blog cobit5 itil 2011
DESCRIPTION
temas resumidos de cobit y itilTRANSCRIPT
INSTITUTO TECNOLOGICO DE
CHILPANCINGO
CARRERA: INGENIERIA EN INFORMATICA
ESTRATEGIA DE GESTION DE SERVICIOS TI
ALUMNO:
Jocsan Benítez Valdez.
PROFESOR: MARIA ZAVALA HURTADO
Chilpancingo guerrero a 09 de noviembre del 2015
a. ITIL i. Definición
ii. Historia
iii. Cómo trabaja
iv. Ciclo de vida
v. Fases y procesos, de qué trata cada fase y proceso
vi. Ventas de adoptar ITIL
vii. Desventajas de Adoptar ITIL
viii. OPINIÓN PERSONAL Y/O CONCLUSIÓN DEL SUBTEMA
b. COBIT5 i. Definición
ii. Historia
iii. Cómo trabaja
iv. Ciclo de vida
v. Dominios y procesos, de qué trata cada dominio y proceso
vi. Ventas de adoptar COBIT5
vii. Desventajas de Adoptar COBIT5
viii. OPINIÓN PERSONAL Y/O CONCLUSIÓN DEL SUBTEMA
i. Definición
ITIL® puede ser definido como un conjunto de buenas prácticas destinadas a mejorar la gestión y
provisión de servicios TI. Su objetivo último es mejorar la calidad de los servicios TI ofrecidos,
evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de
actuación para que estos sean solucionados con el menor impacto y a la mayor brevedad posible.
ii. Historia
ITIL V1 El gobierno británico solicita a Central Computer and Telecomunicacions Agencia (CCTA) la
creación de guías para la eficacia del Gobierno de TI. (80’s – 90’s). En 1989 Formalmente se libera
la V1.
ITIL V2 en el 2000 Se publica el libro “service Support” (306 paginas), dando inicio con la versión 2
de ITIL. En el 2001 se publica el libro “Service Deliwery” (376 páginas).
ITIL V3 en el 2007 Se publica el nuevo conjunto de 5 libros de ITIL. (SS, SD, ST, SD y CSI) iniciando la
era de la versión 3.
ITIL Se crea la edición 2011, Cabinet Office.
iii. Cómo trabaja
ITIL como metodología propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes). Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma más eficiente de hacer las cosas), lo que nos lleva a una mejora continua. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área, además de que quedan asentados todos los movimientos realizados, permitiendo que toda la gente esté al tanto de los cambios y no se tome a nadie por sorpresa. En la documentación se pone la fecha en la que se hace el cambio, una breve descripción de los cambios que se hicieron, quien fue la persona que hizo el cambio, así como quien es el que autorizo el cambio, para que así se lleve todo un seguimiento de lo que pasa en el entorno. Esto es más que nada como método con el que se puede establecer cierto control en el sistema de cambios, y así siempre va a haber un responsable y se van a decir los procedimientos y cambios efectuados.
iv. Ciclo de vida ITIL® Fundación estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los
Servicios.
Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su
diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y
funciones involucrados en la eficiente prestación del mismo.
El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos libros de
ITIL®:
1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como una capacidad
sino como un activo estratégico.
2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los
objetivos estratégicos en portafolios de servicios y activos.
3. Transición del Servicio: cubre el proceso de transición para la implementación de nuevos
servicios o su mejora.
4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la
operación del servicio.
5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del
valor ofrecido a los clientes a traces de un diseño, transición y operación del servicio
optimizado.
Estos libros no son departamentos estancos e ITIL® tiene en cuenta las múltiples interrelaciones
entre ellos y como estas afectan a los aspectos globales de todo el ciclo de vida del servicio. Estos
cinco libros ofrecen una guía práctica sobre como estructurar la Gestión de Servicios TI de forma
que estos estén correctamente alineados con los procesos de negocio.
v. Fases y procesos, de qué trata cada fase y proceso TIL® marca una clara distinción entre funciones y procesos. Una función es una unidad
especializada en la realización de una cierta actividad y es la responsable de su resultado. Las
funciones incorporan todos los recursos y capacidades necesarias para el correcto desarrollo de
dicha actividad.
Las funciones tienen como principal objetivo dotar a las organizaciones de una estructura acorde
con el principio de especialización. Sin embargo la falta de coordinación entre funciones puede
resultar en la creación de nichos contraproducentes para el rendimiento de la organización como
un todo. En este último caso un modelo organizativo basado en procesos puede ayudar a mejorar
la productividad de la organización en su conjunto.
Un proceso es un conjunto de actividades interrelacionadas orientadas a cumplir un objetivo
específico.
Los procesos comparten las siguientes características:
Los procesos son cuantificables y se basan en el rendimiento.
Tienen resultados específicos.
Los procesos tienen un cliente final que es el receptor de dicho resultado.
Se inician como respuesta a un evento.
El Centro de Servicios y la Gestión del Cambio son dos claros ejemplos de función y proceso
respectivamente.
Sin embargo, en la vida real la dicotomía entre funciones y procesos no siempre es tan evidente
pues puede depender de la estructura organizativa de la empresa u organismo en cuestión.
Otro concepto ampliamente utilizado es el de rol.
Un rol es un conjunto de actividades y responsabilidades asignada a una persona o un grupo. Una
persona o grupo puede desempeñar simultáneamente más de un rol.
Hay cuatro roles genéricos que juegan un papel especialmente importante en la gestión de
servicios TI:
Gestor del Servicio: es el responsable de la gestión de un servicio durante todo su ciclo de
vida: desarrollo, implementación, mantenimiento, monitorización y evaluación.
Propietario del Servicio: es el último responsable cara al cliente y a la organización TI de la
prestación de un servicio específico.
Gestor del Proceso: es el responsable de la gestión de toda la operativa asociada a un
proceso en particular: planificación, organización, monitorización y generación de
informes.
Propietario del Proceso: es el último responsable frente a la organización TI de que el
proceso cumple sus objetivos. Debe estar involucrado en su fase de diseño,
implementación y cambio asegurando en todo momento que se dispone de las métricas
necesarias para su correcta monitorización, evaluación y eventual mejora.
ESTRATEGIA PARA LOS SERVICIOS TI
La fase de Estrategia del Servicio es central al concepto de Ciclo de vida del servicio y tiene como
principal objetivo convertir la Gestión del Servicio en un activo estratégico.
Para conseguir este objetivo es imprescindible determinar en primera instancia qué servicios
deben ser prestados y por qué han de ser prestados desde la perspectiva del cliente y el mercado.
Una correcta Estrategia del Servicio debe:
Servir de guía a la hora de establecer y priorizar objetivos y oportunidades.
Conocer el mercado y los servicios de la competencia.
Armonizar la oferta con la demanda de servicios.
Proponer servicios diferenciados que aporten valor añadido al cliente.
Gestionar los recursos y capacidades necesarios para prestar los servicios ofrecidos
teniendo en cuenta los costes y riesgos asociados.
Alinear los servicios ofrecidos con la estrategia de negocio.
Elaborar planes que permitan un crecimiento sostenible.
Crear casos de negocio para justificar inversiones estratégicas.
La fase de Estrategia del Servicio es el eje que permite que las fases de Diseño, Transición y
Operación del servicio se ajusten a las políticas y visión estratégica del negocio.
Una correcta implementación de la estrategia del servicio va más allá del ámbito puramente TI y
requiere un enfoque multidisciplinar que ayude a responder cuestiones tales como:
¿Qué servicios debemos ofrecer?
¿Cuál es su valor?
¿Cuáles son nuestros clientes potenciales?
¿Cuáles son los resultados esperados?
¿Qué servicios son prioritarios?
¿Qué inversiones son necesarias?
¿Cuál es el retorno a la inversión o ROI?
¿Qué servicios existen ya en el mercado que puedan representar una competencia
directa?
¿Cómo podemos diferenciarnos de la competencia?
Los procesos asociados directamente a la fase de Estrategia son:
Gestión Financiera: responsable de garantizar la prestación de servicios con unos costes
controlados y una correcta relación calidad-precio.
Gestión del Portfolio de Servicios: responsable de la inversión en servicios nuevos y
actualizados que ofrezcan el máximo valor al cliente minimizando a su vez los riesgos y
costes asociados.
Gestión de la Demanda: responsable de la armonización de la oferta de los servicios
ofrecidos con las demandas del mercado.
Diseño de los Servicios TI
La principal misión de la fase de Diseño del Servicio es la de diseñar nuevos servicios o modificar
los ya existentes para su incorporación al catálogo de servicios y su paso al entorno de producción.
El Diseño del Servicio debe seguir las directrices establecidas en la fase de Estrategia y debe a su
vez colaborar con ella para que los servicios diseñados:
Se adecuen a las necesidades del mercado.
Sean eficientes en costes y rentables.
Cumplan los estándares de calidad adoptados.
Aporten valor a clientes y usuarios.
El Diseño del Servicio debe tener en cuenta tanto los requisitos del servicio como los recursos y
capacidades disponibles en la organización TI. Un desequilibrio entre ambos lados de la balanza
puede resultar en servicios donde se vean comprometidas bien la funcionalidad o bien la garantía.
El proceso de diseño del servicio no es estanco y debe tener en cuenta que los procesos y
actividades involucrados incumben a todas las fases del ciclo de vida.
Una correcta implementación del Diseño del Servicio debe ayudar a responder cuestiones tales
como:
¿Cuáles son los requisitos y necesidades de nuestros clientes?
¿Cuáles son los recursos y capacidades necesarias para prestar los servicios propuestos?
¿Los servicios son seguros, ofrecen la disponibilidad necesaria y se garantiza la continuidad
del servicio?
¿Son necesarias nuevas inversiones para prestar los servicios con los niveles de calidad
propuestos?
¿Están todos los agentes involucrados correctamente informados sobre los objetivos y
alcance de los nuevos servicios o de las modificaciones a realizar en los ya existentes?
¿Se necesita la colaboración de proveedores externos?
Las funciones y procesos asociados directamente a la fase de Diseño son:
Gestión del Catálogo de Servicios: responsable de crear y mantener un catálogo de
servicios de la organización TI que incluya toda la información relevante: gestores, estatus,
proveedores, etcétera.
Gestión de Niveles de Servicio: responsable de acordar y garantizar los niveles de calidad
de los servicios TI prestados.
Gestión de la Capacidad: responsable de garantizar que la organización TI dispone de la
capacidad suficiente para prestar los servicios acordados.
Gestión de la Disponibilidad: responsable de garantizar que se cumplen los niveles de
disponibilidad acordados en los SLA.
Gestión de la Continuidad de los Servicios TI: responsable de establecer planes de
contingencia que aseguren la continuidad del servicio en un tiempo predeterminado con
el menor impacto posible en los servicios de carácter crítico.
Gestión de la Seguridad de la Información: responsable de establecer las políticas de
integridad, confidencialidad y disponibilidad de la información.
Gestión de Proveedores: responsable de la relación con los proveedores y el cumplimiento
de los UCs.
Transición de los Servicios TI
La misión de la fase de Transición del Servicio es hacer que los productos y servicios definidos en la
fase de Diseño del Servicio se integren en el entorno de producción y sean accesibles a los clientes
y usuarios autorizados.
Sus principales objetivos se resumen en:
Supervisar y dar soporte a todo el proceso de cambio del nuevo (o modificado) servicio.
Garantizar que los nuevos servicios cumplen los requisitos y estándares de calidad
estipulados en las fases de Estrategia y la de Diseño.
Minimizar los riesgos intrínsecos asociados al cambio reduciendo el posible impacto sobre
los servicios ya existentes.
Mejorar la satisfacción del cliente respecto a los servicios prestados.
Comunicar el cambio a todos los agentes implicados.
Para cumplir adecuadamente estos objetivos es necesario que durante la fase de Transición del
Servicio:
Se planifique todo el proceso de cambio.
Se creen los entornos de pruebas y preproducción necesarios.
Se realicen todas las pruebas necesarias para asegurar la adecuación del nuevo servicio a
los requisitos predefinidos.
Se establezcan planes de roll-out (despliegue) y roll-back (retorno a la última versión
estable).
Se cierre el proceso de cambio con una detallada revisión post-implementación.
Como resultado de una correcta Transición del Servicio:
Los clientes disponen de servicios mejor alineados con sus necesidades de negocio.
La implementación de nuevos servicios es más eficiente.
Los servicios responden mejor a los cambios del mercado y a los requisitos de los clientes.
Se controlan los riesgos y se dispone de planes de contingencia que eviten una
degradación prolongada del servicio.
Se mantienen correctamente actualizadas las bases de datos de configuración y activos del
servicio.
Se dispone de una Base de Conocimiento actualizada a disposición del personal
responsable de la operación del servicio y sus usuarios.
Las principales funciones y procesos asociados directamente a la Fase de Transición del Servicio
son:
Planificación y soporte a la Transición: responsable de planificar y coordinar todo el
proceso de transición asociado a la creación o modificación de los servicios TI.
Gestión de Cambios: responsable de supervisar y aprobar la introducción o modificación
de los servicios prestados garantizando que todo el proceso ha sido convenientemente
planificado, evaluado, probado, implementado y documentado.
Gestión de la Configuración y Activos del Servicio: responsable del registro y gestión de los
elementos de configuración (CIs) y activos del servicio. Este proceso da soporte a
prácticamente todos los aspectos de la Gestión del Servicio
Gestión de Entregas y Despliegues: Responsable de desarrollar, probar e implementar las
nuevas versiones de los servicios según las directrices marcadas en la fase de Diseño del
Servicio.
Validación y pruebas: responsable de garantizar que los servicios cumplen los requisitos
preestablecidos antes de su paso al entorno de producción.
Evaluación: responsable de evaluar la calidad general de los servicios, su rentabilidad, su
utilización, la percepción de sus usuarios, etcétera
Gestión del Conocimiento: gestiona toda la información relevante a la prestación de los
servicios asegurando que esté disponible para los agentes implicados en su concepción,
diseño, desarrollo, implementación y operación.
Operación del Servicio
La fase de Operación del Servicio es, sin duda, la más crítica entre todas. La percepción que los
clientes y usuarios tengan de la calidad de los servicios prestados depende en última instancia de
una correcta organización y coordinación de todos los agentes involucrados.
Todas las otras fases del Ciclo de Vida del Servicio tienen como objetivo último que los servicios
sean correctamente prestados aportando el valor y la utilidad requerida por el cliente con los
niveles de calidad acordados. Es evidente que de nada sirve una correcta estrategia, diseño y
transición del servicio si falla la “entrega”.
Por otro lado es prácticamente imposible que la fase de Mejora Continua del Servicio sea capaz de
ofrecer soluciones y cambios sin toda la información recopilada durante la fase de operación.
Los principales objetivos de la fase de Operación del Servicio incluyen:
Coordinar e implementar todos los procesos, actividades y funciones necesarias para la
prestación de los servicios acordados con los niveles de calidad aprobados.
Dar soporte a todos los usuarios del servicio.
Gestionar la infraestructura tecnológica necesaria para la prestación del servicio.
Uno de los aspectos esenciales en la Operación del Servicio es la búsqueda de un equilibrio entre
estabilidad y capacidad de respuesta.
La estabilidad es necesaria pues los clientes requieren disponibilidad y muestran resistencias al
cambio. Por otro lado las necesidades de negocio cambian rápidamente y eso requiere
habitualmente rapidez en las respuestas.
Normalmente los cambios correctamente planificados no tienen que afectar a la estabilidad del
servicio pero esto requiere la colaboración de todos los agentes implicados en la Operación del
Servicio que deben aportar el feedback necesario.
Para evitar los problemas de inestabilidad es conveniente adoptar una actitud proactiva que
permita dar respuestas a las nuevas necesidades de negocio de una forma progresiva. La actitud
reactiva provoca que los cambios sólo se implementen cuando la organización TI se ve obligada a
responder a estímulos externos lo que usualmente provoca un estado de “urgencia” que no es
conducente a una correcta planificación del cambio.
Es también esencial encontrar un correcto equilibrio entre los procesos de gestión internos
orientados a gestionar y mantener la tecnología y recursos humanos necesarios para la prestación
del servicio y las demandas externas de los clientes.
La organización TI no debe comprometerse en la prestación de servicios para los que carezca de
capacidad tecnológica o los necesarios recursos humanos ni tampoco caer en el error de engordar
en exceso la infraestructura TI encareciendo innecesariamente el coste de los servicios prestados
Los principales procesos asociados directamente a la Fase de Operación del Servicio son:
Gestión de Eventos: responsable de monitorizar todos los eventos que acontezcan en la
infraestructura TI con el objetivo de asegurar su correcto funcionamiento y ayudar a
prever incidencias futuras.
Gestión de Incidencias: responsable de registrar todas las incidencias que afecten a la
calidad del servicio y restaurarlo a los niveles acordados de calidad en el más breve plazo
posible.
Petición de Servicios TI: responsable de gestionar las peticiones de usuarios y clientes que
habitualmente requieren pequeños cambios en la prestación del servicio.
Gestión de Problemas: responsable de analizar y ofrecer soluciones a aquellos incidentes
que por su frecuencia o impacto degradan la calidad del servicio
Gestión de Acceso a los Servicios TI: responsable de garantizar que sólo las personas con
los permisos adecuados pueda acceder a la información de carácter restringido.
Mejora Continua del Servicio
Heráclito de Éfeso dijo hace más de veinticinco siglos que «Ningún hombre puede bañarse dos
veces en el mismo río». Si Heráclito fuera en la actualidad el CIO de cualquier empresa hubiera
dicho «Ninguna empresa ha de contratar dos veces el mismo servicio».
Efectivamente, los tiempos modernos nos exigen continuos cambios y éstos deben tener un solo
objetivo en el campo de la gestión de servicios TI: ofrecer mejores servicios adaptados a las
siempre cambiantes necesidades de nuestros clientes y todo ello mediante procesos internos
optimizados que permitan mayores retornos a la inversión y mayor satisfacción del cliente.
Pero este objetivo de mejora sólo se puede alcanzar mediante la continua monitorización y
medición de todas las actividades y procesos involucrados en la prestación de los servicios TI:
Conformidad: los procesos se adecúan a los nuevos modelos y protocolos.
Calidad: se cumplen los objetivos preestablecidos en plazo y forma.
Rendimiento: los procesos son eficientes y rentables para la organización TI.
Valor: los servicios ofrecen el valor esperado y se diferencian de los de la competencia.
Los principales objetivos de la fase de Mejora Continua del servicio se resumen en:
Recomendar mejoras para todos los procesos y actividades involucrados en la gestión y
prestación de los servicios TI.
Monitorizar y analizar los parámetros de seguimiento de Niveles de Servicio y
contrastarlos con los SLAs en vigor.
Proponer mejoras que aumenten el ROI y VOI asociados a los servicios TI.
Dar soporte a la fase de estrategia y diseño para la definición de nuevos servicios y
procesos/ actividades asociados a los mismos.
Los resultados de esta fase del ciclo de vida han de verse reflejados en Planes de Mejora del
Servicio que incorporen toda la información necesaria para:
Mejorar la calidad de los servicios prestados.
Incorporar nuevos servicios que se adapten mejor a los requisitos de los clientes y el
mercado.
Mejorar y hacer más eficientes los procesos internos de la organización TI.
Los principales procesos asociados directamente a la fase de Mejora del Servicio son:
Proceso de Mejora: este es un proceso que consta de 7 pasos que describen como se
deben medir la calidad y rendimiento de los procesos para generar los informes
adecuados que permitan la creación de un Plan de Mejora del Servicio (SIP).
Informes de Servicios TI: es el responsable de la generación de los informes que permitan
evaluar los servicios ofrecidos y los resultados de las mejoras propuestas.
vi. Ventas de adoptar ITIL
Algunas de Las ventajas de ITIL para los clientes y usuarios son las siguientes.
Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos
de contacto acordados.
Los servicios se detallan en lenguaje del cliente y con más detalles.
Se maneja mejor la calidad y los costos de los servicios.
vii. Desventajas de Adoptar ITIL
Tiempo y esfuerzo necesario para su implementación.
Que no se dé el cambio en la cultura de las áreas involucradas.
Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos,
indicadores y como pueden ser controlados.
viii. OPINIÓN PERSONAL Y/O CONCLUSIÓN DEL SUBTEMA ITIL es una metodología que nos va a ayudar a que las cosas se puedan hacer de una forma más eficiente, ya
que lo que se propone es que se adopten ciertas métricas y procedimientos que otros proveedores de IT
adoptaron y que gracias a ellas son catalogadas como mejores prácticas.
El hecho de adoptar mejores prácticas implica que no tengamos que descubrir el hilo negro y que si alguien
sabe cómo hacer las cosas y explotar los recursos nos podemos apoyar en el para que nosotros también
podamos hacerlo. E mayor objetivo es que todos lleguemos a un nivel de eficiencia que se traduzca en una
buena prestación de servicios.
b. COBIT5
i. Definición
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es
un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y
que abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías
relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el
resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information
Systems Audit and Control Association).
ii. Historia
A la fecha, COBIT tiene cuatro versiones mayores publicadas: En 1996, la primera edición de COBIT
fue publicada. Esta incluía la colección y análisis de fuentes internacionales reconocidas y fue
realizada por equipos en Europa, Estados Unidos y Australia. En 1998, fue publicada la segunda
edición; su cambio principal fue la adición de las guías de gestión. Para el año 2000, la tercera
edición fue publicada y en el 2003, la versión en línea ya se encontraba disponible en el sitio de
ISACA. Fue posterior al 2003 que el marco de referencia de COBIT fue revisado y mejorado para
soportar el incremento del control gerencial, introducir el manejo del desempeño y mayor
desarrollo del Gobierno de TI. En diciembre de 2005, la cuarta edición fue publicada y en Mayo de
2007, se liberó la versión 4.1 que es la que actualmente se maneja. Revista
ECORFAN,Vol.2,núm.5,2011,pp.109-131 122 La versión número 5 de COBIT está planeada para ser
liberada en el año 2012, esta edición consolidará e integrará los marcos de referencia de COBIT
4.1, Val IT 2.0 y Risk IT. Este nuevo marco de referencia viene integrado principalmente del
Modelo de Negocios para la Seguridad de la Información (BMIS, Business Model for Information
Security) y el Marco de Referencia para el Aseguramiento de la Tecnología de la Información (ITAF,
Information Technology Assurance Framework).
iii. Cómo trabaja Una sólida plataforma subyacente a la norma ISO 38500 es COBIT, que es una buena referencia
para las políticas, los procesos, las estructuras y los controles necesarios para implementar el
sistema de gestión que ayuden a la gobernabilidad. Con Cobit se puede lograr la alineación de Tl al
negocio y utilizarlo como punto de partida para la adaptación de los procedimientos específicos.
SACA publicó el año pasado una nueva versión del ya conocido estándar Cobit para el
cumplimiento de objetivos de control para el CIO y su área. Esta versión, profundamente revisada
y mejorada, provee un marco de referencia integral que contribuye en la organización al logro de
los objetivos y entrega de Valor a través de un efectivo gobierno y gestión de la Tl empresarial.
COBT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos
para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las
empresas a crear el valor óptimo desde Tl manteniendo el equilibrio entre la generación de
beneficios y la optimización de los niveles de riesgo y el uso de COBT 5 permite a las Tl ser
gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio
completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los
intereses relacionados con Tl de las partes interesadas internas y externas. COBT 5 es genérico y
útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector
público.
iv. Ciclo de vida La implementación del ciclo de vida proporciona a las empresas una manera de usar COBIT para
solucionar la complejidad y los desafíos que normalmente aparecen durante las
implementaciones. Los tres componentes interrelacionados del ciclo de vida son: 1. Ciclo de vida
de Mejora continua – Este no es un proyecto único 2. Habilitación del cambio – Abordar los
aspectos culturales y de comportamiento 3. Gestión del programa
El ciclo de vida y sus siete fases se ilustran en la figura 17.
La fase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa de
implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de
cambio a un nivel de dirección ejecutiva.
La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora
empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI
asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en
los que focalizarse. Los diagnósticos de alto nivel también pueden ser útiles para delimitar y
entender áreas de alta prioridad en las que hacer foco. Se lleva a cabo una evaluación del estado
actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de
revisión de capacidad. Se deberían estructurar iniciativas de gran escala como múltiples
iteraciones del ciclo de vida – para cada iniciativa de implementación que exceda de seis meses,
existe un riesgo de perder el impulso, el foco y la involucración de las partes interesadas.
La fase 3, se establece un objetivo de mejora, seguido de un análisis más detallado aprovechando
las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones
pueden ser beneficios inmediatos (quick wins) y otras actividades pueden ser más desafiantes y de
largo plazo. La prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y
aquellas que podrían proporcionar los mayores beneficios.
La fase 4 planifica soluciones prácticas mediante la definición de proyectos apoyados por casos de
negocios justificados. Además, se desarrolla un plan de cambios para la implementación. Un caso
de negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del
proyecto. Las soluciones propuestas son implementadas en prácticas día a día.
En la fase 5 Se pueden definir las mediciones y establecer la supervisión empleando las metas y
métricas de COBIT para asegurar que se consigue y mantiene la alineación con el negocio y que el
rendimiento puede ser medido. El éxito requiere el compromiso y la decidida apuesta de la alta
dirección así como la propiedad por las partes afectadas a nivel TI y de negocio.
La fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la
supervisión de la consecución de los beneficios esperados. Durante.
La fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad de mejora continua. A lo largo del tiempo, el ciclo de vida debería seguirse de modo iterativo, al tiempo que se construye un modelo sostenible de gobierno y gestión de TI corporativa.
v. Dominios y procesos, de qué trata cada dominio y proceso
PLANEACIÓN Y ORGANIZACIÓN (PO):
Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología de la
información puede contribuir de la mejor manera al logro de los objetivos de la organización. La
consecución de la visión estratégica debe ser planeada, comunicada y administrada desde
diferentes perspectivas y debe establecerse una organización y una infraestructura tecnológicas
apropiadas.
ADQUISICIÓN E IMPLEMENTACIÓN (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o
adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
SERVICIOS Y SOPORTE (DS)
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
MONITOREO (M)
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad.
Cada uno cuenta con los siguientes procesos:
PLANEACIÓN Y ORGANIZACIÓN (PO): procesos
PO1 Definir un Plan Estratégico de TI: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar
sus logros futuros.
PO2 Definir la Arquitectura de la Información: El objetivo es satisfacer los requerimientos de la
organización, en cuanto al manejo y gestión de los sistemas de información, a través de la creación
y mantenimiento de un modelo de información de la organización.
PO3 Determinar la dirección tecnológica: El objetivo es aprovechar al máximo la tecnología
disponible o tecnología emergente, satisfaciendo los requerimientos de la organización, a través
de la creación y mantenimiento de un plan de infraestructura tecnológica.
PO4 Definir la Organización y Relaciones de TI: El objetivo es la prestación de servicios de TI, por
medio de una organización conveniente en número y habilidades, con tareas y responsabilidades
definidas y comunicadas.
PO5 Manejar la Inversión en TI: El objetivo es la satisfacción de los requerimientos de la
organización, asegurando el financiamiento y el control de desembolsos de recursos financieros.
PO6 Comunicar las directrices y aspiraciones gerenciales: El objetivo es asegurar el conocimiento
y comprensión de los usuarios sobre las aspiraciones de la gerencia, a través de políticas
establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para
traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.
PO7 Administrar Recursos Humanos: El objetivo es maximizar las contribuciones del personal a
los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas
para administración de personal.
PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir con obligaciones
legales, regulatorias y contractuales, para ello se realiza una identificación y análisis de los
requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas
para cumplir con ellos.
PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI, mediante la participación de la propia organización
en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para
mitigar los riesgos.
PO10 Administrar proyectos: El objetivo es establecer prioridades y entregar servicios
oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza una identificación y
priorización de los proyectos en línea con el plan operacional por parte de la misma organización.
Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos
para cada proyecto emprendido.
PO11 Administrar Calidad: El objetivo es satisfacer los requerimientos del cliente., mediante una
planeación, implementación y mantenimiento de estándares y sistemas de administración de
calidad por parte de la organización.
ADQUISICIÓN E IMPLEMENTACIÓN (AI): procesos
AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para cumplir con los
requerimientos del usuario, mediante un análisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios.
AI2 Adquirir y Mantener Software de Aplicación: El objetivo es proporcionar funciones
automatizadas que soporten efectivamente la organización mediante declaraciones específicas
sobre requerimientos funcionales y operacionales, y una implementación estructurada con
entregables claros.
AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las plataformas apropiadas
para soportar aplicaciones de negocios mediante la realización de una evaluación del desempeño
del hardware y software, la provisión de mantenimiento preventivo de hardware y la instalación,
seguridad y control del software del sistema.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El objetivo es asegurar el uso
apropiado de las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización
de un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para
usuarios, requerimientos de servicio y material de entrenamiento.
AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la solución sea adecuada
para el propósito deseado mediante la realización de una migración de instalación, conversión y
plan de aceptaciones adecuadamente formalizadas.
AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de interrupciones, alteraciones
no autorizadas y errores, mediante un sistema de administración que permita el análisis,
implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.
SERVICIOS Y SOPORTE (DS): procesos
DS1 Definir niveles de servicio: El objetivo es establecer una comprensión común del nivel de
servicio requerido, mediante el establecimiento de convenios de niveles de servicio que
formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del
servicio.
DS2 Administrar Servicios de Terceros: El objetivo es asegurar que las tareas y responsabilidades
de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los
requerimientos, mediante el establecimiento de medidas de control dirigidas a la revisión y
monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con
respecto a las políticas de la organización.
DS3 Administrar Desempeño y Calidad: El objetivo es asegurar que la capacidad adecuada está
disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado,
realizando controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca
del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos.
DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con los
requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
DS5 Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la información contra usos
no autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso lógico
que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados.
DS6 Identificar y Asignar Costos: El objetivo es asegurar un conocimiento correcto atribuido a los
servicios de TI realizando un sistema de contabilidad de costos que asegure que éstos sean
registrados, calculados y asignados a los niveles de detalle requeridos.
DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo
de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un
plan completo de entrenamiento y desarrollo.
DS8 Asistir a los Clientes de TI: El objetivo es asegurar que cualquier problema experimentado por
los usuarios sea atendido apropiadamente realizando una mesa de ayuda que proporcione
soporte y asesoría de primera línea.
DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el
sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI
así como su localización física y un programa regular de verificación que confirme su existencia.
DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que los problemas e incidentes
sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder
implementando un sistema de manejo de problemas que registre y haga seguimiento a todos los
incidentes.
DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y
válidos durante su entrada, actualización, salida y almacenamiento, a través de una combinación
efectiva de controles generales y de aplicación sobre las operaciones de TI.
DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente físico conveniente que
proteja el equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales
adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo
procedimientos que provean control de acceso del personal a las instalaciones y contemplen su
seguridad física.
DS13 Administrar Operaciones: El objetivo es asegurar que las funciones importantes de soporte
de TI estén siendo llevadas a cabo regularmente y de una manera ordenada a través de una
calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de
todas las actividades.
MONITOREO (M): procesos
M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos establecidos para los
procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte, así como la atención regular
a los reportes emitidos.
M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro de los objetivos de
control interno establecidos para los procesos de TI.
M3 Obtener aseguramiento independiente: El objetivo es incrementar los niveles de confianza
entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos
regulares de tiempo.
M4 Proveer auditoría independiente: El objetivo es incrementar los niveles de confianza y
beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.
Vii.- Ventas y desventajas de adoptar COBIT5 Ventajas La toma de decisiones para niveles gerenciales es más eficaz, porque COBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de la arquitectura de la información, la adquisición del hardware necesario TI y el software para ejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del sistema TI.
· Los usuarios se benefician de COBIT debido al aseguramiento proporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje de información cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugar para gobernar los procesos.
· A interventores porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto también les ayuda a corroborar sus conclusiones de auditoria.
Desventajas Las buenas prácticas de COBIT están enfocadas fuertemente en el control y de menor forma en la ejecución. El marco de referencia mejora las áreas de TI desde el punto de vista solamente del gobierno corporativo. COBIT es un modelo ambicioso que requiere de un profundo estudio para realizar la implementación dentro de la organización. Los estándares no cubren todos los temas en detalle.
· No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
· Se requiere de un esfuerzo de la organización, para adoptar los estándares.
· Evolución Gestión aceptado internacionalmente que se adopta por las empresas y se Contemple en el día a día por los gerentes de negocio.
· Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
· Los dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte y Monitorear y Evaluar.
· A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.
· Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
vii. OPINIÓN PERSONAL Y/O CONCLUSIÓN DEL SUBTEMA En conclusión, con la salida de COBIT 5 se abre una nueva etapa para el gobierno y el
management de TI, que implicará que todos los involucrados, más alla del rol (CEO, CIO,
CRO, CISO, CCO, Advisor, Auditor, etc), evolucionemos estratégicamente sincronizados
con este nuevo estándar. Los 7 Habilitadores del Cobit 5 Principios, políticas y modelos de
referencia Procesos Estructuras organizacionales Cultura, ética y comportamiento
Información Servicios, infraestructura y aplicaciones Gente, habilidades y competencias.
Beneficios COBIT 5 ayuda a empresas de todos los tamaños a:
Mantener información de alta calidad para apoyar las decisiones de negocios
Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso
efectivo e innovador de las TI
c. Cuadro comparativo de ITIL y COBIT. COBIT 5 ITIL Conclusión
Definición Es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Información Technology Infrastructure Library (ITIL) y las normas ISO relacionadas en esta norma.
ITIL, (Information Technology Infrastructure Library), es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones.
Concluyo que ambos son bueno pero itil es en la cual están basados otros procesos como lo es cobit
Antecedentes Cobit ha tenido varias ediciones, siendo publicada la primera en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en Diciembre de 2005, y la versión 4.1 está disponible desde Mayo de 2007.
En 1987 la CCTA, un organismo del gobierno británico (ahora llamado la OGC) inició un proyecto llamado GITIMM (Government IT Infrastructure Management Method), en el cual involucraron a varias firmas de consultoría para investigar y documentar las mejores prácticas para planear y operar la infraestructura de TI. Poco después, conforme el proyecto evolucionaba de administración de infraestructura a administración de servicios de TI, se le cambió el nombre a ITIL.
Al igual que cobit itil ha ido avanzando con el paso del tiempo actualmente itil se encuentra en su versión 2011 y cobit en su versión 5
Procesos de negocio a los que apoya
.Planificación y Organización
.Adquisición e Implementación
.Entrega y Soporte
.Supervisión y Evaluación
.gestión de servicios
.gestión de índices
.gestión de problemas
.gestión de configuración
.gestión de cambios
Considero que los procesos que maneja itil son extensos y detallados
.gestión de versiones mientras en cobit son menos extensos pero abarca más procesos ,
Fases/dominios
Dominio: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
El Ciclo de Vida del Servicio consta de cinco fases que se corresponden con los nuevos libros de ITIL:
Estrategia del Servicio
Diseño del Servicio
Transición del Servicio
Operación del Servicio
Mejora Continua del Servicio
En cuanto a la fases de dominio considero que itil es más completo por que especifica detalladamente en el siclo de vida del servicio Con lo que conlleva a un bucle constante chequeo
Ventajas Se aprecian resultados en indicadores de la eficiencia y efectividad.
Permite el desarrollo de políticas claras y buenas prácticas para el control de TI en todas las organizaciones.
COBIT resalta el cumplimiento de las normas,
T Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados.
Los servicios se detallan en lenguaje del cliente y con más detalles.
Se maneja mejor la calidad y los costos de los servicios.
En cuanto a las ventajas itil me convence mas ya que mejorara la comunicación con los clientes lo que ayuda a entender lo que ellos quieren obtener
ayuda a las organizaciones a aumentar el valor obtenido de TI.
Desventajas Tiempo y esfuerzo necesario para su implementación.
Que no se dé el cambio en la cultura de las áreas involucradas.
Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
Resulta un modelo ambicioso que requiere de profundidad en el estudio
En cuanto a las desventajas cobit se queda muy atrás en cuanto a a la comunicación mientras no se de un cambio de la forma de pensar de la empresa no les servirá implementar un marco de gobierno como cobit
Tendencias Es un compendio de mejores prácticas aceptadas internacionalmente, está orientado al gerenciamiento de las tecnologías, es complementado con herramientas y capacitación. Es gratuito. Respaldado por una comunidad de expertos. En evolución permanente. Mantenido por una organización sin fines de lucro, con reconocimiento internacional. Mapeado con otros estándares. Orientado a Procesos, sobre la base de Dominios de
ITIL representa mucho más que una serie de libros útiles sobre Gestión de Servicios TI. El marco de mejores prácticas en la Gestión de Servicios TI representa un conjunto completo de organizaciones, herramientas, servicios de educación y consultoría, marcos de trabajo relacionados, y publicaciones. ITIL es un excelente modelo de procesos de TI, el cual promueve la calidad para alcanzar efectividad en el negocio y eficiencia en el
En cuanto a tendencias itil me parece superior a cobit por que itil tiene la cualidad de complementarse con otra iniciativas de calidad como lo es cobit
Responsabilidad.
uso de los sistemas de información. ITIL se puede complementar en forma adecuada con otras iniciativas de calidad, como las ISO, CMM, Six Sigma o CobiT.
Conclusiones En general cobit es apropiado para las empresas que pueden adaptarse a los cambios de cultura de formas de pensar que son fáciles de adaptarse
Mientras que itil en cuanto a procesos específica detalladamente cada uno de Ellos sus principales ventajas son que puede adaptarse a otras iniciativas de calidad y trabajan con el lenguaje del cliente lo que les permite obtener el resultado que el cliente espera obtener
d. Entrevistas i. ¿Qué profesionales de TI y/o Empresarios adoptaron algún marco de gobierno, marco de referencia o estándar=
En la Aseguradora:
Administrador de las TI dentro de la empresa Inbursa.
ii. ¿Qué marcos de referencia han adoptado los Profesionales de TI y/o Empresarios que cuentan con TI?
UNE- EN 9001 y ISO 9001 basada en las normas 2008.
iii. Mencione las ventajas y desventajas al adoptar un marco o estándar. Ventaja: Las normas pueden proporcionar y facilitar el trabajo con los clientes
Asegura la fiabilidad de todos los procesos
Desventaja: Es que las normas tardan demasiado en actualizarse y las tecnologías avanzan a pasas
agigantados y los estándares tardan en ser actualizados
e. Conclusiones generales Tanto COBIT 5 y ITIL son marcos de gobierno de TI que son muy útiles gracias a que ITIL tiene la
cualidad de adoptar y complementarse con otros marcos y así juntos entregar productos de
calidad y aumentar el valor obtenido de Ti
f. REFERENCIAS
http://documents.mx/documents/resumen-gobierno-cobit-5.html
https://sites.google.com/site/auditoriaeninformaticacun/cobit/dominios-y-procesos
http://prezi.com/waogb_pqt2wn/cobit/
http://www.soporteremoto.com.mx/help_desk/articulo04.html
http://www.nyce.org.mx/blog/wp-content/uploads/2011/09/Mejores-Practicas-para-la-
Prestacion-Servicios-TI.pdf
itilv3.osiatis.es