritaria específica.
4.5 Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno Como último paso del proceso de diseño, el paso 4 reúne todas las entradas de los pasos anteriores para finalizar el diseño del sistema de gobierno, como se muestra en la figura 4.10. El sistema de gobierno resultante debe reflejar una cuidadosa consideración de todas las entradas; entender que estas entradas podrían en ocasiones presentar conflicto. Figura 4.10—Paso 4 del diseño del sistema de gobierno—Conclusión
Paso 1: Entender el contexto y la estrategia de la empresa
Paso 2: Determinar el alcance inicial del sistema de gobierno
Paso 3: Perfeccionar el alcance del sistema de gobierno
Perfeccionamiento del alcance
Alcance inicial EDM01—Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM02—Asegurar la realización de beneficios
EDM03—Asegurar la optimización del riesgo
EDM04—Asegurar la optimización de los recursos
APO01—Gestionar el marco de gestión de TI
APO02—Gestionar la estrategia
APO03—Gestionar la arquitectura de la empresa
APO04—Gestionar la innovación
APO05—Gestionar la cartera
APO06—Gestionar el presupuesto y los costes
APO07—Gestionar los recursos humanos
APO08—Gestionar las relaciones
APO09—Gestionar los acuerdos de servicio
APO010—Gestionar los proveedores
APO011—Gestionar la calidad
APO012—Gestionar el riesgo
APO013—Gestionar la seguridad
APO013—Gestionar los datos
BAI01—Gestionar los programas
BAI02—Gestionar la definición de requisitos
BAI03—Gestionar la identificación y creación de soluciones
BAI04—Gestionar la disponibilidad y capacidad
BAI08—Gestionar el conocimiento
BAI09—Gestionar los activos
BAI10—Gestionar la configuración
BAI11—Gestionar los proyectos
DSS01—Gestionar las operaciones
DSS02—Gestionar las solicitudes e incidentes de servicio
DSS03—Gestionar los problemas
DSS04—Gestionar la continuidad
BAI05—Gestionar los cambios organizativos
BAI06—Gestionar los cambios de TI
EDM01—Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM05—Asegurar la transparencia de las partes interesadas
BAI07—Gestionar la aceptación y la transición de los cambios de TI
MEA01—Gestionar la supervisión del cumplimiento y rendimiento
MEA02—Gestionar el sistema de control interno
MEA03—Gestionar el cumplimiento de los requisitos externos
DSS05—Gestionar los servicios de seguridad
DSS06—GGestiona r los controles de procesos de negocio
EDM01—Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM02—Asegurar la realización de beneficios
APO01—Gestionar el marco de gestión de TI
APO02—Gestionar la estrategia
APO03—Gestionar la arquitectura de la empresa
APO09—Gestionar los acuerdos de servicio
APO010—Gestionar los proveedores
MEA04—Gestionar el aseguramiento
BAI02—Gestionar la definición de requisitos
BAI03—Gestionar la identificación y creación de soluciones
BAI08—Gestionar el conocimiento
BAI09—Gestionar los activos
BAI10—Gestionar la configuración
DSS01—Gestionar las operaciones
DSS02—Gestionar las solicitudes e incidentes de servicio
BAI01—Gestionar los programas
APO02—Gestionar la estrategia
APO03—Gestionar la arquitectura de la empresa
APO04—Gestionar la innovación
APO09—Gestionar los acuerdos de servicio
APO010—Gestionar los proveedores
APO011—Gestionar la calidad
EDM03—Asegurar la optimización del riesgo
EDM04—Asegurar la optimización de los recursos BAI02—Gestionar la definición de BAI02—Managed requisitos Requirements
EDM04—Asegurar la optimización de los recursos
EDM03—Asegurar la optimización del riesgo
APO08—Gestionar las relaciones
BAI01—Gestionar BAI01—Managed los programas Programs
APO08—Gestionar las relaciones
EDM02—Asegurar la realización de beneficios
APO01—Gestionar el marco de gestión de TI
EDM05—Asegurar la transparencia de las partes interesadas BAI03—Gestionar BAI04—Gestionar BAI04—Managed la disponibilidad y Availability capacidad soluciones
BAI03—Manage la identificación y Solutions creación de
APO05—Gestionar la cartera
APO07—Gestionar los recursos humanos
APO012—Gestionar el riesgo
APO013—Gestionar la seguridad
APO013—Gestionar los datos
BAI05—Gestionar
BAI05—Managed los cambios Organizational organizativos
BAI08—Gestionar BAI09—Gestionar BAI10—Gestionar BAI11—Gestionar BAI10—Managed BAI08—Managed BAI09—Managed el conocimiento los activos la configuración los proyectos EDM01—Garantizar el BAI11—Managed EDM01 —Ensured APO07—Gestionar EDM02—Asegurar la Knowledge APO05—GestionarAssets APO06—Gestionar APO04—Gestionar ylos el recursos Projects EDM02 —Ensured el presupuestoestablecimiento y Governance realización de la innovación la cartera mantenimiento delhumanos los costes Framework Setting beneficios MEA01—Gestionar la marco de gobierno and Maintenance supervisión del cumplimiento y rendimiento APO011—Gestionar APO012—Gestionar APO013—Gestionar APO013—Gestionar DSS05—Gestionar la calidad el riesgoDSS02—Gestionar la seguridad los datos DSS01—Gestionar DSS03—Gestionar DSS04—Gestionar las solicitudes e los servicios de DSS02—Managed DSS05—Managed DSS01—Managed DSS03—Managed DSS04—Managed las operaciones los problemas la continuidad incidentes de seguridad Service Requests Security Operations Problems Continuity servicio and Incidents Services APO01—Gestionar APO01—Managed APO03—Gestionar APO03—Managed APO02—Gestionar APO02—Managed el marco de IT Management la arquitectura de Enterprise la estrategia Strategy gestión de TI la empresa Framework Architecture MEA02—Gestionar el sistema de control interno BAI07—Gestionar BAI04—Gestionar BAI05—Gestionar la aceptación y la BAI06—Gestionar la disponibilidad y los cambios APO09—Gestionar transición deAPO09—Managed los los cambios de TI capacidad organizativos APO08—Gestionar APO010—Gestionar APO08—Managed APO10—Managed de cambios de TIlos acuerdos Service las relaciones los proveedores Relationships Vendors servicio
Agreements
DSS03—Gestionar los problemas
EDM03—Asegurar la optimización del riesgo
BAI07—Gestionar la aceptación y la transición de los cambios de TI
MEA01—Gestionar la supervisión del cumplimiento y rendimiento
DSS05—Gestionar los servicios de seguridad
BAI02—Gestionar
BAI01—Gestionar BAI01—Managed losPrograms programas
BAI02—Managed la definición de Requirements requisitos
DSS06—GGestiona r los controles de BAI08—Gestionar procesos deBAI08—Managed elKnowledge conocimiento negocio
BAI09—Gestionar BAI09—Managed losAssets activos
DSS01—Gestionar las operaciones
BAI03—Gestionar BAI03—Manage la identificación Solutions y creación de soluciones and Build
MEA04—Gestionar el BAI10—Gestionar BAI10—Managed aseguramiento la configuración
DSS02—Gestionar las solicitudes e incidentes de servicio
DSS03—Gestionar los problemas
MEA03—Gestionar MEA03— Managedel cumplimiento Compliance Withde los EDM04—Asegurar larequisitos externos External optimización de los Requirements recursos
EDM05—Asegurar la transparencia de las partes interesadas
DSS06—GGestiona r los controles de procesos de negocio APO04—Gestionar la innovación
APO05—Gestionar la cartera
MEA04—Gestionar el aseguramiento APO06—Gestionar el presupuesto y los costes
APO07—Gestionar los recursos humanos
APO011—Gestionar la calidad
APO012—Gestionar el riesgo
APO013—Gestionar la seguridad
APO013—Gestionar los datos
BAI04—Gestionar la disponibilidad y capacidad
BAI05—Gestionar los cambios organizativos
BAI06—Gestionar los cambios de TI
BAI07—Gestionar la aceptación y la transición de los cambios de TI
EDM02—Asegurar la realización de beneficios
APO01—Gestionar el marco de gestión de TI
APO02—Gestionar la estrategia
APO08—Gestionar las relaciones
APO09—Gestionar los acuerdos de servicio
EDM03—Asegurar la optimización del riesgo
EDM04—Asegurar la optimización de los recursos
EDM05—Asegurar la transparencia de las partes interesadas
APO04—Gestionar la innovación
APO05—Gestionar la cartera
APO06—Gestionar el presupuesto y los costes
APO010—Gestionar los proveedores
APO011—Gestionar la calidad
APO012—Gestionar el riesgo
APO013—Gestionar la seguridad
APO013—Gestionar los datos
BAI05—Gestionar los cambios organizativos
BAI06—Gestionar los cambios de TI
BAI07—Gestionar la aceptación y la transición de los cambios de TI
APO03—Gestionar la arquitectura de la empresa
BAI01—Gestionar los programas
BAI02—Gestionar la definición de requisitos
BAI03—Gestionar la identificación y creación de soluciones
BAI04—Gestionar la disponibilidad y capacidad
BAI08—Gestionar el conocimiento
BAI09—Gestionar los activos
BAI10—Gestionar la configuración
BAI11—Gestionar los proyectos
DSS01—Gestionar las operaciones
DSS02—Gestionar las solicitudes e incidentes de servicio
DSS03—Gestionar los problemas
DSS04—Gestionar la continuidad
APO07—Gestionar los recursos humanos
MEA01—Gestionar la supervisión del cumplimiento y rendimiento
MEA02—Gestionar el sistema de control interno
MEA03—Gestionar el cumplimiento de los requisitos externos
DSS05—Gestionar los servicios de seguridad
DSS06—GGestionar los controles de procesos de negocio
MEA04—Gestionar el aseguramiento
MEA01—Gestionar la supervisión del cumplimiento y rendimiento
MEA02—Gestionar el sistema de control interno
Sistema de gobierno personalizado
MEA03—Gestionar el cumplimiento de los requisitos externos
BAI11—Gestionar los proyectos
DSS04—Gestionar la continuidad
Paso 4: Finalizar el diseño del sistema de gobierno
MEA02—Gestionar el sistema de control interno
MEA03—Gestionar el cumplimiento de los requisitos externos
BAI11—Gestionar los proyectos
DSS04—Gestionar la continuidad
BAI06—Gestionar los cambios de TI
EDM01—Garantizar el establecimiento y el mantenimiento del marco de gobierno
EDM05—Asegurar la transparencia de las partes interesadas
APO06—Gestionar el presupuesto y los costes
DSS05—Gestionar los servicios de seguridad
DSS06—GGestiona r los controles de procesos de negocio
MEA04—Gestionar el aseguramiento
Cuadro del sistema de gobierno
26 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
41 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 4.5.1 Resolver conflictos de prioridades inherentes El paso 4 implica la resolución de cualquier conflicto para poder finalizar el diseño. 4.5.1.1 Propósito
Se considerarán los siguientes resultados de los pasos anteriores antes de llegar a cualquier conclusión:
El diseño inicial del sistema de gobierno, se obtuvo en el paso 2, basado en la estrategia empresarial, las metas empresariales, el perfil de riesgo y los problemas relacionados con I&T. El diseño inicial puede que refleje algunas series divergentes de objetivos de gestión priorizados.
Los refinamientos obtenidos en el alcance en el paso 3 a través del análisis de los factores de diseño restantes y series de prioridades divergentes.
4.5.1.2 Estrategias de resolución
El flujo de trabajo descrito en esta guía puede aplicarse a distintas situaciones y precisa distintas estrategias para llegar a una conclusión. En resumen, la empresa debe analizar los datos y resultados después de aplicar los factores de diseño en el contexto de sus metas para implementar un programa de gobierno. Ejemplo: si la empresa tiene una iniciativa importante y continua (p. ej. una inversión importante en una aplicación de la empresa, programa de transformación digital, etc.) o quiere centrarse en un tema o asunto muy específico (p. ej., resolver un problema de seguridad importante, adoptar una estrategia de DevOPs, alinearse o cumplir con nuevas regulaciones de privacidad, etc.), no necesita aplicar todos los pasos del flujo de trabajo propuesto con todos los detalles, sino centrarse en áreas específicas de interés.
En el caso de una inversión de desarrollo importante, la empresa puede considerar su estrategia empresarial (factor de diseño 1) como una estrategia de innovación/diferenciación y decidir, por tanto, trabajar solo en los objetivos de gobierno y gestión destacados para este factor de diseño.
En caso de nuevas regulaciones de privacidad, una empresa puede centrarse en objetivos de gobierno y gestión que corresponden a requisitos de cumplimiento altos (factor de diseño 6). Estos objetivos son EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno, EDM03 Garantizar la optimización del riesgo, APO12 Gestionar los riesgos, MEA03 Gestionar el cumplimiento de los requisitos externos y MEA04 Gestionar el aseguramiento. Además, la empresa deberá centrarse en los objetivos de gobierno y gestión que surjan del análisis de requisitos de cumplimiento incluidos en MEA03.
Ejemplo: si la empresa requiere una visión amplia, holística y profunda de su sistema de gobierno, se recomienda que aplique el flujo de trabajo completo, conforme se describe en esta guía, y considere cuidadosamente todos los factores de diseño. Cuando se define el diseño de un sistema de gobierno, la empresa debe revisar sus objetivos de gobierno y gestión, y analizar su(s) nivel(es) de rendimiento actual(es) (como niveles de capacidad para procesos). La empresa entonces debe tener en cuenta los resultados de estas evaluaciones a la hora de definir la hoja de ruta hacia el sistema de gobierno objetivo, buscando primero todas las ganancias rápidas (como aquellas iniciativas que implican un esfuerzo limitado, pero que generan grandes beneficios). 4.5.1.3 Enfoque de resolución
No hay directrices aplicables de forma universal para resolver prioridades contrapuestas o contradictorias, válidas en todos los contextos empresariales. Sin embargo, algunas recomendaciones para abordar esto son:
42 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 4 DISEÑO DE UN SISTEMA DE GOBIERNO PERSONALIZADO
Incluir a todas las partes interesadas en el debate sobre el diseño del sistema de gobierno: consejo de administración y dirección ejecutiva, ejecutivos de negocio, dirección de la función de TI y director de aseguramiento y riesgos.
Considerar la naturaleza genérica de las directrices y las tablas de asignación de COBIT, que no pueden tener en cuenta todas las especificidades de cada empresa. La empresa puede y debe prepararse para desviarse de algunas de las prioridades identificadas si piensa que hay razones justificadas para dicho desvío.
De igual modo, tenga en cuenta que el contexto específico de la empresa podría requerir desviarse de las prioridades estrictamente cuantitativas para los objetivos de gobierno y gestión que se generan por computaciones genéricas, preprogramadas (p. ej., resultados de cálculos de matrices matemáticas).
4.5.2 Finalizar el diseño del sistema de gobierno 4.5.2.1 Finalizar el diseño
La finalización de la fase de diseño debe producir un diseño para el sistema de gobierno para la I&T de la empresa. Este diseño incluirá:
Objetivos de gobierno y gestión priorizados en los que:
El número de objetivos de alta prioridad se mantiene en un nivel razonable.
Los niveles de capacidad objetivo (o requisitos de rendimiento equivalentes para no procesos) se definen con niveles de capacidad objetivo más altos para los objetivos más críticos y niveles de capacidad objetivo más bajos para objetivos menos críticos.
Varios niveles de capacidad objetivo para los procesos (u objetivos de rendimiento equivalentes para otros componentes). Cuando se definen esos objetivos, no se recomienda aspirar a la calificación más alta, porque:
Para algunos procesos u otros componentes no es posible o no se define una capacidad de nivel cinco (5).
Casi nunca es rentable ni justificable operar un sistema de gobierno con este alto nivel de capacidad en todos los objetivos.
A muchas organizaciones les parecerá casi imposible implementar la hoja de ruta de un sistema de gobierno con un nivel de capacidad alto dentro de cualquier tipo de plazo razonable.
Un componente de gobierno que requiera una atención específica debido a un problema o circunstancia determinada (p. ej. si la privacidad es una preocupación primordial para una empresa, las políticas y procedimientos de privacidad podrían requerir una atención especial)
Las directrices del área prioritaria que complementan las directrices del Core de COBIT (cuando están disponibles, son necesarias y son adecuadas)
Ejemplos de un diseño como este se incluyen en el capítulo 7. 4.5.2.2 Sostener el sistema de gobierno
El resultado del último paso en el flujo de trabajo del diseño de gobierno es un sistema de gobierno bien diseñado. Sin embargo, un sistema de gobierno es inherentemente dinámico. Las estrategias pueden cambiar, se lanzan programas de inversión importantes, los escenarios de amenazas cambian, las tecnologías cambian, etc. Esto significa que el sistema de gobierno debe ser revisado periódicamente y que deben efectuarse cambios en el sistema siempre que sea necesario. Esta naturaleza dinámica de cualquier sistema de gobierno también conecta con la Guía de implementación de COBIT® 2019, que señala un ciclo de mejora continua (ver también el capítulo 5 de esta publicación).
43 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
44 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 5 CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT® 2019 Capítulo 5 Conectando con la Guía de implementación COBIT ® 2019 5.1 Propósito de la Guía de implementación COBIT® 2019 La Guía de implementación COBIT® 2019 destaca una visión de gobierno de I&T que abarca toda la empresa, reconociendo que la I&T está en todas las áreas de las empresas y que no es ni posible ni es una buena práctica separar las actividades empresariales de las de TI. El gobierno y gestión de I&T de la empresa debe, por tanto, implementarse como una parte integral del gobierno de la empresa y debe cubrir todas las áreas del negocio y las áreas funcionales de responsabilidad de TI. Cuando las implementaciones del sistema de gobierno fallan, una de las razones habituales es que no se inician ni se gestionan apropiadamente como programas para asegurar que se obtengan beneficios. Los programas de gobierno deben estar patrocinados por la dirección ejecutiva y deben tener un alcance apropiado, y siempre deberían definir objetivos que sean alcanzables. Estas provisiones permiten a la empresa asimilar el ritmo del cambio según lo previsto. La gestión de programas se aborda, por tanto, como una parte íntegra del ciclo de vida de la implementación. Si bien se recomienda un enfoque de programa y proyecto para impulsar las iniciativas de mejora de una manera más efectiva, el objetivo general es establecer una práctica normal de negocio y un enfoque sostenible para gobernar y gestionar la I&T empresarial (como cualquier otro aspecto del gobierno de la empresa). Por este motivo, el método de implementación se basa en empoderar a las partes interesadas de la empresa y de TI para que se apropien de las decisiones y actividades de gobierno y gestión relacionados con I&T facilitando y permitiendo el cambio. El programa de implementación se cierra cuando el proceso para centrarse en las prioridades relacionadas con TI y la mejora del gobierno generan un beneficio medible, y cuando los resultados del programa se han integrado en la actividad empresarial continua. Puede encontrar más información sobre estas materias en la Guía de implementación de COBIT® 2019.
5.2 Método de Implementación de COBIT El método de implementación de COBIT se resume en la figura 5.1.
45 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 5.1—Hoja de ruta de implementación COBIT
fi n e sta ir et lo s d o ivo s
?
ru ta star
se
ja
mo
ho la
e re
gu
nir
i re
qu
se
fi De
(círculo interior)
de
Co r el
m a del pla n
(círculo exterior)
• Habilitación del cambio (círculo medio)
de
Implemen y tar medir
Incorpor nuevos ar enfoque s
jec
on
Identificar a los r ole s asig n ad os
• Gestión del programa
• Mejora continua del ciclo de vida
m es u n ic ult a r ad o
De e el d j ob
ión
Progra
tamos ahora? de es Dón
2¿
ee
oc
r?
C o n s tr u ir m e j o ra s
roblemas y nir p dades Defi portuni o
t en le m uso y
nd
óm
ga
e le m a I m p ej or m
Imp
Pla
5 ¿C
ll e
ión
nt s ar
a r alua act de d uar ev
ar el Formpo de equi entación plem im
M
erminar Det estado el tual ac
Obtener ben efic ios
Estab le de cer de ca seo el mb iar rear Identifica o t i n e cesi r l on y d a
6 ¿Lo logram
gra ma
ner ste So
ac
os
on l os im pu Iniciar lso un p re ro
dd ida tiv visión c Efe re
uc
m
1 ¿Cuáles s
s?
os?
7
emos nten ma lso? o óm pu ¿C el im e la
3
¿D
ón
4 ¿ Q u é d e b e h a c er s e ?
5.2.1 Fase 1: ¿Cuáles son los impulsores? La fase 1 del método de implementación identifica los impulsores de cambio actuales y crea, a nivel de la gestión ejecutiva, el deseo de cambiar, que se expresa en un esquema de un caso de negocio. Un impulsor del cambio es un evento interno o externo, una condición o problema importante que sirve como estímulo para el cambio. Eventos, tendencias (industria, mercado o técnica), falta de rendimiento, implementaciones de software e incluso las metas empresariales pueden actuar en su conjunto como impulsores del cambio. El riesgo asociado a la implementación del programa en sí mismo se describe en el caso de negocio y se gestiona a lo largo del ciclo de vida. La preparación, mantenimiento y monitorización de un caso de negocio son disciplinas fundamentales e importantes para justificar, apoyar y, a continuación, garantizar resultados satisfactorios para cualquier iniciativa, incluida la mejora del sistema de gobierno. Ellos aseguran un foco continuo en los beneficios del programa y su realización.
5.2.2 Fase 2: ¿Dónde estamos ahora? La fase 2 alinea los objetivos relacionados con I&T con las estrategias y el riesgo empresarial y prioriza las metas empresariales, metas de alineamiento y procesos más importantes. La Guía de diseño COBIT® 2019 proporciona distintos factores de diseño para contribuir a la selección. Según las metas empresariales y las metas relacionadas con TI seleccionadas y otros factores de diseño, la empresa debe identificar los objetivos críticos de gobierno y gestión y los procesos subyacentes que tengan la capacidad suficiente para asegurar resultados satisfactorios. La dirección debe conocer su capacidad actual y dónde podría haber deficiencias. Esto puede lograrse mediante una evaluación del estado actual de la capacidad de los procesos seleccionados.
46 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 5 CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT® 2019 5.2.3 Fase 3: ¿Dónde queremos estar? La fase 3 establece un objetivo de mejora seguido de un análisis de brechas para identificar posibles soluciones. Algunas soluciones serán ganancias rápidas y otras serán tareas más desafiantes a largo plazo. La prioridad debe otorgarse a los proyectos cuya consecución resulte más fácil y que probablemente proporcionen los mayores beneficios. Las tareas a más largo plazo deben desglosarse en piezas gestionables.
5.2.4 Fase 4: ¿Qué debe hacerse? La fase 4 describe cómo planificar soluciones factibles y prácticas mediante la definición de proyectos apoyados por casos de negocio justificables y un plan del cambio para la implementación. Un caso de negocio bien desarrollado puede contribuir a garantizar que los beneficios del proyecto se identifiquen y monitoricen continuamente.
5.2.5 Fase 5: ¿Cómo conseguiremos llegar? La fase 5 contempla la implementación de las soluciones propuestas a través de prácticas diarias y mediante el establecimiento de medidas y sistemas de monitorización para garantizar que se logra el alineamiento con el negocio, y poder medir el desempeño. Para tener éxito se requiere dedicación, concienciación y comunicación, comprensión y compromiso de la alta dirección, y compromiso de propiedad de los dueños de los procesos de negocio y de TI afectados.
5.2.6 Fase 6: ¿Lo logramos? La fase 6 se centra en la transición sostenible de las prácticas mejoradas de gobierno y gestión a operaciones empresariales normales. Se centra además en monitorizar la consecución de las mejoras usando las métricas de desempeño y los beneficios esperados.
5.2.7 Fase 7: ¿Cómo mantenemos el impulso? La fase 7 revisa el éxito global de la iniciativa, identifica otros requisitos de gobierno y gestión y refuerza la necesidad de una mejora continua. También prioriza más oportunidades para mejorar el sistema de gobierno. La gestión de programas y proyectos se basa en buenas prácticas y proporciona puntos de control en cada una de las siete fases, para garantizar que el desempeño del programa va por buen camino, el caso de negocio y el riesgo están actualizados, y la planificación de la siguiente fase se ha ajustado como corresponde. Se asume que el enfoque estándar de la empresa se seguirá. Puede encontrarse más ayuda sobre la gestión de programas y proyectos en los objetivos de gestión de COBIT BAI01 Gestionar los programas y BAI11 Gestionar los proyectos. Aunque la presentación de informes no se menciona de forma explícita en ninguna de las fases, se trata de una tarea continua durante todas las fases e iteraciones.
5.3 Relación entre la Guía de diseño COBIT y la Guía de implementación COBIT La Guía de diseño COBIT® 2019 elabora una serie de tareas definidas en la Guía de implementación COBIT® 2019. La figura 5.2 describe los elementos de conexión entre ambas guías y el propósito de esta tabla es que los usuarios de la Guía de implementación COBIT® 2019 encuentren directrices más detalladas y adicionales, adecuadas para determinadas fases y actividades en la Guía de diseño COBIT® 2019.
47 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT la Guía de implementación COBIT Fase 1: ¿Cuáles son los impulsores? (Tareas de mejora continua [CI], por sus siglas en inglés) 1 Identificar el contexto actual de gobierno, los puntos de dolor de TI y TI del negocio, eventos y síntomas que desencadenan la necesidad de actuar. 2 Identificar los impulsores del negocio y de gobierno y los requisitos de cumplimiento para mejorar el gobierno empresarial de información y tecnología (GEIT) y evaluar las necesidades actuales de las partes interesadas. 3 Identificar prioridades del negocio y estrategia empresarial dependientes de TI, incluido cualquier proyecto significativo actual. 4 Alinearse con las políticas, estrategias y principios rectores de la empresa y cualquier iniciativa de gobierno en curso. 5 Aumentar la concienciación a los directivos sobre la importancia de TI para la empresa y el valor del GEIT. 6 Definir la política, objetivos, principios rectores y objetivos de mejora de alto nivel del GEIT. 7 Asegurar que la dirección y el consejo de administración entiende y aprueba una estrategia de alto nivel, y aceptar el riesgo de no tomar ninguna acción ante problemas significativos. Fase 2: ¿Dónde estamos ahora? (tareas CI)
1 Identificar metas empresariales clave y apoyar las metas relacionadas con TI claves. 2 Establecer la importancia y naturaleza de la contribución de TI (soluciones y servicios) requeridos para respaldar los objetivos de negocio.
la Guía de diseño COBIT Paso 1: Entender el contexto y estrategia de la empresa. 1.4
Entender los problemas actuales relacionados con I&T.
1.1 1.2 1.3
Entender la estrategia empresarial. Entender las metas empresariales. Entender el perfil de riesgo.
1.1 1.2 1.3
Entender la estrategia empresarial. Entender las metas empresariales. Entender el perfil de riesgo.
No son pasos de diseño de gobierno exclusivamente, estas tareas están más relacionadas con tareas de habilitación del cambio en la Guía de implementación COBIT y están cubiertas de forma adecuada aquí.
Paso 2—Determinar el alcance inicial del sistema de gobierno. Paso 3—Perfeccionar el alcance del sistema de gobierno. Paso 4—Finalizar el diseño del sistema de gobierno. 2.1 Considerar la estrategia empresarial. 2.2 Considerar las metas empresariales y aplicar la cascada de metas de COBIT. 2.2 Considerar las metas empresariales y aplicar la 3.3 cascada de metas de COBIT. 3.4 Considerar el rol de TI. 3.5 Considerar el modelo de abastecimiento de 3.6 proveedores. 3.7 Considerar los métodos de implementación de TI. Considerar la estrategia de adopción de tecnología. Considerar el tamaño de la empresa.
3 Identificar problemas y debilidades claves de gobierno relacionadas con las soluciones y servicios actuales y requeridos en el futuro, la arquitectura empresarial necesaria para respaldar las metas relacionadas con TI y cualquier restricción o limitación.
2.4
Considerar los problemas actuales relacionados con I&T.
4 Identificar y seleccionar los procesos críticos para respaldar las metas relacionadas con TI y, si corresponde, prácticas de gestión clave para cada proceso seleccionado. 5 Evaluar el riesgo de habilitación de beneficios/valor, el riesgo de realización de programa/proyecto y el riesgo de operaciones de prestación de servicio/TI relacionados con procesos críticos de TI.
2.1 2.2 2.3
Considerar la estrategia empresarial. Considerar las metas empresariales y aplicar la cascada de metas de COBIT. Considerar el perfil de riesgo de la empresa.
6 Identificar y seleccionar procesos críticos de TI para garantizar que se evite el riesgo. 7 Entender la posición de aceptación del riesgo conforme a lo definido por la dirección.
2.3
Considerar el perfil de riesgo de la empresa.
1.3 2.3
Entender el perfil de riesgo. Considerar el perfil de riesgo de la empresa.
48 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 5 CONECTANDO CON LA GUÍA DE IMPLEMENTACIÓN COBIT® 2019 Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.) la Guía de implementación COBIT Fase 2: ¿Dónde estamos ahora? (tareas CI)
8 Definir el método para ejecutar la evaluación.
9 Documentar el entendimiento de cómo el proceso actual aborda las prácticas de gestión seleccionadas anteriormente.
10 Analizar el nivel de capacidad actual. 11 Definir la valoración de capacidad del proceso actual. Fase 3: ¿Dónde queremos estar? (tareas CI) 1 Definir objetivos de mejora: Según los requisitos de rendimiento y conformidad de la empresa, decidir los niveles de capacidad objetivo ideales a corto y largo plazo para cada proceso. Hasta donde sea posible, hacer un benchmark interno para identificar las mejores prácticas que pueden adoptarse. Hasta donde sea posible, hacer un benchmark externo con competidores y homólogos que ayude a decidir la idoneidad del nivel objetivo elegido. Realizar una «comprobación de juicio» de la razonabilidad del nivel objetivo (individualmente y en su conjunto), viendo qué es alcanzable y deseable y qué puede tener el mayor impacto positivo dentro del intervalo de tiempo deseado.
la Guía de diseño COBIT Paso 2—Determinar el alcance inicial del sistema de gobierno. Paso 3—Perfeccionar el alcance del sistema de gobierno. Paso 4—Finalizar el diseño del sistema de gobierno.
El método de evaluación para los procesos es el método descrito en la publicación del Marco de referencia COBIT® 2019: Introducción y metodología (basada en los niveles de capacidad de CMMI). 2.1 2.2
Considerar la estrategia empresarial. Considerar las metas empresariales y aplicar la cascada de metas de COBIT. 2.3 Considerar el perfil de riesgo de la empresa. 2.4 Considerar los problemas actuales relacionados con I&T. 3.1 Considerar el escenario de amenazas. 3.2 Considerar los requisitos de cumplimiento. 3.3 Considerar el rol de TI. Considerar el modelo de abastecimiento de 3.4 proveedores. 3.5 Considerar los métodos de implementación de 3.6 TI. Considerar la estrategia de adopción de 3.7 tecnología. Considerar el tamaño de la empresa. 4.1 Resolver conflictos de prioridades inherentes. 4.2 Finalizar el diseño del sistema de gobierno. 4.1 Resolver conflictos de prioridades inherentes. 4.2 Finalizar el diseño del sistema de gobierno. Paso 4—Finalizar el diseño del sistema de gobierno. 4.1 Resolver conflictos de prioridades inherentes. 4.2 Finalizar el diseño del sistema de gobierno.
49 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 5.2—Puntos de conexión entre la Guía de diseño COBIT y la Guía de implementación COBIT (cont.) la Guía de implementación COBIT 2 Analizar brechas: Usar el entendimiento de la capacidad actual (por atributo) y compararlos con el nivel de capacidad objetivo. Aprovechar las fortalezas existentes siempre que sea posible para solucionar las brechas y buscar ayuda en las prácticas y actividades de gestión de COBIT y estándares como ITIL, International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27000, The Open Group Architectural Framework (TOGAF®) y el Project Management Body of Knowledge (PMBOK®), para acabar con otras brechas. Buscar patrones que indiquen las causas raíz que deben abordarse. 3 Identificar mejoras potenciales: Comparar las brechas con posibles mejoras. Identificar el riesgo residual no mitigado y garantizar una aceptación formal.
4.1 4.2
la Guía de diseño COBIT Resolver conflictos de prioridades inherentes. Finalizar el diseño del sistema de gobierno.
50 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO Parte II Ejecución y ejemplos Capítulo 6 Kit de herramientas de diseño del sistema de gobierno 6.1 Introducción Este capítulo introduce el kit de herramientas que acompaña a la Guía de diseño COBIT, una herramienta basada en hojas de cálculo Excel® , que facilita la aplicación del flujo de trabajo del diseño del sistema de gobierno explicado en el capítulo 4. El kit de herramientas se utilizó para ilustrar los tres ejemplos señalados en el capítulo 7 de esta publicación. Esta introducción debería ayudar a los lectores a obtener un conocimiento básico del kit de herramientas y apreciar cómo se generaron los resultados en el capítulo 7. Una vez descargado, el kit de herramientas muestra los valores ilustrados en este capítulo. Para usar la herramienta, cambiar los valores para adaptarlos al contexto de la empresa. Nota: Existen muchos métodos para cuantificar y clasificar las prioridades para los objetivos de gobierno y gestión. En esta publicación y el kit de herramientas que la acompaña, se seleccionó un método, pero eso no excluye otros métodos valiosos que sean capaces de lograr resultados confiables.
6.2 Elementos básicos del kit de herramientas El kit de herramientas consiste en una hoja de cálculo Excel. La hoja de cálculo contiene:
Una pestaña de introducción e instrucciones que proporciona información básica sobre cómo usar el kit de herramientas
Una pestaña del canvas que consolida todos los resultados del flujo de trabajo del diseño del sistema de gobierno
Una pestaña para cada factor de diseño (DF), en la que:
Los valores se pueden introducir y representar gráficamente
Los puntajes de prioridad para los objetivos de gobierno y gestión se calculan y presentan en formato de tabla y gráficamente en dos diagramas
Dos pestañas de resumen (una después del paso 2 y otra después del paso 3 del flujo de trabajo de diseño del sistema de gobierno) que representan gráficamente los resultados de cada paso completado
Tablas de asignación para los factores de diseño con valores de entrada usados por otras pestañas (estas pestañas se ocultan para mejorar la lectura de la hoja de cálculo)
Las tablas de asignación (con la excepción del factor de diseño 2 Metas empresariales) contienen valores entre cero (0) y cuatro (4), que indican la importancia de cada objetivo de gobierno/gestión para cada valor respectivo del factor de diseño, escenario de riesgo o problema relacionado con I&T. -
Un valor de 4 significa la máxima relevancia, mientras que un valor de 0 significa que no es relevante.
-
Los valores reflejan promedios establecidos por un panel de expertos. Los valores no pueden modelar, y no lo hacen, cada situación individual y, por tanto, deben usarse con precaución. Sin embargo, pueden dar buenas indicaciones representativas y pueden considerarse como una guía de orientación.
La tabla de asignación para el factor de diseño 2 Metas empresariales es ligeramente distinta, puesto que contiene dos tablas de asignación. Una tabla asigna las metas empresariales a las metas de alineamiento, y la otra tabla asigna las metas de alineamiento a los objetivos de gobierno y gestión (ver los apéndices B y C).
51 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 6.3 Paso 1 y paso 2: Determinar el alcance inicial del sistema de gobierno En estos pasos del flujo de trabajo de diseño del gobierno, se evalúan la estrategia, metas, perfil de riesgo y problemas relacionados con la I&T de la empresa. Los pasos evalúan los primeros cuatro factores de diseño (conforme se definen en el capítulo 4) para determinar su impacto en el diseño inicial de un sistema de gobierno: 1. Estrategia empresarial 2. Metas empresariales (a través de la cascada de metas) 3. Perfil de riesgo de TI 4. Problemas relacionados con I&T
6.3.1 Estrategia empresarial (Factor de diseño 1) Entrada
Cálculo
Salida
Cada uno de los cuatro valores posibles para el factor de diseño de la estrategia empresarial (crecimiento/adquisición, innovación/diferenciación, liderazgo en coste, servicios/estabilidad al cliente) deben clasificarse entre 1 (nada importante) y 5 (más importante). Se recomienda mantener la suficiente distancia entre los valores. El kit de herramientas realiza un cálculo de matrices de los valores introducidos para el factor de diseño 1 Estrategia empresarial con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje para cada objetivo de gobierno/gestión. El kit de herramientas realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 1 con la tabla de asignación para el factor de diseño 1, lo que deriva en un puntaje de referencia para cada objetivo de gobierno/gestión. El kit de herramientas calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia. La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
52 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO 6.3.2 Metas empresariales y la aplicación de la cascada de metas de COBIT (Factor de diseño 2) Entrada
Cálculo
Salida
Cada una de las trece metas empresariales deben clasificarse entre 1 (nada importante) y 5 (más importante). Usando las metas empresariales genéricas se determinan las metas más importantes para la empresa. Es aconsejable seleccionar las tres a cinco primeras metas empresariales más importantes; demasiadas metas de alta prioridad producirán unos resultados de la cascada de metas menos significativos. Se recomienda mantener la suficiente distancia entre los valores. La herramienta realiza un doble cálculo de matrices entre (1) las metas empresariales clasificadas y la tabla de asignación entre las metas empresariales y las metas de alineamiento de TI, y (2) el resultado del primer cálculo de matrices y la tabla de asignación entre las metas de alineamiento de TI y los objetivos de gobierno y gestión. La herramienta realiza una segunda serie de cálculos de matrices de una serie de valores de referencia para el factor de diseño 2 Metas empresariales, lo que deriva en un puntaje de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia.
La sección de Salida de esta hoja contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
Factor de diseño 2 Metas empresariales (Entrada)
EG01-Portafolio de productos y servicios competitivos
EG02-Gestion del riesgo de negocio
EG03—Cumplimiento con las leyes y regulaciones externas
EG04—Calidad de la información financiera
EG05—Cultura de servicio orientada al cliente
EG06—Continuidad y disponibilidad del servicio del negocio
EG07—Calidad de la información sobre gestión
EGO8—Optimización de la funcionalidad de procesos internos del negocio
EG09—Optimización de costes de procesos del negocio
EG10—Habilidades, motivación y productividad del personal
EG11-Cumplimiento con las políticas internas
EG12—Gestión de programas de transformación digital
EG13- Innovación de productos y negocios
53 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 6.3.3 Perfil de riesgo de la empresa (Factor de diseño 3)
Entrada
Cálculo
Salida
Cada una de las 19 categorías de riesgo contenidas en el factor de diseño de perfil de riesgo deben clasificarse como sigue: Impacto del riesgo, en caso de que ocurra, como un valor entre 1 (nada importante) y 5 (crítico) Probabilidad de que el riesgo ocurra, como un valor entre 1 (muy poco probable) y 5 (muy probable) La herramienta asigna una clasificación de riesgo (muy alto, alto, normal, bajo) a cada categoría de riesgo, según la combinación de las valoraciones del impacto y la probabilidad. Se recomienda mantener la suficiente distancia entre los valores. La herramienta realiza un cálculo de matrices de las clasificaciones de riesgo con la tabla de asignación para el factor de diseño 3 El perfil de riesgo, lo que deriva en un puntaje para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de clasificaciones de referencia de riesgo para el factor de diseño 3 con la tabla de asignación para el factor de diseño 3, lo que deriva en un puntaje de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión, como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia. La sección de Salida de esta herramienta contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de tabla de entrada
Ejemplo de gráfico de salida I&T
Categoría del escenario de riesgo
Impacto (1-5)
Probabilidad Clasificación Línea base de riesgos de referencia (1-5)
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio Gestión del ciclo de vida de los programas y proyectos Coste y control de TI Comportamiento, habilidades y conocimiento de TI Arquitectura de la empresa/TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de datos e información
Riesgo muy alto Riesgo alto Riesgo normal Riesgo bajo
54 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO 6.3.4 Problemas actuales relacionados con la I&T de la empresa (Factor de diseño 4) Entrada
Cálculo
Salida
Cada uno de los 20 problemas relacionados con I&T para el factor de diseño de problemas relacionados con I&T debe valorarse entre 1 (ningún problema) y 3 (problema grave). Los números 1, 2 y 3 deben introducirse en la herramienta; ésta los traducirá automáticamente en un símbolo, según la tecla de la herramienta para esa valoración. Se recomienda mantener la suficiente distancia entre los valores. La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 4 Problemas relacionados con I&T con la tabla de asignación para el factor de diseño 4, lo que deriva en una valoración para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 4 con la tabla de asignación para el factor de diseño 4, lo que deriva en una valoración de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia. La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de tabla de entrada
Ejemplo de gráfico de salida I&T
Importancia (1-3)
Problema relacionado con I&T
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Línea base de referencia
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI
Problema grave
Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa (relacionado con la computación de usuarios finales, que suele surgir de la insatisfacción con los soluciones y servicios de TI) Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
55 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 6.3.5 Conclusión Entrada Cálculo
Salida
N/A La herramienta realiza una suma ponderada de los puntajes importantes calculados de los objetivos de gobierno/gestión relacionados con los cuatro primeros factores de diseño. Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La ponderación puede cambiarse si, por ejemplo, la estrategia de la empresa es de mayor importancia que los objetivos empresariales, el riesgo o los problemas relacionados con I&T. Los resultados logrados se normalizan entonces en una escala de 100 (tanto positiva como negativa) y se reflejan en la pestaña de resumen del paso 2. El valor más alto (positivo o negativo) obtiene un puntaje de 100. Los demás valores se prorratean con respecto a este valor. La lista resultante de puntajes no sólo proporciona una visión confiable de la importancia relativa de todos los objetivos de gobierno/gestión comparados unos con otros, sino que también da una indicación de la importancia absoluta. Este resultado permite a la empresa no sólo priorizar los objetivos de gobierno/gestión comparándolos unos con otros, sino también definir niveles de capacidad objetivo adecuados. La pestaña resumen del paso 2 contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla (en la pestaña del canvas) y como un diagrama de barras (pestaña de resumen del paso 2)
56 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO Ejemplo de gráfico de salida
Paso 2 Diseño inicial Importancia de los objetivos de gobierno y gestión
57 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Nota: El gráfico de ejemplo anterior es consistente con los gráficos de ejemplo para cada factor de diseño, ya que representa el resultado real si los factores del 1 al 4 se introdujeran conforme se muestra en las entradas de ejemplo proporcionadas en este capítulo 6.
6.4 Paso 3: Perfeccionar el alcance del sistema de gobierno En este paso, se mejora aún más el alcance inicial del sistema de gobierno según la evaluación de los factores de diseño restantes: 1. Escenario de amenazas 2. Requisitos de cumplimiento 3. Rol de TI 4. Modelo de abastecimiento de proveedores para TI 5. Métodos de implementación de TI 6. Estrategia de adopción de tecnología 7. Tamaño de la empresa (tenga en cuenta que este factor de diseño no se incluye como parte de la herramienta; ver la sección 6.4.7 para obtener más información)
58 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO
6.4.1 Escenario de amenazas (Factor de diseño 5) Entrada
Cálculo
Salida
Cada uno de los dos valores posibles (alto y normal) para el factor de diseño de escenario de amenazas debe valorarse entre 0% y 100%. La suma de ambos valores debe ser 100%. Para muchas empresas, 100% se asignará a una de las categorías. La opción está disponible para asignar porcentajes cuando una parte de las operaciones de la empresa está sujeta a un escenario de amenazas alto, mientras que otras están sujetas a un escenario de amenazas más normal. La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 5 Escenario de amenazas con la tabla de asignación para el factor de diseño 5, lo que deriva en una valoración para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 5 con la tabla de asignación para el factor de diseño 5, lo que deriva en una valoración de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con la valoración de referencia. La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
59 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 6.4.2 Requisitos de cumplimiento (Factor de diseño 6)
Entrada
Cálculo
Cada uno de los tres valores posibles para el factor de diseño de requisitos de cumplimiento debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%. Para muchas empresas, 100% se asignará a una de las categorías. Sin embargo, está disponible la opción de asignar distintos porcentajes, si el entorno de TI empresarial es muy amplio y algunas partes están sujetas a una regulación de cumplimiento estricta, mientras que otras partes están sujetas a una regulación menos estricta.
Salida
La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 6 Requisitos de cumplimiento con la tabla de asignación para el factor de diseño 6, lo que deriva en una valoración para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 6 con la tabla de asignación para el factor de diseño 6, lo que deriva en una valoración de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con la valoración de referencia. La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
60 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO 6.4.3 Rol de TI (Factor de diseño 7)
Entrada
Cálculo
Salida
Cada uno de los cuatro valores posibles para el factor de diseño de rol de TI (soporte, fábrica, cambio y estratégico) deben valorarse entre 1 (nada importante) y 5 (más importante). Se recomienda mantener la suficiente distancia entre los valores. La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 7 Rol de TI con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 7 con la tabla de asignación para el factor de diseño 7, lo que deriva en una valoración de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con la valoración de referencia. La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
61 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 6.4.4 Modelo de abastecimiento de proveedores para TI (Factor de diseño 8)
Entrada
Cálculo
Cada uno de los tres valores posibles para el factor de diseño de modelo de abastecimiento de proveedores para TI (externalización, nube y personal interno) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%. Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque, por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido.
Salida
La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 8 Modelo de abastecimiento de proveedores para TI con su tabla de asignación correspondiente, lo que deriva en una valoración para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 8 con la tabla de asignación para el factor de diseño 8, lo que deriva en una valoración de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con la valoración de referencia. La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Importancia derivada de objetivos de gobierno/gestión
Factor de diseño 8 Modelo de abastecimiento de proveedores (Entrada) Externalización
Nube
Personal interno
62 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO 6.4.5 Métodos de implementación de TI (Factor de diseño 9)
Entrada
Cálculo
Salida
Cada uno de los tres valores posibles para el factor de diseño de métodos de implementación de TI (Agile, DevOps y tradicional) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%. Observe que hay una cuarta categoría: la clasificación híbrida. Esto no se señala en la herramienta porque, por definición, los porcentajes asignados a más de uno de los otros tres valores crean un modelo híbrido. La herramienta realiza un cálculo de matrices de las valoraciones introducidas para el factor de diseño 9 Métodos de implementación de TI con la tabla de asignación para el factor de diseño 9, lo que deriva en un puntaje para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 9 con la tabla de asignación para el factor de diseño 9, lo que deriva en un puntaje de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia. La sección de salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
63 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
6.4.6 Estrategia de adopción de tecnología (Factor de diseño 10) Entrada
Cálculo
Salida
Cada uno de los tres valores posibles para el factor de diseño de estrategia de adopción de tecnología (primero en reaccionar, seguidor y adoptador lento) debe valorarse entre 0% y 100%. La suma de los tres valores debe ser 100%. Para muchas empresas, 100% podría asignarse a una de las categorías. Sin embargo, está disponible la opción de asignar distintos porcentajes si el entorno de TI empresarial es muy amplio, y distintas áreas adoptan la tecnología a ritmos distintos. La herramienta realiza un cálculo de matrices de los valores introducidos para el factor de diseño 10 Estrategia de adopción de tecnología con la tabla de asignación para el factor de diseño 10, lo que deriva en un puntaje para cada objetivo de gobierno/gestión. La herramienta realiza un segundo cálculo de matrices de un conjunto de valores de referencia para el factor de diseño 10 con la tabla de asignación para el factor de diseño 10, lo que deriva en un puntaje de referencia para cada objetivo de gobierno/gestión. La herramienta calcula a continuación la importancia relativa de cada objetivo de gobierno/gestión como una diferencia relativa entre ambos conjuntos de valores, expresado como un porcentaje y redondeado a 5. Este número puede ser positivo o negativo, indicando que un objetivo de gobierno/gestión es más o menos importante a la hora de hacer una comparación con el puntaje de referencia. La salida de esta pestaña contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla, como un diagrama de barras y un diagrama de araña.
Ejemplo de gráfico de entrada
Ejemplo de gráfico de salida
Factor de diseño 10 Estrategia de adopción de tecnología Primero en reaccionar
Seguidor
Adoptadores lentos
64 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 6 KIT DE HERRAMIENTAS DE DISEÑO DEL SISTEMA DE GOBIERNO 6.4.7 Tamaño de la empresa (Factor de diseño 11) El factor de diseño del tamaño de la empresa únicamente indica si debe usarse la guía del área prioritaria de pequeñas y medianas empresas, en lugar de la guía Core de COBIT.27 El tamaño de una empresa no tiene impacto en la prioridad y los niveles de capacidad objetivo de los objetivos de gobierno y gestión. 1
6.4.8 Conclusión
Entrada Cálculo
Salida
N/A La herramienta realiza una suma ponderada de los puntajes de importancia de los objetivos de gobierno/gestión calculadas relacionadas con los factores de diseño del 5 al 10 y la combina con los resultados del paso 2 Diseño inicial del sistema de gobierno. Las ponderaciones pueden introducirse en la pestaña del canvas y se configuran en 1 por defecto. La ponderación puede cambiarse si, por ejemplo, los requisitos de cumplimiento son de mayor importancia (porque la empresa opera en una industria altamente regulada). Los resultados logrados se normalizan entonces en una escala de 100. El valor más alto (positivo o negativo) obtiene un puntaje de 100. El resto de los valores se prorratea con respecto a este valor. La lista resultante de puntajes no solo proporciona una visión fiable de la importancia relativa de todos los objetivos de gobierno/gestión comparados, sino que también da una indicación de la importancia absoluta. Este resultado permite a la empresa no solo priorizar los objetivos de gobierno/gestión comparándolos, sino también definir niveles de capacidad objetivo adecuados. La pestaña resumen del paso 3 contiene la importancia relativa calculada para cada uno de los 40 objetivos de gobierno y gestión de COBIT® 2019. Los resultados se representan en el formato de tabla (en el canvas del cuadro) y como un diagrama de barras (en la pestaña de resumen del paso 3)
Nota: El gráfico de ejemplo siguiente es consistente con los gráficos de ejemplo para cada factor de diseño, ya que representa el resultado real si los factores del 5 al 10 se introdujeran conforme se muestra en los datos de entrada de este capítulo 6.
1
27
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
65 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Ejemplo de gráfico de salida
66 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Capítulo 7 Ejemplos 7.1 Introducción En este capítulo, el flujo de trabajo explicado en el capítulo 4 se aplica a los dos ejemplos ficticios y un estudio de caso, para ilustrar el proceso de diseño del sistema de gobierno. Los ejemplos incluyen: 1. Empresa de manufactura (Sección 7.2) 2. Empresa de innovación de tamaño mediano (Sección 7.3) 3. Agencia gubernamental de alto perfil (Sección 7.4)
7.2 Ejemplo 1: Empresa de manufactura La empresa fabrica bienes, es una empresa grande, muy preocupada por los costes y desea ser líder en costes en su mercado. La empresa considera la I&T como una función puramente de soporte para lograr unas operaciones eficientes y eficaces. Aunque TI es una función de soporte, la empresa depende críticamente de ella. La empresa sigue una estrategia tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de adoptar nuevas tecnologías. Recientemente, la empresa se enfrentó a un ataque de malware y sufrió una serie de problemas operativos de TI. La empresa alberga y opera equipos críticos de TI en sus instalaciones.
7.2.1 Paso 1: Entender el contexto y estrategia de la empresa El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa. Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en el liderazgo en costes y un enfoque secundario en el servicio al cliente/estabilidad se muestran en la figura 7.1. Figura 7.1—Ejemplo 1, Paso 1.1: Estrategia empresarial
67 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una escala del 1 al 5, conforme se muestra en el diagrama siguiente. La figura 7.2 muestra que EG09 Optimización de costes de los procesos del negocio es la meta empresarial con la clasificación más alta. Figura 7.2—Ejemplo 1, Paso 1.2: Metas empresariales
Factor de diseño 2 Metas empresariales EG01—Portafolio de productos y servicios competitivos
1
5 3
EG02—Gestión de riesgo de negocio EG03—Cumplimiento de leyes y regulaciones externas
2
EG04—Calidad de la información financiera
2
EG05—Cultura de servicio orientada al cliente
4
EG06—Continuidad y disponibilidad del servicio del negocio
4
EG07—Calidad de la información sobre gestión
4
EG08—Optimización de la funcionalidad de procesos internos del negocio
3 5
EG09—Optimización de costes de procesos del negocio
2
EG10—Habilidades, motivación y productividad del personal
3
EG11—Cumplimiento con las políticas internas EG12—Gestión de programas de transformación digital
1
EG13—Innovación de productos y negocios
1
68 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
4
CAPÍTULO 7 EJEMPLOS Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que identifica las siguientes categorías de riesgo más altas (marcadas con puntos rojos en la columna de clasificación de riesgos en la figura 7.3): Incidentes de infraestructura operativa de TI, acciones no autorizadas, adopción de software/problemas de uso, incidentes de hardware, fallos de software y ataques lógicos. (Estas son categorías amplias. Para obtener información detallada de escenarios de riesgo dentro de cada categoría, vea la sección 2.6) Figura 7.3—Ejemplo 1, Paso 1.3: Riesgo Perfil
Factor de diseño 3 Perfil del riesgo
Categoría del escenario de riesgo
Impacto (1-5)
Probabilidad (1-5)
Clasificación de riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Coste y auditoría de TI
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de la empresa/TI Incidentes de infraestructura operativa de TI
Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware
Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/proveedores
Incumplimiento Problemas geopolíticos
Acción industrial Actos de la naturaleza
Innovación tecnológica Medio ambiente Gestión de información y datos
69 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura 7.4. Estos se perciben como problemas importantes para la empresa: incidentes significativos, problemas de prestación de servicio por parte de proveedores, coste oculto de TI y coste general de TI. Figura 7.4—Ejemplo 1, Paso 1.4: I&T-Problemas relacionados Importancia Valor
Línea base de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia involucrarse en las TI o una falta de compromiso empresarial para patrocinar a TI, modelo operativo de TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollado e implementando Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
70 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Problema grave
CAPÍTULO 7 EJEMPLOS 7.2.2 Paso 2: Determinar el alcance inicial del sistema de gobierno El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso 1. El paso 2 traslada esta información sobre las metas empresariales, la estrategia empresarial y el perfil de riesgo a componentes de gobierno relevantes. Paso 2.1: Considerar la estrategia empresarial—La figura 7.5 representa la estrategia empresarial, como se identifica en el paso 1.1. La figura 7.6 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y gestión. Figura 7.5—Ejemplo 1, Paso 2.1: Estrategia empresarial
71 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.6—Ejemplo 1, Paso 2.1: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 1 Estrategia empresarial
Además de los procesos de gobierno y gestión destacados en la figura 7.6, también requieren atención los siguientes componentes :
Enfoque sobre habilidades presupuestarias y de costes de TI
Influencia del componente de cultura y comportamiento
Contribución del componente de los servicios, infraestructura y aplicaciones (p. ej. para la automatización de controles, mejora de la eficiencia)
72 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.7). La figura 7.8 muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión. Figura 7.7—Ejemplo 1, Paso 2.2: Metas empresariales
Factor de diseño 2 Metas empresariales EG01—Portafolio de productos y servicios competitivos
1
5
EG02—Gestión de riesgo de negocio
3
EG03—Cumplimiento de leyes y regulaciones externass
2
EG04—Calidad de la información financiera
2
EG05—Cultura de servicio orientada al cliente
4
EG06—Continuidad y disponibilidad del servicio del negocio
4
EG07—Calidad de la información sobre gestión
4
EG08—Optimización de la funcionalidad de procesos internos del negocio
3
EG09—Optimización de costes de procesos del negocio
5 2
EG010—Habilidades, motivación y productividad del personal
EG011—Cumplimiento con las políticas internas EG012—Gestión de programas de transformación digital EG013—Innovación de productos y negocios
3 1
4
1
73 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.8—Ejemplo 1, Paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 2 Metas empresariales
74 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron y analizaron en un nivel superior (figura 7.9). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el apéndice D), la figura 7.10 muestra la valoración relativa de los objetivos de gobierno y gestión, basado de los resultados del análisis de riesgos. Figura 7.9—Ejemplo 1, Paso 2.3: Perfil de riesgo
Factor de diseño 3 Perfil del riesgo Categoría del escenario de riesgo
Impacto (1-5)
Probabilidad Clasificación de (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Coste y auditoría de TI
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de la empresa/TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.] Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de información y datos
75 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.10—Ejemplo 1, Paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 3 Perfil de riesgo
76 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema. Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.12 muestra la valoración relativa de los objetivos de gobierno y gestión, dependiendo del análisis empresarial de los problemas actuales relacionados con la I&T. (figura 7.11). Figura 7.11—Ejemplo 1, Paso 2.4: Problemas relacionados con I&T
Valor
Importancia Línea base de (1-3) referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema Problema grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Resultados de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia por parte de los miembros del consejo de administración, ejecutivos o alta gerencia a verse envueltos en las TI o una falta de mecenazgo empresarial comprometido para las mismas Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de informática para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollado e implementando Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa (relacionado con la computación de usuarios finales, que suele surgir de la insatisfacción con las soluciones y servicios de TI del
Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
77 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.12—Ejemplo 1, Paso 2.4: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 4 Problemas relacionados con I&T
78 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los cuatro pasos anteriores para producir las prioridades iniciales siguientes para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.13). Figura 7.13—Ejemplo 1, Paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión Paso 2 Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión -100
-50
0 -15 -25 EDM03 EDM04 EDM05 APO01 -40 -25
-75 -30 APO06 -10 -10 APO09 APO10 APO11 APO12 APO13 APO14 -40 BAI02 BAI03 -25 -25 BAI06 BAI07 -10 BAI09 BAI10 -60
50
100
EDM01 EDM02 0 0 0 0 APO02 APO03 APO04 APO05 5 APO07 APO08 30 30 25 55 45 25 BAI01 0 0 BAI04 BAI05 25 30 BAI08 100 60 BAI11
DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
40 70 60 45 45 15 0 15 0 10
Es probable que los cinco principales objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
BAI09 Gestionar los activos
DSS02 Gestionar las peticiones y los incidentes del servicio
DSS03 Gestionar los problemas
BAI10 Gestionar la configuración
APO12 Gestionar los riesgos
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes:
79 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019
APO04 Gestionar la innovación
BAI11 Gestionar los proyectos
APO02 Gestionar la estrategia
BAI01 Gestionar los programas
APO05 Gestionar el portafolio
El paso siguiente determinará qué refinamientos se requieren todavía en este alcance inicial del sistema de gobierno.
7.2.3 Paso 3: Perfeccionar el alcance del sistema de gobierno En el paso 3, se identifican los refinamientos al alcance inicial, según el conjunto de factores de diseño restantes que deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en cuyo caso pueden ignorarse. La figura 7.14 muestra un resumen de los factores de diseño del 5 al 11 que se aplican a la empresa de manufactura en este ejemplo. Cuando más de un valor era aplicable para un determinado factor de diseño, esto se indicará en la columna de valor de la figura. Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno Ref.
Factor de diseño
Valor
DF5
Alto
90%281
Normal
10%
DF6
Normal
75%
Baja
25%
Fábrica
5 de una escala de 5
Cambio
2 de una escala de 5
DF7
Prioridad de los objetivos de gobierno y gestión
Componentes
Escenario de amenazas Entre los objetivos de gobierno y Entre las estructuras gestión importantes se incluyen: organizativas importantes se EDM01, EDM03 encuentran: APO01, APO03, APO10, APO12, Comité de estrategia de APO13, APO14 seguridad BAI06, BAI10 CISO DSS02, DSS04, DSS05, DSS06 Entre los aspectos importantes MEA01, MEA03, MEA04 de cultura y comportamiento se encuentran: Concienciación sobre seguridad Flujos de información: Política de seguridad Estrategia de seguridad Según la definición de alcance N/A inicial Requisitos de cumplimiento Entre los objetivos de gestión más N/A importantes, pero todavía moderados, se encuentran: EDM01, EDM03 APO12 MEA03 Según la definición de alcance N/A inicial Rol de TI Entre los objetivos de gobierno y N/A gestión importantes se incluyen: EDM03 DSS01, DSS02, DSS03, DSS04 Entre los objetivos de gobierno y N/A gestión importantes se incluyen: APO02, APO04, BAI02, BAI03
80 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Directriz del área prioritaria Área prioritaria de seguridad de la información292
Modelo Core de COBIT Modelo Core de COBIT
Modelo Core de COBIT Área prioritaria de seguridad de la información303 Área prioritaria de DevOPs314
CAPÍTULO 7 EJEMPLOS Figura 7.14—Ejemplo 1 Versión personalizada del sistema de gobierno (cont.) Ref.
Factor de diseño
Valor
DF8 Externalización 20% (outsourcing) Personal interno
80%
DF9 Tradicional DF10 Seguidor
90%336
Adoptadores Lentos
10%347
DF11 Grande
Prioridad de los objetivos de gobierno y gestión
Componentes
Modelo de abastecimiento de proveedores para TI Entre los objetivos de gestión N/A importantes se incluyen: APO09, APO10 MEA01 Según la definición de alcance N/A inicial Métodos de implementación de TI Según la definición de alcance N/A inicial Estrategia de adopción de tecnología Entre los objetivos de gobierno y Procesos que pueden gestión importantes se incluyen: ejecutarse a un ritmo más APO02, APO04 lento BAI01 Según la definición de alcance N/A inicial Tamaño de la Empresa Según la definición de alcance N/A inicial
Directriz del área prioritaria Área prioritaria de gestión de proveedores 325 Modelo Core de COBIT Modelo Core de COBIT Modelo Core de COBIT Modelo Core de COBIT Modelo Core de COBIT
Para cada factor de diseño de la figura 7.14, la situación actual evaluada puede combinarse con los objetivos de gobierno y gestión asignados y otras directrices en la figura 7.14. Los siguientes ejemplos se produjeron usando los cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia relativos comparados con un nivel de referencia. Los niveles de importancia relativa se expresan en una escala de 100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión.
1
28 Esta figura significa que el 90% de las operaciones y actividades de I&T de la empresa se realizan en un escenario de altas amenazas.
2 29 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado. 3 30 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado. 4 31 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado. 5 32 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de gestión de proveedores se estaba considerando como una posible área prioritaria futura. 6 33 Esta cifra significa que un 90% de la organización se considera un seguidor en términos de adopción de tecnología. 7 34 Esta cifra significa que se considera que el 10% de las actividades de I&T de la empresa están a un ritmo de adoptadores lentos.
81 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 3.1—Considerar el escenario de amenazas —La figura 7.15 muestra el escenario de amenazas bajo el cual se cree que opera la empresa. La figura 7.16 muestra el impacto en los objetivos de gobierno y gestión del escenario de amenazas evaluado.
Figura 7.15—Ejemplo 1, paso 3.1: Escenario de amenazas
Figura 7.16—Ejemplo 1, paso 3.1: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 5 Escenario de amenazas
Factor de diseño 5 escenario de amenazas Importancia derivada de objetivos de gobierno/gestión EDM03
EDM02
EDM01 100
MEA04
MEA03
EDM04
MEA02 75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75 APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 BAI05
APO13 APO14 BAI01
BAI02
BAI03
BAI04
82 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Esta clasificación del escenario de amenazas hace que un número sustancial de objetivos de gobierno y gestión sean más importantes, conforme a la entrada de la figura 7.14 relacionada con un escenario de altas amenazas. Las directrices de estos objetivos de gobierno y gestión deberían obtenerse de las directrices del área prioritaria de seguridad de la información,35 la cual contiene una guía más detallada y específica sobre seguridad de la información que el modelo Core de COBIT. 8
Además, la empresa debe considerar (para su inclusión en su diseño del sistema de gobierno) la presencia y rendimiento de lo siguiente:
Entre las estructuras organizativas importantes se encuentran:
Comité de estrategia de seguridad
CISO
Entre los aspectos de cultura y comportamiento importantes se encuentran:
Concienciación sobre seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
Paso 3.2—Considerar los requisitos de cumplimiento—La figura 7.17 muestra los requisitos de cumplimiento para la empresa, que se estima son normales, tendiendo a bajos. La figura 7.18 muestra el impacto de los requisitos de cumplimiento evaluados en los objetivos de gobierno y gestión. Hay un impacto muy pequeño, que es el resultado esperado. Figura 7.17—Ejemplo 1, paso 3.2: Requisitos de cumplimiento Factor deFactor diseño 66Requerimientos cumplimiento Design CompliancedeRequirements Alto High
Normal Normal
Bajo Low
25%
75%
8
35
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
83 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.18—Ejemplo 1, paso 3.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 6 Requisitos de cumplimiento Factor de diseño 6 Requerimientos de cumplimiento Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
Paso 3.3—Considerar el rol de TI—La figura 7.19 muestra el rol de TI, que se expresa como fábrica, con una opción secundaria de cambio, indicando que la empresa tiene una alta operabilidad dependiendo de sus servicios de TI. La figura 7.20 muestra el impacto del rol de TI evaluado en los objetivos de gobierno y gestión. Figura 7.19—Ejemplo 1, paso 3.3: Rol de TI
84 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Figura 7.20—Ejemplo 1, paso 3.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 7 Rol de TI
Además de los objetivos de gobierno y gestión priorizados, las directrices deberían obtenerse de las áreas prioritarias de seguridad de la información y DevOPs (cuando estén disponibles y sea necesario).
85 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 3.4—Considerar el modelo de abastecimiento de proveedores—La figura 7.21 muestra el modelo de abastecimiento de proveedores de la empresa seleccionada, que es predominantemente con personal interno. La figura 7.22 muestra el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El impacto es bastante limitado para este factor de diseño. Figura 7.21—Ejemplo 1, paso 3.4: Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Nube
Externalización (outsourcing)
Personal interno (insourcing)
20%
80%
Figura 7.22—Ejemplo 1, paso 3.4: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
86 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 3.5—Considerar los métodos de implementación de TI—La empresa usa métodos tradicionales de desarrollo y operaciones de TI (figura 7.23), lo que se traduce en un impacto nulo en los objetivos de gobierno y gestión (figura 7.24). Figura 7.23—Ejemplo 1, paso 3.5: Métodos de implementación de TI
Factor de diseño 9 Métodos de implementación de TI Agile
DevOPs
Tradicional
100%
Figura 7.24—Ejemplo 1, paso 3.5: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 9 Métodos de implementación de TI
Factor de diseño 9 Métodos de implementación de TI Importancia derivada de los objetivos de gobierno/gestión EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
87 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 3.6—Considerar la estrategia de adopción de tecnología—La figura 7.25 indica que la empresa es, como mucho, seguidora cuando se trata de la adopción de nueva tecnología. La figura 7.26 muestra el impacto muy limitado que esto tiene en las prioridades de los objetivos de gobierno y gestión. Figura 7.25—Ejemplo 1, paso 3.6: Estrategia de Adopción de Tecnología Factor de diseño 10 Estrategia de adopción de tecnología Primero en reaccionar
Seguidor (Follower)
Adoptadores lentos (Slow adopter)
10%
90%
Figura 7.26—Ejemplo 1, paso 3.6: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de diseño 10 Estrategia de Adopción de Tecnología
Factor de diseño 10 Estrategia de adopción de tecnología Importancia derivada de objetivos de gobierno/gestión EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
88 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS 3.7—Considerar el Tamaño de la Empresa.—La empresa se clasifica como grande. Conforme a la figura 7.14, esto significa que el modelo Core de COBIT debe usarse como referencia para la definición del sistema de gobierno.
7.2.4 Paso 4: Finalizar el Diseño de la Solución de Gobierno El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de todos los aportes; teniendo en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe elegir entre ellas. 7.2.4.1 Objetivos de gobierno y gestión
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los resultados obtenidos del diseño del sistema inicial de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las siguientes prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno. (figura 7.27). Figura 7.27—Ejemplo 1, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)
89 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
DSS02 Gestionar las peticiones y los incidentes del servicio (100)
APO13 Gestionar la seguridad (80)
DSS04 Gestionar la continuidad (80)
DSS03 Gestionar los problemas (75)
BAI09 Gestionar los activos (75)
BAI10 Gestionar la configuración (75)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del alcance inicial del paso 2.5. Algunos objetivos de gobierno/gestión han cambiado de lugar, uno ha desaparecido (APO12) y se han añadido dos (DSS04 y APO13). Los objetivos de gestión siguientes parecen los menos importantes:
APO04 Gestionar la innovación
BAI11 Gestionar los proyectos
BAI01 Gestionar los programas
APO02 Gestionar la estrategia
BAI05 Gestionar el cambio organizativo
Comparado con los objetivos más importante, la lista de los objetivos menos importantes ha cambiado incluso menos que la lista identificada en la definición del alcance inicial del paso 2.5. Esto demuestra que el alcance inicial, basado en los factores de diseño fundamentales ya era bastante preciso y también que tener en cuenta otros factores de diseño ha conllevado ajustes adicionales. En sus discusiones, la empresa decide que los valores de importancia generados automáticamente para algunos objetivos de gobierno/gestión no son los que deben ser y hace los ajustes siguientes:
APO06 Gestionar el presupuesto y los costes: +75
EDM04 Asegurar la optimización de recursos: +75
DSS02 Gestionar las peticiones y los incidentes del servicio: -25
Para concluir, la empresa decide que la primera etapa del diseño de su sistema de gobierno consistirá en los objetivos de gobierno y gestión (con los procesos que conllevan), que se muestran en la figura 7.28. Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de Proceso Referencia EDM03 EDM04 APO06 APO09 APO10 APO11 APO12 APO13
Objetivo de Gobierno/Gestión Asegurar la optimización del riesgo Asegurar la optimización de recursos Gestionar el presupuesto y los costes Gestionar los acuerdos de nivel de servicio Gestionar los proveedores Gestionar la calidad Gestionar los riesgos Gestionar la seguridad
90 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Nivel de Capacidad objetivo de Proceso 2 3 4 2 2 2 3 4
CAPÍTULO 7 EJEMPLOS Figura 7.28—Ejemplo 1, Objetivos de Gobierno y Gestión y Niveles Objetivo de Capacidad de Proceso Referencia APO14 BAI06 BAI09 BAI10 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA02 MEA03 MEA04
Objetivo de Gobierno/Gestión Gestionar los datos Gestionar los cambios de TI Gestionar los activos Gestionar la configuración Gestionar las operaciones Gestionar las peticiones y los incidentes del servicio Gestionar los problemas Gestionar la continuidad Gestionar los servicios de seguridad Gestionar los controles del proceso de negocio Gestionar el sistema de control interno Gestionar el cumplimiento de los requisitos externos Gestionar el aseguramiento
Nivel de Capacidad objetivo de Proceso 2 3 4 4 2 4 4 4 3 2 2 2 2
La figura 7.28 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa era que:
Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Cualquier objetivo de gobierno/gestión con una valoración de 25 o superior requeriría un nivel de capacidad 2.
Es razonable pensar que los procesos restantes alcanzarían un nivel de capacidad 1. 7.2.4.2 Otros componentes
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes:
Comité de estrategia de seguridad
CISO
La empresa también deberá garantizar una adecuada concienciación sobre seguridad a todos los niveles e implementar flujos y elementos de información importantes (política de seguridad y estrategia de seguridad). 7.2.4.3 Directrices para áreas prioritarias específicas
La empresa usará las directrices siguientes para complementar el modelo Core de COBIT:
Área prioritaria de seguridad de la información36 , dado el alto escenario de amenazas y los resultados del análisis de riesgos y los problemas actuales relacionados con la I&T.
Directrices del área prioritaria de gestión de proveedores y DevOPs37 , cuando y donde sea aplicable
9
36
10
9
10
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y la Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
37 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado aún, y el área prioritaria de gestión de proveedores se está contemplando como una posible área prioritaria en el futuro.
91 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 7.3 Ejemplo 2: Empresa de innovación de tamaño mediano Este ejemplo es de una empresa de innovación de tamaño mediano que desarrolla dispositivos (appliances) para el sector automotor. La empresa es relativamente pequeña y se vanagloria de su rápida innovación. Depende de forma crítica de TI, tanto para desarrollar productos como para fabricar accesorios. La empresa es a la vez usuaria y desarrolladora de software. Está decidida a beneficiarse de cualquier tecnología nueva disponible e invierte en una estrategia de DevOps, siempre que le es posible. Ha tomado la decisión estratégica de externalizar todos sus servicios de TI relacionados con la infraestructura e ir a la nube.
7.3.1 Paso 1: Entender el contexto y estrategia de la empresa El primer paso del flujo de trabajo del diseño de gobierno es resumir el contexto externo e interno de la empresa. Paso 1.1: Entender la estrategia empresarial—Un enfoque principal en innovación y diferenciación y un enfoque secundarioen crecimiento/adquisición se muestran en la figura 7.29. Figura 7.29—Ejemplo 2, paso 1.1: Estrategia empresarial
92 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 1.2: Entender las metas empresariales—La empresa ha clasificado las 13 metas empresariales genéricas en una escala del 1 al 5, según se muestra en la figura 7.30. El diagrama muestra que EG01 Portafolio de productos y servicios competitivos yEG13 Innovación de producto y negocio son las metas empresariales con la clasificación más alta. Figura 7.30—Ejemplo 2, paso 1.2: Metas empresariales
Factor de diseño 2 Metas empresariales 5
EG01—Portafolio de productos y servicios competitivos EG02—Gestión de riesgo de negocio
2
EG03—Cumplimiento de leyes y regulaciones externas
2 3
EG04—Calidad de la información financieran EG05—Cultura de servicio orientada al cliente
2 4
EG06—Continuidad y disponibilidad del servicio del negocio
3
EG07—Calidad de la información sobre gestión EG08—Optimización de la funcionalidad de procesos internos del negocio
2
EG09—Optimización de costes de procesos del negocio
2 4
EG10—Habilidades, motivación y productividad del personal EG11—Cumplimiento con las políticas internas EG12—Gestión de programas de transformación digital
2 3
EG13—Innovación de productos y negocios
5
93 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo que identifica las categorías de riesgo más altas (marcadas con puntos rojos en la columna de valoración de riesgos en la figura 7.31: Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio; experiencia en TI; habilidades y comportamiento; innovación basada en la tecnología. (Estas son categorías amplias. Para obtener información detallada de los escenarios de riesgo dentro de cada categoría, vea la sección 2.6) Figura 7.31—Ejemplo 2, paso 1.3: Perfil de riesgo
Factor de diseño 3 Perfil del riesgo Categoría del escenario de riesgo
Impacto Probabilidad Valoración de riesgos (1-5) (1-5)
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Coste y auditoría de TI
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de Empresa/ TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.] Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de información y datos
94 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual (en una escala de 1 a 3) deriva en una evaluación de los problemas actuales relacionados con I&T, como se muestra en la figura 7.32.. Los siguientes problemas se consideran problemas importantes para la empresa; recursos de TI insuficientes, problemas de arquitectura de TI y problemas de calidad de datos. Figura 7.32—Ejemplo 2, paso 1.4: Problemas relacionados con I&T
Valor
Importancia (1-3)
Línea base de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema Problema grave
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI
Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa
Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
95 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 7.3.2 Paso 2: Determinar el alcance inicial del sistema de gobierno El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso 1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y problemas relacionados con I&T a componentes de gobierno relevantes. Paso 2.1: Considerar la estrategia empresarial—La figura 7.33 representa la estrategia empresarial, como se identifica en el paso 1.1. La figura 7.34 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y gestión. Figura 7.33—Ejemplo 2, paso 2.1: Estrategia empresarial
Factor de diseño 1 Estrategia empresarial Importancia de las distintas estrategias (Entrada) 3
Crecimiento/Adquisición
5
Innovación/Diferenciación
Liderazgo en costes
2
Servicio al cliente/Estabilidad
2 0
1
2
3
96 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
4
5
CAPÍTULO 7 EJEMPLOS Figura 7.34—Ejemplo 2, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 1 Estrategia empresarial
Factor de diseño 1 Estrategia empresarial Importancia derivada de objetivos de gobierno/gestión (Salida)
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
Además de los procesos de gobierno y gestión destacados en la figura 7.34, también requieren atención los componentes siguientes:
Soporte para el rol de gestión del portafolio con la función responsable de supervisar todas las inversiones
Los roles del arquitecto empresarial y director de tecnologías digitales
Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y lograr economías de escala
Influencia del componente de la cultura y el comportamiento en la innovación
97 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la cascada de metas de COBIT puede aplicarse para determinar qué objetivos de gobierno y gestión son relevantes para lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.35). La figura 7.36 muestra la influencia relativa que estas metas empresariales clasificadas tienen en los objetivos de gobierno y gestión. Figura 7.35—Ejemplo 2, paso 2.2: Metas empresariales
Factor de diseño 2 Metas empresariales 5
EG01—Portafolio de productos y servicios competitivoss EG02—Gestión de riesgo de negocio
2
EG03—Cumplimiento de leyes y regulaciones externasns
2 3
EG04—Calidad de la información financieran EG05—Cultura de servicio orientada al clientee
2 4
EG06—Continuidad y disponibilidad del servicio del negocio
3
EG07—Calidad de la información sobre gestión EG08—Optimización de la funcionalidad de procesos internos del negocio
2
EG09—Optimización de costes de procesos del negocio
2 4
EG10—Habilidades, motivación y productividad del personal EG11—Cumplimiento con las políticas internas EG12—Gestión de programas de transformación digital
2 3
EG13—Innovación de productos y negocios
98 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
5
CAPÍTULO 7 EJEMPLOS Figura 7.36—Ejemplo 2, paso 2.2: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de Diseño 2 Metas empresariales Factor de diseño 2 Metas empresariales Importancia derivada de objetivos de gobierno/gestión EDM03
EDM02
EDM01 100
MEA04
MEA03
EDM04
MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13 APO14
BAI05 BAI01
BAI02
BAI03
BAI04
99 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de TI se identificaron y analizaron a alto nivel (figura 7.37). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el apéndice D), la figura 7.38 muestra la valoración relativa de los objetivos de gobierno y gestión, dependiendo de los resultados del análisis de riesgos. Figura 7.37—Ejemplo 2, paso 2.3: Perfil de riesgo
Factor de diseño 3 Perfil del riesgo Categoría del escenario de riesgo
Impacto Probabilidad (1-5) (1-5)
Clasificación de riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Coste y auditoría de TI
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de la Empresa/TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.] Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de información y datos
100 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Figura 7.38—Ejemplo 2, paso 2.3: Importancia derivada de Objetivos de Gobierno/Gestión para el Factor de Diseño 3 Perfil de riesgo
Factor de diseño 3 Perfil de riesgo Importancia derivada de objetivos de gobierno/gestión EDM03
EDM02
EDM01 100
MEA04
MEA03
EDM04
MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13 APO14
BAI05 BAI01
BAI02
BAI03
BAI04
101 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.4: Considerar los problemas actuales relacionados con I&T—En este paso, los problemas identificados en el paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema. Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.40 muestra la valoración relativa de los objetivos de gobierno y gestión, según el análisis de los problemas actuales relacionados con la I&T (figura 7.39). Figura 7.39—Ejemplo 2, paso 2.4: Problemas relacionados con I&T
Valor
Importancia Línea base (1-3) de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
102 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Sin problema Problema Problema grave
CAPÍTULO 7 EJEMPLOS Figura 7.40—Ejemplo 2, paso 2.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 4 Problemas relacionados con I&T Factor de diseño 4 Problemas relacionados con I&T Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
103 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.5: Alcance inicial del sistema de gobierno—Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los pasos anteriores para producir las prioridades iniciales para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.41). Figura 7.41—Ejemplo 2, paso 2.5: Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión
Paso 2 Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión -100
-50
0
-25
-32
-25
-30
-15 EDM01 25 EDM02 -15 EDM03 EDM04 10 EDM05 APO01 0 APO02 30 APO03 APO04 25 APO05 APO06 25 APO07 30 APO08 -10 APO09 -10 APO10 -10 APO11 -5 APO12 -5 APO13 -10 APO14 BAI01 0 BAI02 10 BAI03 0 BAI04 0 10 BAI05 BAI06 BAI07 25 BAI08 15 BAI09 BAI10 20 BAI11 10 DSS01 DSS02 0 DSS03 -10 DSS04 -10 DSS05 -15 10 DSS06 -5 MEA01 -10 MEA02 MEA03 -15 MEA04
50
100
50 100
40 50 45
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa (cinco objetivos principales):
APO04 Gestionar la innovación
BAI08 Gestionar el conocimiento
APO03 Gestionar la arquitectura empresarial
BAI10 Gestionar la configuración
BAI06 Gestionar los cambios de TI
104 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Los siguientes objetivos de gestión parecen (por el momento) los menos importantes:
MEA03 Gestionar el cumplimiento de los requisitos externos
EDM05 Asegurar el compromiso de las partes interesadas
APO06 Gestionar el presupuesto y los costes
EDM01 Asegurar el establecimiento y el mantenimiento del marco de gobierno
EDM03 Asegurar la optimización del riesgo
DSS05 Gestionar los servicios de seguridad
El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
7.3.3 Paso 3: Perfeccionar el alcance del sistema de gobierno En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño restantes que deben analizarse. (No todos los factores de diseño podrían aplicarse a cada empresa y, por tanto, algunos pueden ser ignorados). La figura 7.42 resume los factores de diseño del 5 al 11 que se aplican a la empresa de innovación de tamaño mediano en este ejemplo. Cuando se aplicó más de un valor para un factor de diseño determinado, esto se indicará en la columna de valor de la figura. Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 Ref
Factor de diseño
Valor
DF5 50 %
Alto
Normal
50%
DF6
Normal
11
38
100%
Prioridad de los objetivos de Componentes gobierno y gestión Escenario de amenazas Entre los objetivos de gobierno y Entre las estructuras gestión importantes se incluyen: organizativas importantes se EDM01, EDM03 encuentran: APO01, APO03, APO10, APO12, Comité de estrategia de APO13, APO14 seguridad BAI06, BAI10 CISO DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y MEA01, MEA03, MEA04 comportamiento importantes se encuentran: Concienciación sobre seguridad Flujos de información: Política de seguridad Estrategia de seguridad Según la definición de alcance N/A inicial Requisitos de cumplimiento Entre los objetivos de gestión N/A importantes se incluyen: EDM01, EDM03 APO12 MEA03, MEA04
Directriz del área prioritaria Área prioritaria de seguridad de la información3811
Modelo Core de COBIT Modelo Core de COBIT
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
105 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.42—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 2 (cont.) Ref
Factor de diseño
Prioridad de los objetivos de gobierno y gestión
Valor
DF7
Componentes
Directriz del área prioritaria
Rol de TI
Estratégico
5 en una escala de 5
Combinación del modo estratégico y Componentes bimodales Área prioritaria de de fábrica (estrategia bimodal); ver la típicos incluidos: transformación figura 4.5 para los objetivos de Estructuras organizativas digital3912 gobierno y gestión relacionados con Director de tecnologías la fábrica y el cambio de TI digitales Habilidades y competencias Personal que puede trabajar en un entorno ambidiestro que combina tanto la exploración como la explotación Procesos Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades de transformación digitales
DF8
Modelo de abastecimiento de proveedores para TI
Nube
100%
Entre los objetivos de gestión importantes se incluyen: APO09, APO10 MEA01
DF9
N/A
Área prioritaria de la nube4013
Métodos de implementación de TI DevOps Agile Tradicional
70% 15% 15%
Entre los objetivos de gobierno y gestión importantes se incluyen: BAI02, BAI03, BAI06
DF10
Roles importantes y específicos conforme se identifican en las directrices del área prioritaria de DevOPs
Área prioritaria de DevOPs4114
Estrategia de adopción de tecnología
Primero en reaccionar (First mover)
100%
Entre los objetivos de gobierno y gestión importantes se incluyen: EDM01, EDM02 APO02, APO04, APO05, APO08 BAI01, BAI02, BAI03, BAI05, BAI07, BAI11 MEA01
DF11
Procesos que pueden ejecutarse a un ritmo más rápido
Área prioritaria de DevOPs Área prioritaria de transformación digital
Tamaño de la empresa Mediano
Según la definición de alcance inicial
N/A
Área prioritaria de PYMEs
Para cada factor de diseño de la figura 7.42, la situación actual evaluada puede combinarse con los objetivos de gobierno y gestión asignados y otras directrices en la figura 7.42. Los ejemplos siguientes se produjeron usando los cálculos de matriz entre los valores de entrada y una correspondencia entre estos valores y los objetivos de gobierno y gestión. Las tablas de asignación se incluyen en los apéndices del F al K de esta publicación. Los diagramas de araña resultantes, con los objetivos de gobierno y gestión priorizados, representan los niveles de importancia relativos comparados con un nivel de referencia. Los niveles de importancia relativos se expresan en una escala de 100 a +100, donde cero (0) indica que no hay ningún impacto en la importancia de un objetivo de gobierno o gestión y +100 indica que el objetivo se ha vuelto el doble de importante debido al factor de diseño en cuestión. 12
13
14
39
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de transformación digital se estaba considerando como una posible área prioritaria futura.
40 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de la nube se estaba considerando como una posible área prioritaria futura. 41 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de DevOps estaba en desarrollo y no se había publicado.
106 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 3.1: Considerar el escenario actual de amenazas de TI—La figura 7.43 muestra el escenario de amenazas bajo el cual se cree que opera la empresa. La figura 7.44 muestra el impacto en los objetivos de gobierno y gestión del escenario de amenazas evaluado. Figura 7.43—Ejemplo 2, paso 3.1: Escenario de amenazas Factor de diseño 5 Escenario de amenazas
Alto
Normal
50%
50%
Figura 7.44—Ejemplo 2, paso 3.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 5 Escenario de amenazas
Factor de diseño 5 Escenario de amenazas Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
107 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Esta clasificación del escenario de amenazas eleva la importancia de un número sustancial de objetivos de gobierno y gestión, conforme a la entrada de la figura 7.42 relacionada con un escenario alto de amenazas. Las directrices de estos objetivos de gobierno y gestión deben obtenerse de las directrices del área prioritaria de seguridad de la información, que contiene directrices más detalladas y específicas sobre ciberseguridad que el modelo Core de COBIT.42 15
Además, la empresa debe considerar incluir lo siguiente en su diseño del sistema de gobierno:
Entre las estructuras organizativas importantes se encuentran:
Comité de estrategia de seguridad
CISO
Entre los aspectos de cultura y comportamiento importantes se encuentran:
Concienciación sobre seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
15 42 En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
108 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 3.2: Considerar los requisitos de cumplimiento—La figura 7.45 muestra los requisitos de cumplimiento para la empresa, estimados como normales. La figura 7.46 muestra el impacto de los requisitos de cumplimiento evaluados en los objetivos de gobierno y gestión. No hay impacto, lo cual es el resultado esperado, ya que normal es la situación de referencia. Figura 7.45—Ejemplo 2, paso 3.2: Requisitos de cumplimiento Factor de diseño 6 Requisitos de cumplimiento
Alto
Normal
Bajo
100%
Figura 7.46—Ejemplo 2, paso 3.2: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 6 Requisitos de cumplimiento Factor de diseño 6 Requisitos de cumplimiento Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
109 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 3.3: Considerar el rol de TI—La figura 7.47 muestra el rol de TI, que se expresa como estratégico. La figura 7.48 muestra el impacto del rol de TI evaluado, en los objetivos de gobierno y gestión. Figura 7.47—Ejemplo 2, paso 3.3: Rol de TI
Figura 7.48—Ejemplo 2, paso 3.3: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 7 Rol de TI Factor de diseño 7 Rol de TI Importancia derivada de objetivos de gobierno/gestión EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
110 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS La empresa debe también considerar los siguientes componentes bimodales típicos, para su inclusión en el diseño del sistema de gobierno:
Estructuras organizativas: director de tecnologías digitales
Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la exploración como la explotación
Procesos: un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades de transformación digitales
Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse del área prioritaria de transformación digital (cuando estén disponibles).
111 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 3.4: Considerar el modelo de abastecimiento de proveedores para TI—La figura 7.49 muestra el modelo de abastecimiento de proveedores seleccionado de la empresa, que será completamente en la nube. La figura 7.50 muestra el impacto del modelo de abastecimiento de proveedores evaluado en los objetivos de gobierno y gestión. El diagrama muestra que este impacto se centra solo en tres objetivos de gestión. Además, la empresa tendrá que recurrir a las directrices del área prioritaria de la nube (cuando esté disponible). Figura 7.49—Ejemplo 2, paso 3.4: Modelo de abastecimiento de proveedores para TI Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Externalización (outsourcing)
Nube
Personal interno (insourcing)
100%
Figura 7.50—Ejemplo 2, paso 3.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de Diseño 8 Modelo de abastecimiento de proveedores para TI
Factor de diseño 8 Modelo de abastecimiento de proveedores para TI Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
112 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 3.5: Considerar los métodos de implementación de TI—La empresa usa mayoritariamente un método DevOPs de implementación para TI (ver la figura 7.51). La figura 7.52 muestra el impacto que esto tiene en los objetivos de gobierno y gestión. Las directrices deben obtenerse del área prioritaria de gestión de DevOPs, como se indica en la figura 7.42. Figura 7.51—Ejemplo 2, paso 3.5: Métodos de implementación de TI
Factor de diseño 9 Métodos de implementación de TI
Agile
DevOPs
Tradicional
15% 15% 70%
Figura 7.52—Ejemplo 2, paso 3.5: Importancia derivada de los objetivos de gobierno/gestión para el Factor de Diseño 9 Métodos de implementación de TI Factor de diseño 9 Métodos de implementación de TI Importancia derivada de los objetivos de gobierno/gestión EDM03
EDM02
EDM04
EDM01 200
MEA04
MEA03 MEA02
175
EDM05
MEA01
150 125
APO01
DSS06
100
APO02
DSS05
75 50
APO03
DSS04
25 0
APO04
DSS03
-25 2 -50 50
APO05
DSS02
-75 5 APO06
DSS01
-10 00 0 0 -100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13 APO14
BAI05 BAI01
BAI02
BAI03
BAI04
113 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 3.6: Considerar la estrategia de adopción de tecnología—La figura 7.53 indica que la empresa es la primera en reaccionar (first mover) cuando se trata de la adopción de nueva tecnología. La figura 7.54 muestra el impacto que esto tiene en las prioridades de los objetivos de gobierno y gestión. Figura 7.53—Ejemplo 2, paso 3.6: Estrategia de adopción de tecnología
Factor de diseño 10 Estrategia de adopción de tecnología
Primero en reaccionar
Adoptadores lentos
Seguidor
100%
Figura 7.54—Ejemplo 2, paso 3.6: Resultando importancia derivada de los objetivos de gobierno/gestión para el Factor de Diseño 10 Estrategia de adopción de tecnología Factor de diseño 10 Estrategia de adopción de tecnología Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
114 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Además de los objetivos de gobierno y gestión priorizados, las directrices deben obtenerse de las áreas prioritarias de transformación digital y DevOPs (cuando estén disponibles). Paso 3.7: Considerar el tamaño de la empresa—La empresa se clasifica como mediana. Conforme a la figura 7.42, esto significa que el área prioritaria de la pequeña y mediana empresa43 debería usarse como referencia para la definición del sistema de gobierno. 16
7.3.4 Paso 4: Finalizar el diseño de la solución de gobierno El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan los conflictos y se alcance una conclusión. El sistema de gobierno resultante refleja una cuidadosa consideración de todos los aportes; hay que tener en cuenta que estos aportes podrían en ocasiones entrar en conflicto y que se debe elegir entre ellas. 7.3.4.1 Objetivos de gobierno y gestión
Llegados a este punto, es posible añadir las prioridades de gobierno y gestión derivadas de los pasos 3.1 al 3.7 a los resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esta síntesis genera las prioridades ajustadas siguientes para los objetivos de gobierno y gestión en el sistema de gobierno (figura 7.55).
16
43
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de pequeñas y medianas empresas estaba en desarrollo y no se había publicado aún.
115 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.55—Ejemplo 2, paso 4.1: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)
Es probable que los objetivos de gestión siguientes sean importantes para el sistema de gobierno de esta empresa:
APO03 Gestionar la arquitectura empresarial (100)
APO04 Gestionar la innovación (90)
APO07 Gestionar los recursos humanos (85)
BAI10 Gestionar la configuración (85)
BAI03 Gestionar la identificación y construcción de soluciones (70)
BAI07 Gestionar la aceptación y la transición del cambio de TI (70)
Los objetivos más importantes han cambiado ligeramente comparados con la lista identificada en la definición del alcance inicial del paso 2.5. Los objetivos de gestión siguientes parecen los menos importantes:
APO06 Gestionar el presupuesto y el coste
MEA03 Gestionar el cumplimiento de los requisitos externos
116 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS
APO11 Gestionar los proyectos
BAI04 Gestionar la disponibilidad y la capacidad
A la hora de comparar este resultado con el alcance inicial, pueden hacerse las siguientes observaciones:
En general, la mayoría de los objetivos de gobierno y gestión han logrado una importancia significativa después de tener en cuenta los factores de diseño adicionales; esto puede explicarse por el escenario de altas amenazas y el papel estratégico de I&T.
Los objetivos de gobierno/gestión que han tenido una mayor valoración después de la definición del alcance inicial suelen seguir obteniendo una mayor valoración luego de refinar el alcance.
La empresa decide que está satisfecha con la puntuación de la importancia de los objetivos de gobierno y gestión. Tras la discusión, la empresa decide que la primera etapa de su diseño del sistema de gobierno consistirá en los objetivos de gobierno y gestión (con los procesos correspondientes) que se muestran en la figura 7.56. Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de procesos Ref EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO07 APO08 APO09 APO10 APO12 APO14 BAI01 BAI02 BAI03 BAI05 BAI06 BAI07 BAI08 BAI10 BAI11 DSS01 DSS02 DSS03
Objetivo de gobierno/gestión Asegurar el establecimiento y el mantenimiento del marco de gobierno Asegurar la entrega de beneficios Asegurar la optimización del riesgo Asegurar la optimización de recursos Asegurar el compromiso de las partes interesadas Gestionar el marco de gestión de I&T Gestionar la estrategia Gestionar la arquitectura empresarial Gestionar la innovación Gestionar el portafolio Gestionar los recursos humanos Gestionar las relaciones Gestionar los acuerdos de servicio Gestionar los proveedores Gestionar los riesgos Gestionar los datos Gestionar los programas Gestionar la definición de requisitos Gestionar la identificación y construcción de soluciones Gestionar el cambio organizativo Gestionar los cambios de TI Gestionar la aceptación y la transición del cambio de TI Gestionar el conocimiento Gestionar la configuración Gestionar los proyectos Gestionar las operaciones Gestionar las peticiones y los incidentes del servicio Gestionar los problemas
Nivel de capacidad objetivo de proceso 2 3 3 2 2 2 2 4 4 3 4 3 2 2 3 2 2 3 3 3 3 3 3 4 2 3 2 2
117 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.56—Ejemplo 2 Objetivos de gobierno y gestión con niveles objetivo de capacidad de procesos (cont.) Ref DSS04 DSS05 DSS06 MEA01
Objetivo de gobierno/gestión Gestionar la continuidad Gestionar los servicios de seguridad Gestionar los controles del proceso de negocio Gestionar la monitorización del rendimiento y la conformidad
Nivel de capacidad objetivo de proceso 2 2 2 3
La figura 7.56 muestra la referencia, el título del objetivo de gobierno y gestión y el nivel de capacidad objetivo al que deben implementarse los procesos relacionados. Dada la importancia de una serie de procesos, el nivel de capacidad objetivo se ha configurado en un nivel superior (3 o 4). La lógica aplicada por la empresa es la misma que se ha utilizado en el ejemplo 1:
Cualquier objetivo de gobierno/gestión con una valoración de 75 o superior (lo que significa que su importancia era al menos un 75% superior comparada con una situación de referencia), requeriría un nivel de capacidad 4.
Cualquier objetivo de gobierno/gestión con una valoración de 50 o superior requeriría un nivel de capacidad 3.
Cualquier objetivo de gobierno/gestión con una valoración de 25 o superior requeriría un nivel de capacidad 2.
7.3.4.2 Otros componentes
La empresa deberá prestar especial atención a la implementación robusta de los roles y estructuras siguientes (junto con otros componentes) del sistema de gobierno:
Soporte del rol de gestión del portafolio con una oficina de inversión
Los roles del arquitecto empresarial y del director de tecnologías digitales
Un componente de servicios, infraestructura y aplicaciones para facilitar la automatización y el crecimiento y lograr economías de escala
Influencia del componente de la cultura y el comportamiento en la innovación
Entre las estructuras organizativas importantes se encuentran:
Comité de estrategia de seguridad
CISO
Entre los aspectos de cultura y comportamiento importantes se encuentran:
Concienciación sobre seguridad
Flujos de información:
Política de seguridad
Estrategia de seguridad
Habilidades y competencias: personal que puede trabajar en un entorno ambidiestro que combina tanto la exploración como la explotación
Procesos: Un portafolio y un proceso de innovación que integra la exploración y explotación de las oportunidades de transformación digitales
7.3.4.3 Directrices para áreas prioritarias específicas
La empresa usará las directrices siguientes para complementar las directrices del modelo Core de COBIT:
Directrices del área prioritaria de pequeñas y medianas empresas, porque se personaliza para su uso por empresas más pequeñas
118 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS
Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados del análisis de riesgos y los problemas actuales relacionados con la I&T
Directrices de las áreas prioritarias de DevOPs, la nube y transformación digital, cuando y donde sean aplicables y estén disponibles
7.4 Ejemplo 3: Agencia gubernamental de perfil alto Este Caso de Estudio muestra la aplicación del flujo de trabajo para diseñar un sistema de gobierno personalizado para una agencia gubernamental grande de alto perfil que proporciona servicios de salud, pagos financieros, educación y otros servicios a aquellos que necesitan asistencia. Sus operaciones están descentralizadas, con hospitales, clínicas y oficinas en regiones de todo el país. El presupuesto y la planificación de I&T y el presupuesto de operaciones están distribuidos entre hospitales, beneficios financieros y otras unidades de negocio; y la unidad de TI proporciona soporte de infraestructuras, operaciones de red, y un centro de operaciones de seguridad. La agencia considera que I&T es crítico para el éxito de la organización y que debe cumplir con leyes y regulaciones, especialmente los reglamentos de servicios de salud que siguen emergiendo. La empresa sigue una estrategia tradicional hacia desarrollos y operaciones nuevas y se muestra bastante indecisa a la hora de adoptar nuevas tecnologías. Hay una función de auditoría muy activa y existen decenas de hallazgos significativos relacionadas con cómo la agencia protege su I&T, sobre todo en los relacionado con la seguridad y la privacidad. Como es una agencia gubernamental, es un objetivo principal de los hackers y hace poco sufrió un hackeo importante a todo su archivo de beneficiarios.
7.4.1 Paso 1: Entender el contexto y estrategia de la empresa El primer paso consiste en resumir el contexto externo e interno de la agencia. Paso 1.1: Entender la estrategia empresarial—El foco de la agencia a la hora de proporcionar servicios excelentes a sus miembros se refleja en la figura 7.57. Figura 7.57—Ejemplo 3, paso 1.1: Estrategia empresarial
Factor de diseño 1 Estrategia empresarial Importancia de las distintas estrategias (Entrada) Crecimiento/Adquisición
1
Innovación/Diferenciación
1
3
Liderazgo en costes
5
Servicio al cliente/Estabilidad
0
1
2
3
4
5
119 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 1.2: Entender las metas empresariales—La agencia ha clasificado las 13 metas empresariales genéricas en una escala del 1 al 5, conforme se muestra en la figura 7.58. El diagrama muestra que EG02 Gestión de riesgo de negocio, EG03 Cumplimiento de leyes y regulaciones externas, EG05 Cultura de servicio orientada al cliente y EG09 Optimización de costes de los procesos del negocio son las metas empresariales con la clasificación más alta. Figura 7.58—Ejemplo 3, paso 1.2: Metas empresariales
Factor de diseño 2 Metas empresariales EG01—Portafolio de productos y servicios competitivos
1
EG02—Gestión de riesgo de negocio
5
EG03—Cumplimiento de leyes y regulaciones externasns
5 2
EG04—Calidad de la información financieran
5
EG05—Cultura de servicio orientada al cliente
4
EG06—Continuidad y disponibilidad del servicio del negocio
3
EG07—Calidad de la información sobre gestión
2
EG08—Optimización de la funcionalidad de procesos internos del negocio
5
EG09—Optimización de costes de procesos del negocio
3
EG10—Habilidades, motivación y productividad del personal EG11—Cumplimiento con las políticas internas
2
EG12—Gestión de programas de transformación digital
2
EG13—Innovación de productos y negocios
1
120 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Paso 1.3: Entender el perfil de riesgo—Un análisis de riesgos de alto nivel ha derivado en un perfil de riesgo, que se muestra en la figura 7.59. Figura 7.59—Ejemplo 3, paso 1.3: Perfil de riesgo
Categoría del escenario de riesgo
Impacto Probabilidad (1-5) (1-5)
Clasificación de riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Coste y auditoría de TI
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de la Empresa/TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.] Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de información y datos
121 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 1.4: Entender los problemas actuales relacionados con I&T—Un análisis de la situación actual derivó en la evaluación de los problemas relacionados con I&T actuales, como se muestra en la figura 7.60. Figura 7.60—Ejemplo 3, paso 1.4: Problemas relacionados con I&T
Valor
Importancia (1-3)
Línea base de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Alto coste de protección de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando Los departamentos del negocio implementan sus propias soluciones de información con poca o ninguna participación del departamento de TI de la empresa Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
122 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Problema grave
CAPÍTULO 7 EJEMPLOS 7.4.2 Paso 2: Determinar el alcance inicial del sistema de gobierno El alcance inicial del sistema de gobierno se determina con la información (parcial o total) recopilada durante el paso 1. El paso 2 traslada esta información sobre la estrategia empresarial, metas empresariales, perfil de riesgo y problemas relacionados con I&T a componentes de gobierno relevantes. Paso 2.1: Considerar la estrategia empresarial—El diagrama siguiente representa la estrategia empresarial, como se identifica en el paso 1.1 (figura 7.61). La figura 7.62 muestra la influencia relativa que estas estrategias tienen en los objetivos de gobierno y gestión. Figura 7.61—Ejemplo 3, paso 2.1: Estrategia empresarial
Factor de diseño 1 Estrategia empresarial
Crecimiento/Adquisición
1
Innovación/Diferenciación
1
3
Liderazgo en costes
5
Servicio al cliente/Estabilidad
0
1
2
3
4
5
Figura 7.62—Ejemplo 3, paso 2.1: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 1 Estrategia empresarial
Factor de diseño 1 Estrategia empresarial Importancia derivada de objetivos de gobierno/gestión (Salida) EDM02 EDM03
EDM01
100
MEA04 MEA03
EDM04
MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75 -100
APO06
DSS01
APO07
BAI11
BAI10
APO08
APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 BAI05
APO13 APO14
BAI04 BAI01
BAI02
BAI03
123 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.2: Considerar las metas empresariales y aplicar la cascada de metas de COBIT—Llegados a este punto, la cascada de metas de COBIT se aplica para determinar qué objetivos de gobierno y gestión son relevantes para lograr las metas empresariales prioritarias, según su clasificación, asignadas en el paso 1.2 (figura 7.63). La figura 7.64 muestra la influencia relativa que estas metas empresariales valoradas tienen en los objetivos de gobierno y gestión. Figura 7.63—Ejemplo 3, paso 2.2: Metas empresariales
Factor de diseño 2 Metas empresariales EG01—Portafolio de productos y servicios competitivos
1
EG02—Gestión de riesgo de negocio
5
EG03—Cumplimiento de leyes y regulaciones externas
5 2
EG04—Calidad de la información financiera
5
EG05—Cultura de servicio orientada al cliente
4
EG06—Continuidad y disponibilidad del servicio del negocio
3
EG07—Calidad de la información sobre gestión
2
EG08—Optimización de la funcionalidad de procesos internos del negocio
5
EG09—Optimización de costes de procesos del negocio
3
EG10—Habilidades, motivación y productividad del personal EG11—Cumplimiento con las políticas internas
2
EG12—Gestión de programas de transformación digital
2
EG13—Innovación de productos y negocios
1
124 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Figura 7.64—Ejemplo 3, paso 2.2: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 2 Metas empresariales
Factor de diseño 2 Metas empresariales Importancia derivada de objetivos de gobierno/gestión EDM03
EDM02
EDM01 100
MEA04
MEA03
EDM04
MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13 APO14
BAI05 BAI01
BAI02
BAI03
BAI04
125 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.3: Considerar el perfil de riesgo de la empresa.—En el paso 1.3, las categorías de riesgo de IT se identificaron y analizaron en un alto nivel (la figura 7.65). Dependiendo de la correspondencia entre el perfil de riesgo y los objetivos de gobierno y gestión de COBIT (como se explica en la sección 4.2.3 y conforme a la tabla de asignación incluida en el apéndice D), la figura 7.66 muestra la clasificación relativa de los objetivos de gobierno y gestión, dependiendo de los resultados del análisis de riesgos. Figura 7.65—Ejemplo 3, paso 2.3: Perfil de riesgo
Categoría del escenario de riesgo
Impacto (1-5)
Probabili- Clasificación de dad (1-5) riesgos
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Riesgo muy alto
Gestión de ciclo de vida de programas y proyectos
Riesgo alto
Gestión de ciclo de vida de programas y proyectos
Riesgo normal
Comportamiento, habilidades y conocimiento de TI
Riesgo bajo
Arquitectura de la Empresa/TI Incidentes de infraestructura operativa de TI Acciones no autorizadas Adopción de software/problemas de uso Incidentes de hardware Fallos de software Ataques lógicos [hackeo, software malintencionado (malware), etc.] Incidentes de terceros/proveedores Incumplimiento Problemas geopolíticos Acción industrial Actos de la naturaleza Innovación tecnológica Medio ambiente Gestión de información y datos
126 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Figura 7.66—Ejemplo 3, paso 2.3: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 3 Perfil de riesgo Factor de diseño 3 Perfil de riesgo Importancia derivada de objetivos de gobierno/gestión EDM03
EDM02
EDM01 100
MEA04
MEA03
EDM04
MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
APO06
DSS01
-100
APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13 APO14
BAI05 BAI01
BAI02
BAI03
BAI04
127 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Paso 2.4: Considerar los problemas actuales relacionados con I&T. En este paso, los problemas identificados en el paso 1.4 están relacionados con los objetivos de gobierno y gestión de COBIT a través de una tabla de asignación (Apéndice E) que asocia cada problema a uno o más objetivos de gobierno o gestión que pueden influir en ese problema (figura 7.67). Basada en esa asignación (como se explica en la sección 4.2.4), la figura 7.68 muestra la valoración relativa de los objetivos de gobierno y gestión, según el análisis empresarial de los problemas actuales relacionados con la I&T. Figura 7.67—Ejemplo 3, paso 2.4: Problemas relacionados con I&T
Valor
Importance (1-3)
Línea base de referencia
Frustración entre distintas unidades de TI en toda la organización debido a una percepción de baja contribución al valor del negocio
Sin problema
Frustración entre distintos departamentos de la empresa (como el cliente de TI) y el departamento de TI debido a iniciativas fracasadas o una percepción de baja contribución al valor del negocio
Problema
Incidentes significativos relacionados con TI, como pérdida de datos, violaciones de seguridad, fallo del proyecto y errores de la aplicación, relacionados con TI Problemas de ejecución del servicio por parte de los subcontratistas de TI Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI Hallazgos de auditoría regulares u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas de calidad y servicio de TI Gasto sustancial oculto y fraudulento en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos de decisión de inversión en IT normales y los presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse con las TI o una falta de compromiso empresarial para patrocinar a TI Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI
Excesivamente alto coste de TI Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes Nivel elevado de cómputo para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollando e implementando Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad Incapacidad para explotar nuevas tecnologías o innovar con las TI
128 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Problema grave
CAPÍTULO 7 EJEMPLOS Figura 7.68—Ejemplo 3, paso 2.4: Importancia derivada de objetivos de gobierno/gestión para el Factor de diseño 4 Problemas relacionados con I&T
Factor de diseño 4 Problemas relacionados con I&T Importancia derivada de objetivos de gobierno/gestión
EDM04
EDM03
EDM02
EDM01 100
MEA04
MEA03 MEA02
75
EDM05
MEA01
50
APO01
DSS06
25
APO02
DSS05
0
APO03
DSS04
-25
APO04
DSS03
-50 APO05
DSS02
-75
DSS01
-100
APO06 APO07
BAI11 BAI10
APO08 APO09
BAI09 BAI08
APO10 APO11
BAI07
APO12
BAI06 APO13
APO14
BAI01
BAI02
BAI03
BAI04
BAI05
Paso 2.5: Alcance inicial del sistema de gobierno. Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los pasos anteriores. Los resultados iniciales se comentarán con la dirección y se ajustarán para dos objetivos de gestión: APO02 Gestionar la estrategia (cuya prioridad aumentó) y APO09 Gestionar los acuerdos de servicio (cuya prioridad disminuyó). Estos ajustes resultaron en las siguientes prioridades iniciales para los objetivos de gobierno y gestión en el sistema de gobierno.
129 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.69—Ejemplo 3, paso 2.5: Diseño inicial Resumen de la Importancia de los objetivos de gobierno y gestión
Paso 2 Diseño inicial (Resumen) Importancia de los objetivos de gobierno y gestión -100
-50
0 EDM01 EDM02 EDM03 -20 EDM05 APO01 -40 -35 -40
-25 -10 -25
-40
100
50 25 25 55 EDM04 10 20 APO02 APO03 APO04 APO05 APO06 APO07
APO08 15 APO09 25 -15 APO10 APO11 APO12 APO13 30 APO14 -10 BAI01 BAI02 5 BAI03 5 BAI04 BAI05 0 BAI06 25 10 BAI07 BAI08 BAI09 BAI10 25 BAI11 20 DSS01 15 DSS02 DSS03 DSS04 DSS05 35 DSS06 MEA01 5 MEA02 20 MEA03 25 MEA04 25
50 80 100
75
60
75 50 55 55
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una puntuación de prioridad igual o superior a 60:
APO13 Gestionar la seguridad (100) APO12 Gestionar los riesgos (80) DSS02 Gestionar las peticiones y los incidentes del servicio (75) BAI04 Gestionar la disponibilidad y la capacidad (75) BAI09 Gestionar los activos (60)
Los objetivos de gestión siguientes parecen (por el momento) los menos importantes (con una valoración inferior a -25):
APO02 Gestionar la estrategia
APO04 Gestionar la innovación
BAI08 Gestionar el conocimiento
APO03 Gestionar la arquitectura empresarial
130 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS El paso siguiente determinará qué refinamientos se requieren en este alcance inicial del sistema de gobierno.
7.4.3 Paso 3: Perfeccionar el alcance del sistema de gobierno En el paso 3, se identifican los refinamientos al alcance inicial, dependiendo del conjunto de factores de diseño incluidos que deben analizarse. No todos los factores de diseño podrían aplicarse a todas las empresas, en ese caso pueden ignorarse. La figura 6.70 muestra un resumen de los factores de diseño del 5 al 11 que son aplicables a la empresa de innovación de tamaño mediano de este ejemplo. Cuando se haya aplicado más de un valor para un factor de diseño determinado, se indicará en la columna de valor de la figura. Figura 7.70—Tabla de refinamiento del alcance del sistema de gobierno aplicada al ejemplo 3 Ref
Factor de diseño
Prioridad de los objetivos de gobierno y gestión
Valor
DF5
Alto
100%
Baja
100%
Soporte
5 de una escala de 5
DF6
Escenario de amenazas Entre los objetivos de gobierno y Entre las estructuras gestión importantes se incluyen: organizativas importantes se EDM01, EDM03 encuentran: APO01, APO03, APO10, APO12, Comité de estrategia de APO13, APO14 seguridad BAI06, BAI10 CISO DSS02, DSS04, DSS05, DSS06 Entre los aspectos de cultura y MEA01, MEA03, MEA04 comportamiento importantes se encuentran: Concienciación sobre seguridad Flujos de información: Política de seguridad Estrategia de seguridad Requisitos de cumplimiento Según la definición de alcance N/A inicial
DF7
100%
100%
DF10 Seguidor
100%
Modelo Core de COBIT Modelo Core de COBIT
Modelo de abastecimiento de proveedores para TI Según la definición de alcance N/A inicial
Modelo Core de COBIT
Métodos de implementación de TI Según la definición de alcance N/A inicial
Modelo Core de COBIT
Estrategia de adopción de tecnología Entre los objetivos de gobierno y Procesos que pueden gestión importantes se incluyen: ejecutarse a un ritmo más APO02, APO04, lento BAI01
DF11 Grande
Área prioritaria de seguridad de la información4417
Rol de TI Según la definición de alcance N/A inicial
DF9 Tradicional
Directriz del área prioritaria
DF8 Personal interno
Componentes
Tamaño de la empresa Según la definición de alcance N/A inicial
Modelo Core de COBIT
Modelo Core de COBIT
En ambos ejemplos anteriores, la aplicación de cada factor de diseño se detalló completamente. Este ejemplo no incluye los cálculos y diagramas detallados, y solo presenta el resultado final. Además de aplicar los factores de diseño, conforme a lo explicado en la figura 7.70, se vuelve a destacar la importancia de los procesos de alineamiento con su estrategia de I&T. 17
44
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, el contenido del área prioritaria de seguridad de la información estaba en desarrollo y aún no se había publicado.
131 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 7.4.4 Paso 4: Finalizar el diseño de la solución de gobierno El último paso del proceso de diseño requiere que se discutan todos los aportes de los pasos anteriores, se resuelvan los conflictos y se alcance una conclusión. El sistema de gobierno resultante es el resultado de una cuidadosa consideración de todos los aportes, teniendo en cuenta que éstos podrían entrar a veces en conflicto y que se debe tomar una decisión, incluyendo la discusión que ponga en relevancia la importancia del objetivo APO 02 Gestionar la estrategia . 7.4.4.1 Objetivos de gobierno y gestión
Llegados a este punto, es posible combinar las prioridades de gobierno y gestión resultantes de los pasos 3.1 al 3.7 a los resultados obtenidos del diseño inicial del sistema de gobierno en los pasos 2.1 al 2.4. Esto genera las siguientes prioridades ajustadas para los objetivos de gobierno y gestión en el sistema de gobierno. Figura 7.71—Ejemplo 3, paso 4: Importancia de los objetivos de gobierno y gestión (Todos los factores de diseño)
Es probable que los siguientes objetivos de gobierno y gestión sean importantes para el sistema de gobierno de esta agencia, si se tienen en cuenta todos los objetivos de gobierno y gestión con una valoración de prioridad igual o superior a 60:
APO13 Gestionar la seguridad (100)
DSS02 Gestionar las peticiones y los incidentes del servicio (70)
132 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS
DSS05 Gestionar los servicios de seguridad (65)
DSS04 Gestionar la continuidad (65)
BAI04 Gestionar la disponibilidad y la capacidad (60)
Los siguientes objetivos de gestión parecen los menos importantes (con una valoración inferior a -50):
APO04 Gestionar la innovación (-40)
APO02 Gestionar la estrategia (-30)
BAI08 Gestionar el conocimiento (-30)
APO05 Gestionar el portafolio (-25)
BAI03 Gestionar la identificación y construcción de soluciones (-25)
El resultado final refleja varios cambios relativos a las prioridades en el diseño inicial (obtenido tras el paso 2). Tras el debate, la agencia decidió que su diseño del sistema de gobierno consistirá en la lista priorizada de objetivos de gobierno y gestión (con los procesos subyacentes) que se muestran en la figura 7.72. La figura contiene todos los objetivos de gobierno y gestión de COBIT, el nivel de capacidad sugerido basado en el resultado del paso 3, y la decisión que ha tomado la dirección sobre los niveles de capacidades objetivo. Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso Ref EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07
Nivel objetivo sugerido de capacidad de procesos
Objetivo de gobierno/gestión Asegurar el establecimiento y el mantenimiento del marco de gobierno Asegurar la entrega de beneficios Asegurar la optimización del riesgo Asegurar la optimización de recursos Asegurar el compromiso de las partes interesadas Gestionar el marco de gestión de TI Gestionar la estrategia Gestionar la arquitectura empresarial Gestionar la innovación Gestionar el portafolio Gestionar el presupuesto y los costes Gestionar los recursos humanos Gestionar las relaciones Gestionar los acuerdos de servicio Gestionar los proveedores Gestionar la calidad Gestionar los riesgos Gestionar la seguridad Gestionar los datos Gestionar los programas Gestionar la definición de requisitos Gestionar la identificación y construcción de soluciones Gestionar la disponibilidad y capacidad Gestionar el cambio organizativo Gestionar los cambios de TI Gestionar la aceptación y la transición del cambio de TI
1 1 2 1 2 2 1 1 1 1 1 1 1 1 1 3 2 4 3 1 1 1 3 1 2 1
Nivel objetivo decidido de capacidad de procesos 3 3 3 3 3 2 3 2 1 3 3 2 2 2 2 3 4 4 4 3 2 2 2 2 2 2
133 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura 7.72—Ejemplo 3, Objetivos de gobierno y gestión y niveles objetivo de capacidad de proceso (cont.) Ref BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Nivel objetivo sugerido de capacidad de procesos
Objetivo de gobierno/gestión Gestionar el conocimiento Gestionar los activos Gestionar la configuración Gestionar los proyectos Gestionar las operaciones Gestionar las peticiones y los incidentes del servicio Gestionar los problemas Gestionar la continuidad Gestionar los servicios de seguridad Gestionar los controles del proceso de negocio Gestionar la monitorización del rendimiento y la conformidad Gestionar el sistema de control interno Gestionar el cumplimiento de los requisitos externos Gestionar el aseguramiento
1 2 2 1 1 3 2 3 3 2 1 2 2 2
Nivel objetivo decidido de capacidad de procesos 1 2 2 3 2 2 2 2 3 3 2 2 2 2
Es una prerrogativa de la gestión definir los niveles objetivo que difieran de los sugeridos por una estrategia semi(automática), porque las tablas de asignación y las metas y condiciones genéricas puede que no sean siempre aptas para el contexto particular de la empresa. En la figura 7.72, el nivel de capacidades objetivo sugerido y el nivel objetivo decidido eran idénticos (o variaban solo un nivel) en casi el 80 por ciento de los objetivos de gobierno y gestión. Las mayores desviaciones sucedieron en los objetivos de gobierno y gestión relacionados con el coste y presupuesto de TI, los programas y proyectos y la estrategia. Aunque las evaluaciones de la estrategia de la empresa, metas empresariales, riesgo, problemas de I&T y otros factores de diseño indicaban bajas prioridades para los objetivos de gobierno y gestión, la dirección decidió dar a estos objetivos mayores metas para abordar los problemas de gobierno de la agencia. 7.4.4.2 Otros componentes
La agencia deberá prestar especial atención a una robusta implementación de los roles y estructuras siguientes (junto con otros componentes) del sistema de gobierno:
La agencia establecerá una política de alta dirección que exprese su fuerte respaldo al establecimiento de una estructura de gobierno de I&T, estándares, políticas y procedimientos de I&T, y para la implementación de los siguientes estructuras y roles. (El gobierno de I&T actual y las estructuras organizativas implementadas por esta gran agencia gubernamental de alto perfil se muestra a continuación en la figura 7.73).
En cuanto a las estructuras organizativas, se decidió implementar los roles siguientes:
Consejo de gestión estratégica
Consejo de liderazgo en I&T
Consejo de presupuesto y problemas a corto plazo
Consejo de programación y problemas a largo plazo
Proceso de planificación del personal
Proceso de planificación e inversión de activos de capital
Proceso de desarrollo legislativo
134 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
CAPÍTULO 7 EJEMPLOS Figura 7.73—Ejemplo 3, paso 4: Estructuras organizativas Estructuras organizativas
Formulación del presupuesto
Comité ejecutivo
Formulación del presupuesto
Consejo de gestión estratégica (CGE)
Formulación del presupuesto y otras cuestiones
Proceso del formulación de presupuesto
Proceso de planificación del personal
Planificación estratégica y proceso de formulación de políticas
Proceso de planificación e inversión de activos de capital
Formulación del presupuesto y otras cuestiones
Consejo de Liderazgo en Información y Tecnología (CLIT)
Proceso de desarrollo legislativo
Gobierno de campo
Consejo de Presupuesto y problemas a corto plazo (CPPCP)
Consejos de Programas / Iniciativas (Ej. Hev, FLITE)
Consejo de programación y problemas a largo plazo (CPPLP)
Consejos especializados (ej. Gestión de datos de SLAs)
Reuniones de relaciones de negocio (Administración y personal de oficina)
La agencia también garantizará una concienciación adecuada sobre riesgo, seguridad y privacidad en toda la organización. 7.4.4.3 Directrices para áreas prioritarias específicas
La agencia usará las directrices siguientes para complementar las directrices del Modelo Core de COBIT:45
18
El contenido del área prioritaria de riesgo, dado el alto escenario de amenazas y los resultados del análisis de riesgos y los actuales problemas de la I&T
Directrices del área prioritaria de seguridad de la información, dado el alto escenario de amenazas y los resultados del análisis de riesgos y los actuales problemas de la I&T
45
En el momento de la publicación de la guía de diseño COBIT® 2019: Diseño de una solución de Gobierno de Información y Tecnología, las áreas prioritarias de riesgo y seguridad de la información estaban en desarrollo y aún no se habían publicado.
135 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Página intencionalmente en blanco
136 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
APENDICES APENDICE A APENDICES Los siguientes apéndices incluyen las tablas de asignación entre los objetivos de gobierno y gestión y los factores de diseño que se identificaron en la sección 2.6. Las asignaciones expresan hasta qué grado los valores del factor de diseño influyen en la importancia de un objetivo de gobierno o gestión. Las asignaciones usan una escala de cero (0) a cuatro (4): 4 indica la mayor influencia y 0 indica la ausencia de cualquier relación. Ejemplo: Cuando una empresa selecciona una estrategia de crecimiento para DF2 Estrategia empresarial, la asignación del apéndice A muestra que el objetivo de gestión APO03 Gestionar la arquitectura empresarial será muy importante (un valor de 4).
Apéndice A: Tabla de asignación—Estrategias empresariales a objetivos de gobierno y gestión Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión DF1
Crecimiento/Adquisición
Innovación/ Diferenciación
Liderazgo en costes
Servicio al cliente/estabilidad
EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08
1.0 1.5 1.0 1.5 1.5 1.0 3.5 4.0 1.0 3.5 1.5 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 4.0 1.0 1.0 1.0 4.0 2.0 1.5 1.0
1.0 1.0 1.0 1.0 1.5 1.0 3.5 2.0 4.0 4.0 1.0 1.0 1.5 1.0 1.0 1.0 1.5 1.0 1.0 2.0 1.0 1.0 1.0 2.0 2.0 2.0 3.5
1.5 2.0 1.0 4.0 1.0 1.0 1.5 1.0 1.0 2.5 4.0 1.0 1.0 1.5 3.5 1.0 1.0 1.0 1.0 1.5 1.5 1.5 1.0 1.0 1.0 1.0 1.0
1.5 3.5 2.0 1.0 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 3.5 4.0 1.5 4.0 2.5 2.5 1.0 1.5 1.0 1.0 3.0 1.5 1.5 1.5 1.0
137 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura A.1—Asignación de la estrategia empresarial a objetivos de gobierno y gestión (cont.) DF1
Crecimiento/Adquisición
BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
1.0 1.0 3.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
Innovación/ Diferenciación 1.0 1.0 3.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
Liderazgo en costes 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
138 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Servicio al cliente/estabilidad 1.0 1.0 1.0 1.5 4.0 3.0 4.0 2.5 1.5 1.0 1.0 1.0 1.0
Cumplimiento de I&T con las políticas internas
Personal competente y motivado con un entendimiento mutuo de la tecnología y el negocio
Conocimiento, experiencia e iniciativas para la innovación empresarial
AG12
AG13
Calidad de la información sobre gestión de I&T
Ejecución de programas dentro del plazo, sin exceder el presupuesto, y cumpliendo con los requisitos y estándares de calidad
Habilitar y dar soporte a procesos de negocio mediante la integración de aplicaciones y tecnología
P
P
P
P
Seguridad de la información, infraestructura de procesamiento y aplicaciones, y privacidad
P
Agilidad para convertir los requerimientos del negocio en soluciones operativas
S
Prestación de servicios I&T conforme a los requerimientos del negocio
Calidad de la información financiera relacionada con la tecnología
Gestión de riesgo relacionado con I&T Beneficios obtenidos de el portafolio de inversiones y servicios relacionados con I&T
Cumplimiento y soporte de I&T para el cumplimiento empresarial con las leyes y regulaciones externas
AG11
AG10
AG09
AG08
AG07
AG06
AG05
AG04
AG02 AG03
AG01
EG01 Portafolio de productos y servicios competitivos
S
P
P
S
Gestión de riesgo de negocio
EG02
S
P
P
Cumplimiento de leyes y regulaciones externas
EG03
P
P
Calidad de la información financiera
EG04
EG05
S
S
P
S
S
S
Cultura de servicio orientada al cliente
EG06
P
S
S
Continuidad y disponibilidad del servicio del negocio
P
P
Calidad de la información sobre gestión
EG07
EG08
EG09
S
S
S
S
S
S
S
P
S
Optimización de la funcionalidad Optimización de costes de de procesos procesos del internos del negocio negocio
EG11
P
S
P
S
Habilidades, Cumplimiento motivación y con las productividad políticas del personal internas
EG10
S
P
P
S
S
P
Gestión de programas de transformación digital
EG12
P
S
S
S
Innovación de productos y negocios
EG13
APENDICES APENDICE B
Apéndice B: Tabla de asignación—Metas empresariales a metas de alineamiento Figura A.2—Asignación de metas empresariales a metas de alineamiento
139
Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Apéndice C: Tabla de asignación—Metas de alineamiento a objetivos de gobierno y gestión Figura A.3—Asignación de metas de alineamiento a objetivos de gobierno y gestión AG01 AG02 AG03 I&T Cumplimiento compliance y soporte de and support I&T para el Beneficios cumplimiento for business Realized obtenidos de empresarial compliance benefits from el portafolio de conwith las leyes I&T-enabled inversiones y Gestión de y external Managed investments servicios riesgo regulaciones laws and I&T-related and services relacionados relacionado externas con I&T regulations risk portfolio con I&T EDM01 Ensured governance Asegurar el establecimiento y el mantenimiento framework settingdeland marco de gobierno maintenance Asegurar la obtención de delivery beneficios. EDM02 Ensured benefits Garantizar larisk optimización del riesgo EDM03 Ensured optimization
EDM04 Ensured Asegurar resource la optimización de recursos optimization stakeholder EDM05 Ensured Asegurar el compromiso de las partes interesadas engagement I&T APO01 Managed Gestionar el marco de gestión de I&T framework management APO02 Managed Gestionar lastrategy estrategia
P
S
AG04
Calidad Qualitydeofla información technologyfinanciera related relacionada financial con la information tecnología
S
S
S S S
S
S
S
P
S P
P
P S
P
S S S
P S S P
BAI02
Managed Gestión derequirements la definición de definition requisitos Managed Gestionar lasolutions identificación y identification build construcción deand soluciones Gestionar la disponibilidad Managed availability and y la capacidad capacity Managed organizational Gestionar el cambio changes organizativo Managed IT changes Gestionar los cambios de TI
S S
BAI08
Managed ITaceptación change Gestionar la acceptance y la transiciónand de los cambios de TI transitioning Managed Gestionar elknowledge conocimiento
BAI09
Managed assets Gestionar los activos
BAI10
Managed Gestionar laconfiguration configuración
BAI11
Managed projects Gestionar los proyectos
S
P
S
S
S
S S
S
S
S
P
S
P
P
S
P
P
S
S
S
P
P
S
S
P
P
P
S
P
P
P
S
P P
S
S
S
S
S
P
S
P
S
S
S
S
S
S
P S
S S P
P P
P S
P
S
S S P
P P S
S P P
S
S
S
S
P S
S P
S
S
S
S
P
S
S
S
P
P
S P
P
P P S
S
DSS04 Managed Gestionar lacontinuity continuidad DSS06 Managed business Gestionar los controles de procesos controls de negocio process MEA01 Managed performance Gestionar la monitorización and conformance del rendimiento y la monitoring conformidad MEA02 Managed Gestionar elsystem sistemaof de control interno internal control MEA03 Managed with Gestionar compliance el cumplimiento de los requerimientos externos external requirements MEA04 Managed Gestionar elassurance aseguramiento
P S
S
DSS02 Managed service requests Gestionar las peticiones y los incidentes del servicio and incidents DSS03 Managed problems Gestionar los problemas DSS05
S
P
P
P P
DSS01 Managed operations Gestionar las operaciones
Gestionar los servicios de Managed seguridad security services
S S
S
Managed programs Gestionar los programas
BAI07
S
P
S
S
S
S
S
S
S
S
S P
S S
P
S
S
S
P
S
P
P S
AG13
S
P
S
AG12
S
P S
BAI01
BAI06
S
S
S
AG11
S
P
Gestionar el riesgo APO12 Managed risk
BAI05
S
P
S
APO11 Managed Gestionar laquality calidad
AG10
P
APO09 Managed service Gestionar los acuerdos agreements de servicio APO10 Managed vendors Gestionar los proveedores
BAI04
AG09
S
APO06 Managed and y Gestionar elbudget presupuesto los costes costs APO07 Managed human Gestionar los recursos resources humanos APO08 Managed relationships Gestionar las relaciones
BAI03
AG08
S S
S
APO05 Managed portfolio Gestionar el portafolio
APO14 Managed data Gestionar los datos
AG07
de Enabling and Ejecución Delivering Habilitar y dar programas Security of supporting programs soporte a Personal Seguridad de del plazo, Competent and Agility topara turn la information, businessde dentro on time, on procesos Agilidad competente y información, sin exceder el motivated staff Knowledge, business processing processes budget andy negocio by presupuesto, convertir los motivado con un infraestructura Conocimiento, requirements with mutual expertise and integrating meetingcon Calidad Quality I&T mediante la requerimientos infrastructure entendimiento de cumpliendo experiencia e de la Cumplimiento integración de requirements initiatives into en procesamiento and applications of I&T compliance del negocio mutuo de la los requisitos y iniciativas para información de I&T con las understanding aplicaciones soluciones y el operational applications, and y estándares and quality internal oftecnología technology for business y aplicaciones, de management la innovación sobre gestión with políticas tecnología operativas negocio y privacidad calidad empresarial and business innovation solutions and privacy technology standards information policies de I&T internas
P
APO03 Managed Gestionar laenterprise arquitectura empresarial architecture APO04 Managed innovation Gestionar la innovación
Gestionar lasecurity seguridad APO13 Managed
Delivery ofde Prestación I&T services servicios I&T in line with conforme a los requerimientos business del negocio requirements
AG06
P P
S
AG05
S
140 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
P
APENDICES APENDICE D Apéndice D: Tabla de asignación—Riesgo de TI a objetivos de gobierno y gestión Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión
Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
Gestión del ciclo de vida de los programas y proyectos
Coste y control de TI
Comportamiento, habilidades y conocimiento de TI
Arquitectura de empresa/TI
Incidentes de infraestructura operativa de TI
Acciones no autorizadas
«Adopción de software/problemas de uso»
Incidentes de hardware
Fallos de software
141 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Figura A.4—Asignación de riesgo de TI a objetivos de gobierno y gestión (cont.)
Ataques lógicos [hackeo, software malintencionado (malware), etc.]
Incidentes de terceros/prov eedores
Incumplimiento
Problemas geopolíticos
Acción industrial
Actos de la naturaleza
Innovación tecnológica
Medio ambiente
142 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Gestión de información y datos
DF4
Frustración entre distintos
Incidentes
departamentos de la Frustración entre significativos empresa (como el cliente distintas unidades de de TI) y el departamento de relacionados con TI, como pérdida de datos, TI en toda la TI debido a iniciativas Incumplimiento de los violaciones de fracasadas o una organización debido a requerimientos seguridad, fallo del Problemas de ejecución percepción de baja una percepción de regulatorios o contribución al valor del proyecto y errores de la del servicio por parte baja contribución al contractuales negocio aplicación, de los subcontratistas valor del negocio relacionados con TI relacionados con TI de TI
Gasto sustancial oculto y fraudulento en TI, es Hallazgos de auditoría decir, gasto en TI por regulares u otros departamentos de informes de evaluación usuarios fuera del sobre un pobre control de los desempeño de TI o mecanismos de decisión notificación de de inversión en IT problemas de calidad y normales y los servicio de TI presupuestos aprobados
Duplicaciones o coincidencias entre varias iniciativas u otras formas de recursos malgastados
Cambios o proyectos facilitados por TI que suelen no satisfacer a menudo las Recursos de TI necesidades del insuficientes, personal negocio y que se con habilidades inadecuadas o personal ejecutan tarde o por agotado/insatisfecho encima del presupuesto
APENDICES APENDICE D
Apéndice E: Tabla de asignación—Problemas relacionados con I&T a objetivos de gobierno y gestión Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión
143
Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Resistencia por parte de los miembros del consejo de administración, ejecutivos o alta gerencia a verse envueltos en las TI o una falta de mecenazgo empresarial comprometido para las mismas Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI Alto coste de protección de TI
Implementación obstaculizada o fracasada de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales
Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios empresariales y/o los especialistas en TI hablen un idioma distinto Problemas regulares con la calidad de los datos y la integración de datos de distintas fuentes
Nivel elevado de informática para usuarios finales, lo que genera (entre otros problemas) una falta de supervisión y control de calidad de las aplicaciones que se están desarrollado e implementando Los departamentos comerciales implementan sus propias soluciones de información con poca o ninguna implicación por parte del departamento de TI de la empresa Ignorancia sobre y/o incumplimiento de las regulaciones de privacidad
Incapacidad para explotar nuevas tecnologías o innovar con las TI
GUÍA DE DISEÑO COBIT® 2019 Figura A.5—Asignación de problemas relacionados con I&T a objetivos de gobierno y gestión (cont.)
144
Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
APENDICES APENDICE F Apéndice F: Tabla de asignación—Escenario de amenazas a objetivos de gobierno y gestión Figura A.6—Asignación de escenario de amenazas a objetivos de gobierno y gestión DF5 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Alto 3.0 1.0 4.0 1.0 2.0 3.0 1.0 3.0 1.0 1.0 1.0 2.0 1.0 2.0 3.0 2.0 4.0 4.0 3.0 1.0 1.0 1.0 2.0 1.0 3.0 1.0 1.0 1.0 3.0 1.0 1.0 3.0 2.0 4.0 3.0 3.0 3.0 2.0 3.0 3.0
Normal 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
145 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Apéndice G: Tabla de asignación—Requisitos de cumplimiento a objetivos de gobierno y gestión Figura A.7—Asignación de requisitos de cumplimiento a objetivos de gobierno y gestión DF6 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Alto 3.0 1.0 4.0 1.0 1.5 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.5 1.0 4.0 1.5 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.5 2.0 1.0 1.0 1.0 4.0 3.5
Normal 2.0 1.0 2.0 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 2.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 2.0 2.0
146 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
Baja 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
APENDICES APENDICE H Apéndice H: Tabla de asignación—Rol de TI a objetivos de gobierno y gestión Figura A.8—Asignación del rol de TI a objetivos de gobierno y gestión DF7 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Soporte 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 0,5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0
Fábrica 2.0 1.0 3.0 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 2.0 2.5 1.5 2.5 2.0 1.5 1.0 1.0 1.0 2.5 1.0 2.5 1.0 1.0 1.0 1.5 1.0 3.5 3.0 3.0 3.0 2.5 1.0 1.0 1.0 1.0 1.0
Cambio 1.5 2.5 1.0 1.0 1.0 1.5 3.0 2.0 3.5 2.5 1.0 1.0 2.0 1.5 1.5 1.5 1.0 1.5 1.5 2.0 3.0 3.0 1.5 1.0 1.0 2.0 1.0 1.0 1.0 2.0 1.0 1.5 1.5 1.5 1.5 1.0 1.0 1.0 1.0 1.0
Estratégico 4.0 3.0 3.0 2.0 2.0 2.5 3.0 2.0 4.0 3.0 2.0 1.5 2.5 2.0 2.0 2.0 3.0 3.0 2.5 2.5 3.0 3.0 2.0 2.0 2.0 2.0 2.0 2.0 2.0 2.0 3.0 3.0 3.5 3.5 3.5 2.5 2.0 2.0 1.5 2.0
147 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Apéndice I: Tabla de asignación—Modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión Figura A.9—Asignación del modelo de abastecimiento de proveedores para TI a objetivos de gobierno y gestión DF8 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Externalización (outsourcing) 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 4.0 4.0 1.0 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 3.0 1.0 1.0 1.0
Nube 1.0 1.0 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 4.0 4.0 1.0 2.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 3.0 1.0 1.0 1.0
Personal interno (insourcing) 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
148 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
APENDICES APENDICE J Apéndice J: Tabla de asignación—Métodos de implementación de TI a objetivos de gobierno y gestión Figura A.10—Asignación de métodos de implementación de TI a objetivos de gobierno y gestión DF9 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Agile 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 2.0 3.5 4.0 1.0 2.5 3.5 2.5 1.0 1.0 1.5 2.5 1.0 1.0 1.0 1.0 1.0 1.0 1.5 1.0 1.0 1.0
DevOps 1.0 1.0 1.0 1.0 1.0 1.0 1.0 2.0 1.0 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.5 1.0 1.0 1.5 2.0 3.0 1.0 1.5 2.0 2.5 1.0 1.0 2.0 1.0 2.5 1.5 1.5 1.0 1.0 1.0 1.5 1.0 1.0 1.0
Tradicional 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
149 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)
GUÍA DE DISEÑO COBIT® 2019 Apéndice K: Tabla de asignación—Estrategias de adopción de tecnología a objetivos de gobierno y gestión Figura A.11—Asignación de estrategias de adopción de tecnología a objetivos de gobierno y gestión DF10 EDM01 EDM02 EDM03 EDM04 EDM05 APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 APO14 BAI01 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 BAI11 DSS01 DSS02 DSS03 DSS04 DSS05 DSS06 MEA01 MEA02 MEA03 MEA04
Primero en reaccionar (First mover) 3.5 4.0 1.5 2.5 1.5 2.5 4.0 2.0 4.0 4.0 1.0 2.5 3.0 1.5 2.5 1.5 2.0 1.0 2.5 4.0 3.5 4.0 1.5 3.0 2.5 3.5 1.5 1.0 1.5 3.5 1.0 1.0 1.5 1.5 1.5 1.0 3.0 1.0 1.0 1.0
Seguidor (Follower)
Adoptador lento (Slow adopter)
2.5 2.5 1.0 2.0 1.0 1.5 3.0 1.0 3.0 2.5 1.5 1.0 1.5 1.5 1.5 1.5 1.5 1.0 2.0 3.0 2.5 2.5 1.5 2.0 2.0 2.5 1.0 1.0 1.0 2.5 1.0 1.0 1.0 1.0 1.0 1.0 2.0 1.0 1.0 1.0
1.5 1.5 1.0 1.5 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.5 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0 1.0
150 Personal Copy of Pedro Montalvan (ISACA ID: 1010346)