Modelo de Madurez de Cobit Caso Practico

MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control control de la Tecnolog ías de la Información. Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, COBIT, la administración podrá identificar:



El desempeño real de la Organización: Donde se encuentra la Organización hoy.



El Status actual de la Organiz Organi zación: ación : La comparación



EL objetivo de la mejora de la Organización: Donde desea estar la Organización.

Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora.

0 NO EXISTENTE

Carencia completa de cualquier proceso reconocible. La Organización no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo;

1 INICIAL

no existen procesos estándar en su lugar existen enfoques que tienden a ser aplicados de forma individual o

ad hoc

caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que

2 REPETIBLE

realizan

la

misma

tarea.

No

hay

entrenamiento

o

comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo,

3 DEFINIDO

se deja que el individuo decida utilizar estos procesos, y es poco

probable

que

se

detecten

desviaciones.

Los

procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no

4

estén trabajando de forma efectiva. Los procesos están bajo

ADMINISTRADO

constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor

5

práctica, se basan en los resultados de mejoras continuas y

OPTIMIZADA

en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,

brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

Los criterios están formados por: La Efectividad: Tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

La Eficiencia: Consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

La Confidencialidad: Se refiere a la protección de información sensitiva contra revelación no autorizada.

La Integridad: Está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores expectativas del negocio.

La Disponibilidad: Se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

El Cumplimiento: Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocio, es decir, criterios de negocios impuestos externamente, así como políticas internas.

La Confiabilidad: Se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno

Los recursos son: Las aplicaciones: Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

La información: Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

La infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

Las personas (Recursos Humanos): Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información.

Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La manera como les afecta a cada uno de los procesos está identificada por:

El grado de impacto Primario (P): Que es el grado al cual el objetivo de control definido impacta directamente al requerimiento de información de interés.

El grado de impacto Secundario (S): Que es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida al requerimiento de i nformación de interés.

Espacio Blanco (Vacío): Que no tiene impacto alguno sobre los requerimientos de información.

La selección de los recursos administrativos en forma específica por cada proceso es mediante una X. Véase tabla 1.1.

CRITERIO DE INFORMACIÓN

O I N I M O D

S O S E C O R P

P01 P02

N Ó I C A E N A L P

Definir el estratégico de TI Definir la arquitectura de información

d a d i v i t c e f E

a i c n e i c i f E

P

S

S

P

P03

Determinar la dirección tecnológica.

P

P

P04

Definir procesos, organización y relaciones de TI.

P

P

P05

Administrar las inversiones en TI

P

P

P06

Comunicar las aspiraciones y la dirección de la Gerencia Administrar los recursos humanos de TI

P P

P

P08

Administrar Calidad

P

P

P09

Evaluar y administrar riesg os de TI

S

S

P10

Administrar proyectos

P

P

P07

d a d i l a i c n e d i f n o C

S

d a d i r g e t n I

d a d i l i b i n o p s i D

o t n e i m i l p m u C

RECURSOS DE TI

d a d i l i b a i f n o C

P

s e n o i c a c i l p A

n ó i c a m r o f n I

a r u t c u r t s e a r f n I

s a n o s r e P

X

X

X

X

X

X

X

X X

S

X

S

X X

X X X

S P

P

P

S

S

X

X

X

X

S

X

X

X

X

X

X

X

N Ó I E N C A Ó I T N S I E U M Q E D L A P M I

E T R O P O S Y O I C I V R E S E D A G E R T N E

A01

Identificar soluciones automatizadas

P

S

AI2

Adqui rir y mantener software de aplicación Adqui rir y mantener la infraestructura tecnológica

P

P

S

S

P

S

S

AI4

Facilitar la operación y el uso

P

P

S

S

AI5

Adqui rir recursos de TI

S

P

AI6

Definir niveles de servicio

P

P

AI7

Instalar y acreditar s oluciones y cambios

P

S

DS1

Definir niveles de servicio

P

P

DS2

Administrar servicios de terceros

P

P

DS3

Administrar desempeño y capacidad

P

P

DS4

Asegurar continuidad de se rvicio

P

S

DS5

Garantizar la seguridad de sistemas

DS6

Identificar y asi gnar costos

DS7

Educar y entrenar a usu arios

P

S

DS8

Administrar la mesa de servicios y los incidentes

P

P

DS9

Administrar la configuración

P

S

S

P

P

S

AI3

DS10 Administrar problemas

S

S

Proporcionar gobierno de TI

X

X

X

X

X

X

X

X

X

X

X

X

X

S

S

S

S

S

X

X

X

X

S

X

X

X

X

P

X

X

X

X

S

X

X

X

X

P

X

X

X

X

S

S

X X S

P

P

S

S

S

S

P

P

S

S

S

S

X

X

X

X

X

S

X

X X

P

S

X

X

P

P

P

X

S

P

P

X

S

S

M4

X

S

S

Garantizar cumplimiento regula torio

X

S

P

S

X

S

P

S

X

S

P

M3

S

S

P

M2

S

S

DS12 Administrar el ambiente físico

Monitorear y evaluar el desempeño de TI Monitorear y evaluar el control interno

X

S

P

M1

X

X

S

DS11 Administrar los datos

DS13 Administrar las operaciones

O E R O T I N O M

X

X

X

X

X

S

X

X

X

X

S

S

X

X

X

X

P

S

X

X

X

X

S

S

X

X

X

X

TABLA 1.1 RESUMEN DE CUADRO DE OBJETIVOS DE CONTROL COBIT

Para obtener los porcentajes de los criterios de información o el porcentaje de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la Universidad Nacional José Faustino Sánchez Carrión se asignara un valor al grado de impacto Primario cuyo efecto es alto o fuerte, Secundario cuyo efecto es leve o medio y Blanco (vacio) el cual no tiene ningún impacto. Este porcentaje se establece en base a una propuesta me todológica establecida por una metodología de manejo de riesgos como es COSO.

COSO (Sponsoring Organizations of the Treadway) establece una ponderación para el grado de impacto que tienen los criterios de información dentro de un proceso, además de permitir determinar el nivel de riesgo que tendría dicho proceso, para lo cual establece rangos de calificación para los niveles bajo, medio alto; como se p uede apreciar en la siguiente tabla.

CALIF%

IMPACTO

15%

50%

Bajo

51%

75%

Medio

76%

95%

Alto

-

-

Vacio

TABLA 1.2 Promedio de Impactos, fuente COBIT 4.1

MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organizació n que a su vez califica el nivel en dicho objeti vo.

DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnolog ía de la Información

NIVEL DE MADUREZ

Nivel 0

Nivel 1

Nivel 2

Nivel 3

Nivel 4

No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio. La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia. Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas .

E E L L P O P M N M U U C C

OBSERVACIONES

GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología Información está en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no existe un plan estratégico  de TI y estrategias de recursos de la Organización. No se realizar planes a largo plazo  de TI.

√

√

√

√

√

Se desarrollan planes realistas a largo plazo de TI y se actualizan de Nivel manera constante para reflejar los √ 5 cambiantes avances tecnológicos RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control:  

Planes a largo plazo de TI. Tomar decisiones estratégicas.

Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así  

como de los sistemas de información y su impacto de los objetivos de la Universidad Nacional José Faustino Sánchez Carrión. En el Largo Plazo: 

Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.

DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información

NIVEL DE MADUREZ

El conocimiento, la experiencia y las Nivel responsabilidades necesarias para 0 desarrollar esta arquitectura no existen en la organización.

Nivel 1

Nivel 2

Nivel 3

La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre de manera ad hoc. Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas. Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.


√

√

√

√

OBSERVACIONES

GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información está en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Que no se resolvió necesidades  futuras del negocio realizando el proceso de la arquitectura de la información. Aprovechar las habilidades  personales para la construcción de la arquitectura de la información.

Nivel 4

Nivel 5

El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.

√

√

RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: Desarrollar y mantener la arquitectura de la información.  Tener en claro la definición del proceso de la arquitectura de la información.  Ser partícipe de la construcción de la arquitectura de la información para incrementar sus  habilidades. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer y mantener un modelo de arquitectura de la información para facilitar el  desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital. En el Largo Plazo: Definir e implementar procedimientos para brindar integridad y consistencia de todos los  datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Dirección Tecnología

NIVEL DE MADUREZ

Nivel 0

Nivel 1

Nivel 2

No existe conciencia sobre la importancia de la planeación de la infraestructura tecnológica para la entidad. La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, ue similares.


√

√

√

OBSERVACIONES

GRADO DE MADUREZ El proceso de Determinar la Dirección Tecnología está en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Desarrollar las habilidades para la  elaboración del plan de la infraestructura tecnológica. Realizar un plan de  infraestructura tecnológica.

Nivel 3

Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.

√

El área de informática cuenta con Nivel la experiencia y las habilidades √ 4 necesarias para desarrollar un plan de infraestructura tecnológica. La dirección del plan de infraestructura tecnológica está impulsada por los estándares y Nivel avances industriales e √ 5 internacionales, en lugar de estar orientada por los proveedores de tecnología. RECOMENDACIONES Para el proceso PO3 de COBIT estable los siguientes objetivos de control: Elaborar un plan de infraestructura tecnológica. Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.  No delegar los cambios tecnológicos a personas que no tienen la debida experiencia.  Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: 

Planear la dirección tecnológica, es decir analizar las tecnol ogías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. En el Largo Plazo: Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer  un foro tecnológico, para de esta forma brindar directrices tecnológicas. 

REPORTE GENERAL DE GRADOS DE MADUREZ O I N I M O D

PROCESOS

E Z E D R L U E D V A I N M

R R A A Z C I I F I Y N A N G A L R P O

P01

Definir el Plan Estratégico de Tecnología de la Información

1

P02

Definir la Arquitectura de la Información

0

P03 P04

Determinar la Dirección Tecnología Definir los Procesos, Organización y Relaciones de TI

2 2

R E A R T I N R I E U M Q E L D P A M I

AI1 AI2

Identificar Soluciones Automatizadas Adquirir y Mantener Software Aplicativo

1 1

AI3

Adquirir y Mantener Infraestructura Tecnológica

3

AI4 AI5

Facilitar la Operación y el Uso Adquirir Recursos de TI

1 2

DS1 DS2

Definir y Adminis trar los Niveles de Servicio Administrar los Servicios de Terceros

1 3

DS3

Administrar el Desempeño y la Capacidad

1

DS4 DS5

Garantizar la Continuidad del Servicio Garantizar la Seguridad de los Sistemas

0 2

ME1 ME2

Monitorear y Evaluar el Desempeño de TI Monitorear y Evaluar el Control Interno

2 1

ME3

Garantizar el Cumplimiento Regulatorio

0

ME4

Proporcionar Gobierno de TI

1

Y R A G E R T N E

R A T R O P O S R A D

R A R E A R U O L T I A N V E O Y M

RESUMEN DE ANÁLISIS POR DOMINIOS: Dominio: Planear y Organizar (PO)

Dominio: Adquirir e Implementar (AI)

Dominio: Entrega y Dar Soporte (DS) Dominio: Monitorear y Evaluar (ME)

RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO CRITERIOS DE INFORMACIÓN O I N I M O D

d a d i l i b a i f n o C

0.86

0.63

Total ideal (impacto * Nivel Ideal)

0.86 4.3

0.63 3.15

P02

0.63

0.86

0.63

0.86

0 3.15 0.86

0 4.3 0.86

0 3.15

0 4.3


1.72 4.3

1.72 4.3

P04

0.86

0.86

1.72 4.3 0.86

1.72 4.3 0.63

2 5

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal)

0.86 4.3

0.63 3.15

1

AI2

0.86

0.86

0.63

0.63

0.86 4.3 0.63

0.86 4.3 0.86

0.63 3.15 0.63

0.63 3.15 0.63


0

0

0

0

0

3.15

4.3

3.15

3.15

5

AI4

0.86 0.86 4.3 0.63

0.86 0.86 4.3 0.86

0.63 0.63 3.15

0.63 0.63 3.15

1.26 3.15 0.86

1.72 4.3 0.86

0.63

0.63

0.86

0.86

0.63

0.63

PROCESOS

Defini r el Plan Estratégic o de Tecnol ogía de l a Información

Defini r la Arquitectura de la Información

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) P03

Determina r la Dir ección Tecnológica

Total real (impacto * Nivel Real) Defini r los Procesos, la Organización y las Relaciones de TI

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) AI1

Identificar Soluciones

d a d i r g e t n I

1 5

0 5

2 5

Automatizadas

Adquirir y Mantener Software Aplicativo


Adquirir y Mantener Infraestructura Tecnológica

Facilitar la Operación y el Uso


Adquirir Recursos de TI

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) R A G E R T N

o t n e i m i l p m u C

a i c n e i c i f E

Total real (impacto * Nivel Real)

R A T N E M E L P M I E R I R I U Q D A

d a d i l i b i n o p s i D

d a d i v i t c e f E

P01

R A Z I N A G R O Y R A C I F I N A L P

d a d i l a i c n e d i f n o C

z e r u d a M e d l e v i N

DS1

Defini r y Adminis trar los Niveles de Servic io


5

0.63 0.63 3.15 0.63

0.63 0.63 3.15

0.63

1.26 3.15 0.63

0.63

0.63

0.63

0.63

1 5

1 5 2 5

1


4.3 0.86

4.3 0.86

3.15 0.63

3.15 0.63

3.15 0.63

3.15 0.63

3.15 0.63

5


2.58

2.58

1.89

1.89

1.89

1.89

1.89

3

4.3

4.3

3.15

3.15

3.15

3.15

3.15

5

DS3

Admini strar el Desempeño y la Capacidad Total real (impacto * Nivel Real)

0.86

0.86

0.63

0.86

0.86

0.63

1


4.3 0.86

4.3 0.63

3.15 0.86

5

1.72

1.26

1.72

2

4.3

3.15

5

0.63

0.63

DS2

DS4

Admini strar los Servicios de Terceros

Garantizar la Continuidad del Servicio


0.86

0.86

4.3 0.63


0.86

0.86

0.63

0.63

0.63

1


4.3 0.63

3.15 0.63

3.15 0.63

3.15 0.63

5

DS5

Garantizar la Seguri dad de los Sistemas

Monitorear y Evaluar el Desempeño d e TI

0.86

0.86

4.3 0.63


1.72 4.3 0.86

1.72 4.3 0.86

1.26 3.15 0.63

1.26 3.15 0.63

1.26 3.15 0.63

1.26 3.15 0.63

1.26 3.15 0.63

2

0.86 4.3

0.86 4.3

0.63 3.15

0.63 3.15

0.63 3.15

0.63 3.15

0.63 3.15

1

0.86

0.63

0

0

0

3.15 0.63 0.63

5

3.15

5

ME1 R A U L A V E Y R A E R O T I N O M

ME2

Monitorear y Evaluar el Control Interno

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) ME3

Garantizar el Cumplimi ento Regulatorio

Total real (impacto * Nivel Real) Total ideal (impacto * Nivel Ideal) Total real (impacto * Nivel Real)

0.86 0.86

0.86 0.86

0.63 0.63

0.63 0.63

0.63 0.63

4.3 0.63 0.63


4.3

4.3

3.15

3.15

3.15

3.15

ME4

Proporcionar Gobierno de TI

5

5

1

RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) Porcentaje Alcanzado

17.6

17.14

5.9

7.16

8.65

7.56

6.93

65.35

65.35

23.2

33.8

32.65

31.95

28.35

26.93

26.23

25.43

23.66

24.44

21.18

26.49

24.9

A continuación analizamos cada uno de los criterios de la información:

EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 26.93% sobre 100%, es decir que la información que es de importancia para “La EMPRESA ”, que tiene incidencia en los procesos del negocio y

debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 26.93%.

EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 26.23% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “ La EMPRESA ” tiene un porcentaje del 26.23%.

CONFIDENCIALIDAD.-

INTEGRIDAD.-

DISPONIBILIDAD.-

CUMPLIMIENTO.-

CONFIABILIDAD.-

16

RECOMENDACIONES

17

Modelo de Madurez de Cobit Caso Practico

Recommend Documents