https://www.researchgate.

net/publication/321176840_Metod
ologia_Agil_para_la_Gestion_de_Riesgos_Informaticos
 Presentación
Sector Publico Sector Privado Catedrático

Lic. Ciencias de la Informática

Mtro. Gestión de TI
Doc. Educación

25 Cursos y 3 Diplomados

Contacto:

Correo : [email protected]
Tel. 5533076707
 Autopresentaciones

1. Nombre
2. ¿Cual es tu cargo y responsabilidades?
3. ¿Cual es tu familiaridad con el tema?
4. ¿En que piensas aplicar estos
conocimientos?
 Temario

❖ Introducción al marco
❖ Principios
❖ Componentes y sistema de gobierno
❖ Objetivos de gestión y gobierno
❖ Gestión del desempeño
❖ Diseñar un sistema de gobierno a la medida
❖ Caso de negocio
❖ Implementación
Un Marco de Negocio para el Gobierno y la Gestión de las TI de
la Empresa
 Las empresas públicas y privadas.

Algunas organizaciones están en un nivel de madurez más avanzado,

otras en fase intermedia de desarrollo y algunas, todavía, en etapa inicial
Cambio exponencial en la tecnología
Revolución industrial
 Cambio exponencial de la tecnología

- Henderson y Venkatraman (1993)

- El ITGI (2007)

- Rezende (2008)
Actividad
COBIT 5 VS COBIT 2019
COBIT 2019
 COBIT 5 VS COBIT 2019
Es la evolución de la versión anterior COBIT 5, construida sobre
sus fundamentos sólidos añadiendo las últimas actualizaciones
en materia de información y tecnología empresariales.
Definición de gobierno y gestión
 ¿QUÉ HAY DE NUEVO?
1. El concepto de Objetivos de Gobierno e Gestión

2. 3 objetivos de Gestión adicionales

- APO14 – Managed Data
- BAI11 – Managed Projects
- MEA04 – Managed Assurance

3. El concepto de esferas de interés, que hace COBIT más flexible

y practico
 ¿QUÉ HAY DE NUEVO?
4. El concepto de factor proyectual, que permite construir
sistemas de gobierno más a medida

5. Process Capabilty Assessment basado en el enfoque CMMI

(Capability Maturity Model Integration) , actividades de proceso
asignadas a niveles de capacidad

6. La COBIT® 2019 Design Guide

 ¿QUÉ HA SIDO ACTUALIZADO?
1. La cascada de metas

2. La guía relacionada a los procesos (prácticas y actividades)

para la mayoría de los procesos

3. Referencias cruzadas a los estándares

 ¿QUÉ HA SIDO ACTUALIZADO?
4. La COBIT Implementation Guide ha sido actualizada para
trabajar junto con la Design Guide

5. El modelo de referencia COBIT ahora contiene 40 objetivos

de gestión de gobierno (procesos) en lugar de los 37
procesos de COBIT 5

6. Escenarios de riesgos relacionados al TI

 ¿QUÉ HAS SIDO ELIMINADO?
1. Modelos facilitadores genéricos: estructuras similares serán
parte del modelo conceptual de COBIT pero permanecerán
ocultos y por lo tanto harán COBIT menos complejo

2. Guía de los facilitadores: ha sido eliminada para simplificar

COBIT

3. Objetivos de proceso: su rol ha sido sustituido por las

declaraciones de la practicas de proceso
 ¿QUÉ HAS SIDO ELIMINADO?
4. COBIT 5 PAM y ISO 15504: sustituidos por el capability model
inspirado en CMMI
Ejercicio de Fijación 1
Gobierno Empresarial de la Tecnología y la Información (EGIT)
COBIT 2019
Beneficios del gobierno de tecnologías de la información

1. Obtención de beneficios.

2. Optimización de riesgos.

3. Optimización de recursos.
COBIT como marco de gobierno de I&T
¿QUÉ es COBIT y QUÉ no es?
Ejercicio de Fijación 2
 Partes interesadas en el gobierno

• Partes interesadas internas

• Dirección ejecutiva
• Gerentes de negocio
• Gerentes de TI
• Proveedores de aseguramiento
• Gestión de riesgos
• Entidades reguladoras
• Socios de negocios
• Proveedores de TI
Ejercicio de Fijación 3
Seis principios para un sistema de gobierno
Tres principios para un Marco de Gobierno
 COBIT® 2019 mejoras

1. Flexibilidad y apertura.
2. Actualidad y relevancia.
3. Aplicación prescriptiva.
4. Gestión del desempeño de TI.
Ejercicio de Fijación 4
Generalidades de COBIT
 Objetivos de gobierno y gestión

1. Evaluar, Dirigir y Monitorizar (EDM)

2. Alinear, Planificar y Organizar (APO)
3. Construir, Adquirir e Implementar (BAI)
4. Entregar, Dar Servicio y Soporte (DSS)
5. Monitorizar, Evaluar y Valorar (MEA)
 Núcleo COBIT 2019 conceptos clave
1. Para que la T&I contribuya a las metas
empresariales un cierto número de objetivos
de gobierno y gestión deben ser logrados.

1. Un objetivo de gobierno y/o gestión siempre

se relaciona a un proceso y a un grupo de
componentes específicos para ayudar a lograr
un objetivo.

1. Un objetivo de gobierno siempre se relaciona

con un proceso de gobierno y un objetivo de
gestión siempre se relaciona con un proceso
de gestión.
Núcleo COBIT 2019 conceptos clave
Modelo de referencia de
procesos
Componentes del sistema de gobierno
 Áreas prioritarias
Un área prioritaria describe un tópico, dominio o asunto de
gobierno que puede abordarse por una serie de objetivos de
gobierno y gestión y sus componentes.
Factores de diseño
 Estrategia de la empresa

1. Crecimiento/Adquisición
2. Innovación/Diferenciación
3. Liderazgo en costos
4. Servicio al cliente/Estabilidad
Objetivos empresariales que soporten la estrategia empresarial
Referencia Dimensión del cuadro de mando integrado BSC Meta empresarial

EG01 Financiera Portafolio de productos y servicios competitivos

EG02 Financiera Gestión de riesgo de negocio

EG3 Financiera Cumplimiento de leyes y regulaciones externas

EG4 Financiera Calidad de la información financiera

EG5 Cliente Cultura de servicio orientada al cliente

EG6 Cliente Continuidad y disponibilidad del servicio del negocio

EG7 Cliente Calidad de la información de gestión

EG8 Interna Optimización de la funcionalidad de los procesos internos del negocio

EG9 Interna Optimización de costes de los procesos del negocio

EG10 Interna Habilidades, motivación y productividad del personal

EG11 Interna Cumplimiento de las políticas internas

EG12 Crecimiento Gestión de programas de transformación digital

EG13 Crecimiento Innovación de productos y negocios

El perfil de riesgo de la empresa y los problemas actuales
relacionados con la I&T

Referencia Categoría de riesgo

1 Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio
2 Gestión del ciclo de vida de programas y proyectos
3 Coste y supervisión de TI
4 Experiencia, habilidades y comportamientos de TI
5 Arquitectura de la empresa/TI
6 Incidentes de infraestructura operativa de TI
7 Acciones no autorizadas
8 Adopción de software/problemas de uso
9 Incidentes de hardware
10 Fallos de software
11 Ataques lógicos (hacking, malware)
12 Incidentes de terceros/proveedores externos
13 Incumplimiento
14 Problemas geopolíticos
15 Acción sindical
16 Desastres naturales
17 Innovación tecnológica
18 Medio ambiente
19 Gestión de información y datos
 Problemas relacionados con I&T
Referencia Descripción
A Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja contribución al valor del negocio
B Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido a iniciativas fallidas o una percepción de baja contribución al valor del
negocio
C Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de proyectos y errores de aplicaciones, relacionados con TI
D Problemas de entrega del servicio por parte de los terceros de TI
E Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI
F Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas en la calidad del servicio de TI
G Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos normales de decisión de inversión y los
presupuestos aprobados de TI
H Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos
I Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho
J Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto
K Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse en las TI o una falta de patrocinio empresarial comprometido con TI
L Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI
M Coste de TI excesivamente alto
N Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales
O Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y los especialistas en TI hablen lenguajes distintos
P Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes
Q Nivel elevado de informática de usuario final, lo que genera (entre otros problemas) una falta de supervisión y control de calidad sobre las aplicaciones que se están desarrollado y
colocando en operación
R Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún involucramiento del departamento de TI de la empresa.1610
S Ignorancia y/o incumplimiento de las regulaciones de privacidad
T Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T
 Panorama de amenazas

Normal: La empresa funciona bajo lo que se consideran niveles

de amenaza normales.

Alto: Debido a su situación geopolítica, sector industrial o perfil

específico, la empresa funciona en un entorno de amenazas
elevadas
 Requerimientos de cumplimiento

1. Requerimientos de cumplimiento bajos.

2. Requerimientos de cumplimiento normales.
3. Requerimientos de cumplimiento altos.
 Rol de TI

1. Soporte TI
2. Fábrica
3. Cambio
4. Estratégico
 Rol de TI

1. Soporte TI
2. Fábrica
3. Cambio
4. Estratégico
 Modelo de abastecimiento para TI

1. Externalización / Tercerización (outsourcing).

2. Nube.
3. Internalizado (insourced.)
4. Híbrido.
 Métodos de implementación de TI

1. Ágil.
2. DevOPs.
3. Tradicional.
4. Híbrido.
 Estrategia de adopción de tecnología

1. El que primero se mueve (First mover).

2. Seguidor (Follower).
3. Adoptadores lentos (Slow adopter).
 Tamaño de la empresa

1. Empresa grande (predeterminada)

Empresa con más de 250 empleados que laboran tiempo
completo (FTE)

2. Pequeñas y medianas empresas

Empresa con entre 50 y 250 empleados que laboran
tiempo completo (FTE)
Cascada de metas
 Metas empresariales
EG01 Financiera Portafolio de productos y servicios competitivos • Porcentaje de productos y servicios que cumplen o exceden los objetivos de ingresos y/o cuota de mercado
• Porcentaje de productos y servicios que cumplen o exceden los objetivos de satisfacción del cliente
• Porcentaje de productos y servicios que proporcionan una ventaja competitiva
• Plazo de comercialización para nuevos productos y servicios

EG02 Financiera Gestión de riesgo de negocio • Porcentaje de objetivos y servicios empresariales críticos cubiertos por la evaluación de riesgos
• Tasa (ratio) de incidentes significativos que no se identificaron en la evaluación de riesgos frente al total de incidentes
• Frecuencia adecuada de la actualización del perfil de riesgo

EG03 Financiera Cumplimiento de leyes y regulaciones externas • Costedeincumplimientoregulatorio,incluyendo liquidacionesy multas

• Número de problemas de incumplimientoregulatorio que causan comentarios públicos o publicidad negativa
• Número de problemas de incumplimiento señalados por los reguladores o autoridadessupervisoras
• Número de problemas de incumplimientoregulatorio en relación con acuerdos contractuales con socios empresariales

EG04 Financiera Calidad de la información financiera • Encuesta de satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión de la información financiera de la
empresa
• Coste de incumplimiento regulatorio con respecto a regulaciones financieras

EG05 Cliente Culturade servicio orientada al cliente • Número de interrupciones del servicio al cliente
• Porcentaje de partes interesadas del negocio satisfechas de que la prestación de servicios al cliente cumpla con los niveles de servicioacordados
• Número de quejas de los clientes
• Tendencia de los resultados de la encuesta de satisfacción al cliente

EG06 Cliente Continuidad y disponibilidad del servicio del negocio • Número de interrupciones del servicio al cliente o procesos empresariales que han causado incidentes significativos
• Coste empresarial causado por los incidentes
• Número de horas de procesamiento perdidas por el negocio debido a interrupciones inesperadas del servicio
• Porcentaje de quejas en función de los objetivos de disponibilidad del servicioacordados

EG07 Cliente Calidad de la información de gestión • Grado de satisfacción del consejo de administración y la dirección ejecutiva con la información para la toma de decisiones
• Número de incidentes causados por decisiones erróneas de negocio basadas en información incorrecta
• Tiempo que se tarda en proporcionar la informacón de soporte para permitir la toma de decisiones empresariales eficaces
• Puntualidad en la entrega de la información de gestión
EG08 Interna Optimización de la funcionalidad de procesos internos del • Niveles de satisfacción del consejo de administración y la dirección ejecutiva con las capacidades del proceso
negocio del negocio
• Niveles de satisfacción de los clientes con las capacidades de prestación deservicios
• Niveles de satisfacción de los proveedores con las capacidades de la cadena de suministro

EG09 Interna Optimización de costes de los procesos del negocio • Relación entre el coste y los niveles de servicio conseguidos
• Niveles de satisfacción del consejo de administración y la dirección ejecutiva con los costes de proceso del
negocio
EG10 Interna Habilidades, motivación y productividad del personal • Productividad del personal comparada con benchmarks
• Nivel de satisfacción de las partes interesadas con los niveles de experiencia y habilidades del personal
• Porcentaje de personal cuyas habilidades son insuficientes con respecto a la competencia requerida para sus
funciones
• Porcentaje de personalsatisfecho

EG11 Interna Cumplimiento con las políticas internas • Número de incidentes relacionados con el incumplimiento de la política
• Porcentaje de las partes interesadas que entienden las políticas
• Porcentaje de políticas respaldadas por estándares y prácticas de trabajoeficaces

EG12 Crecimiento Gestión de programas de transformación digital • Número de programas ejecutados a tiempo y dentro del presupuesto
• Porcentaje de partes interesadas satisfechas con la ejecución del programa
• Porcentaje de programas de transformación del negocio suspendidos
• Porcentaje de programas de transformación del negocio con actualizaciones del estado notificadas periódicamente

EG13 Crecimiento Innovación de producto y negocio • Nivel de conciencia y comprensión de las oportunidades de innovación del negocio
• Satisfacción de las partes interesadas con los niveles de experiencia e ideas sobre innovación y productos
• Número de iniciativas de productos y servicios aprobadas como resultado de ideas innovadoras
 Metas de alineamiento
AG01 Financiera Cumplimiento y soporte de I&T para el cumplimiento • Coste de incumplimiento de TI, incluidos liquidaciones y multas, y el impacto de la pérdida reputacional
empresarial con las leyes y regulaciones externas • Número de problemasdeincumplimiento relacionadoscon TI notificados al consejo de administración o que
causan comentarios o descrédito públicos
• Número de problemas de incumplimiento en relación con acuerdos contractuales con los proveedores de
servicios de TI

AG02 Financiera Gestión de riesgo relacionado con I&T • Frecuencia adecuada de la actualización del perfil de riesgo
• Porcentaje de las evaluaciones de riesgo empresarial, incluido el riesgo relacionado con I&T
• Número de incidentes significativos relacionados con I&T que no se identificaron en la evaluación de riesgos
AG03 Financiera Beneficios obtenidos del portafolio de inversiones y • Porcentaje de inversiones posibilitadas por I&T en las que los beneficios previstos se cumplen o exceden
servicios relacionados con I&T • Porcentaje de servicios de I&T para los que se han logrado los beneficios esperados (indicados en los acuerdos
de nivel de servicio)
AG04 Financiera Calidad de la información financiera relacionada con la • Satisfacción de las partes interesadas clave con respecto al nivel de transparencia, comprensión y precisión
tecnología de la información financiera deTI
• Porcentaje de servicios de I&T con costes operativos claramente definidos y aprobados y beneficios
esperados
AG05 Cliente Prestación de servicios de I&T conforme a los • Porcentaje de partes interesadas del negocio satisfechas con que la prestación de servicios de TI cumpla con
requerimientos del negocio los niveles de servicioacordados
• Número de interrupciones del negocio debido a incidentes de servicios de TI
• Porcentaje de usuarios satisfechos con la calidad de la prestación de servicios de TI

AG06 Cliente Agilidad para convertir los requerimientos delnegocio • Nivel de satisfacción de los ejecutivos de negocios con la capacidad de respuesta de TI a los nuevos
en soluciones operativas requisitos
• Promedio de plazo de comercialización para servicios y aplicaciones nuevos relacionados con las I&T
• Tiempo promedio para convertir los objetivos estratégicos de I&T en una iniciativa acordada y aprobada
• Número de procesos de negocio críticos soportados por infraestructura y aplicacionesactualizadas

AG07 Interna Seguridad de la información, infraestructura y • Número de incidentes de confidencialidad que causan pérdidas financieras, interrupción del negocio o
aplicaciones de procesamiento y privacidad descrédito público
• Número de incidentes de disponibilidad que causan pérdidas financieras, interrupción del negocio o descrédito
público
• Número de incidentes de integridad que causan pérdidas financieras, interrupción del negocio o descrédito
público
AG08 Interna Habilitar y dar soporte a procesos de negocio • Plazo para la ejecución de servicios y procesos empresariales
mediante la integración de aplicaciones y • Número de programas empresariales facilitados por I&T retrasados o que incurren en costes
tecnología adicionales debido a problemas de integracióntecnológica
• Número de cambios en los procesos de negocio que se deben aplazar o revisar debido a problemas
de integración tecnológica
• Número de aplicaciones o infraestructuras críticas que operan en silos y no están integradas
AG09 Interna Ejecuciónde programas dentro del plazo, sin • Número de programas/proyectos ejecutados a tiempo y dentro del presupuesto
exceder el presupuesto, y que cumplen con los • Número de programas que necesitan una revisión significativa debido a defectos de calidad
requisitos y estándares de calidad • Porcentaje de partes interesadas satisfechas con la calidad del programa/proyecto

AG10 Interna Calidad de la información sobre gestión • Nivel de satisfacción del usuario con la calidad, puntualidad y disponibilidad de la información de gestión
de I&T relacionada con I&T, tras considerar los recursos disponibles
• Relación y extensión de las decisiones de negocio erróneas en las que la información errónea o no
disponible relacionada con I&T fue un factor clave
• Porcentaje de información que satisface los criterios de calidad
AG11 Interna Cumplimiento de I&T con las políticas • Número de incidentes relacionados con el incumplimiento de las políticas relacionadas con TI
internas • Número de excepciones a las políticas internas
• Frecuencia de revisión y actualización de la política
AG12 Aprendizaje y crecimiento Personal competente y motivado con un • Porcentaje de empresarios con dominio de I&T (es decir, aquellos que tienen los conocimientos y
entendimiento mutuo de la tecnología y el comprensión de I&T requeridos para guiar, dirigir, innovar y ver las oportunidades de I&T en su área de
negocio experiencia)
• Porcentaje de empresarios con dominio de TI (es decir, aquellos que tienen los conocimientos y
comprensión de los dominios importantes del negocio requeridos para guiar, dirigir, innovar y ver las
oportunidades de I&T para su ámbito empresarial)
• Número o porcentaje de empresarios con experiencia en gestión de tecnología
AG13 Aprendizaje y crecimiento Conocimiento, experiencia e iniciativas para la • Nivel de conciencia de los ejecutivos de negocios y comprensión de las posibilidades de innovación de
innovación empresarial las I&T
• Número de iniciativas aprobadas como resultado de ideas innovadoras de I&T
• Número de campeones en innovación reconocidos/premiados
Ejercicio de Fijación 5
 Propósito
EDM01 Asegurar el establecimiento y el Proporcionar un enfoque uniforme, integrado y alineado con el enfoque de gobierno de la empresa Las decisiones relacionadas
mantenimiento del marco de gobierno con I&T deben hacerse en línea con las estrategias y objetivos de la empresa y el valor esperado es alcanzado. En este sentid o,
debe asegurarse de que los procesos relacionados con I&T se monitoricen de forma eficaz y transparente; que se cumpla con los
requisitos legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros del consejo de
dirección.
EDM02 Asegurar la entrega de beneficios. Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados por I&T; la entrega rentable de soluciones y servicios; y
una imagen confiable y precisa de los costes y beneficios probables para que las necesidades empresariales se satisfagan de
forma eficaz y eficiente.
EDM03 Asegurar la optimización del riesgo Asegurarse de que el riesgo de negocio relacionado con I&T no exceda el apetito y tolerancia al riesgo de la empresa, que se
identifique y gestione el impacto del riesgo de I&T en el valor de negocio y que se minimicen los posibles fallos de cumplimiento.
EDM04 Asegurar la optimización de recursos Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que los costes de I&T se
optimicen, y que exista una mayor probabilidad de obtener beneficios y buena disposición para cambiosfuturos.
EDM05 Asegurar la participación de las partes Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de I&T, que la comunicación con las partes
interesadas interesadas sea eficaz y oportuna, y que se establezcan las bases para los informes con el fin de aumentar el desempeño.
Identificar las áreas de mejora y confirmar que los objetivos y estrategias relacionados con I&T se ajusten a la estrategia de la
empresa.
APO01 Gestionar el marco de gestión de I&T Implementar un enfoque uniforme de gestión para permitir que se alcancen los requisitos de gobierno empresarial, con
cobertura de componentes de gobierno, como los procesos de gestión, las estructuras organizativas, los roles y las
responsabilidades, las actividades confiables y repetibles, los elementos de información, las políticas y procedimientos, las
habilidades y las competencias, la cultura y el comportamiento, y los servicios, infraestructura y aplicaciones.

APO02 Gestionar la estrategia Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de rut a
con cambios incrementales. Usar un enfoque holístico en cuanto a T&I, asegurando que cada iniciativa esté claramente conectada
con una estrategia global. Habilitar el cambio en todos los diversos aspectos de la organización, desde los canales y procesos a los
datos, cultura, habilidades, modelo operativo e incentivos.
APO03 Gestionar la arquitectura empresarial Representar los diferentes componentes que conforman la empresa y sus interrelaciones, así como los principios que guían su
diseño y evolución a lo largo del tiempo, para posibilitar una prestación estándar, atenta y eficiente de los objetivos operativos y
estratégicos.
APO04 Gestionar la innovación Lograr ventajas competitivas, innovación empresarial, una mejor experiencia de cliente y una mayor eficacia y eficiencia operativa
con el aprovechamiento de los desarrollos de I&T y las tecnologías emergentes.
APO05 Gestionar el portafolio Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de
programas, productos y desempeño de servicios y a las cambiantes prioridades y demandas de la empresa.
APO06 Gestionar el presupuesto y los costes Fomentar la asociación entre TI y las partes interesadas de la empresa para permitir el uso eficaz y eficiente
de los recursos relacionados con I&T, y proporcionar transparencia y rendición de cuentas sobre el coste y
el valor de soluciones y servicios para el negocio. Habilitar a la empresa para que tome decisiones
informadas sobre el uso de soluciones y servicios de I&T.
APO07 Gestionar los recursos humanos Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa
APO08 Gestionar las relaciones Facilitar el conocimiento, habilidades y comportamientos correctos para generar mejores resultados,
aumentar la credibilidad, la confianza mutua y el uso eficaz de los recursos para estimular una relación
productiva con las partes interesadas de la empresa.
APO09 Gestionar los acuerdos de servicio Asegurarse de que los productos, servicios y niveles de servicio de I&T satisfagan las necesidades actuales y
futuras de la empresa.
APO10 Gestionar los proveedores Optimizar las capacidades disponibles de I&T para apoyar la estrategia y la hoja de ruta de I&T, minimizar el
riesgo asociado con proveedores que no rinden o cumplen con los requisitos y asegurar precios competitivos.
APO11 Gestionar la calidad Asegurar la entrega consistente de soluciones y servicios tecnológicos para satisfacer los requisitos de
calidad de la empresa y las necesidades de las partes interesadas.
APO12 Gestionar riesgos Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global
(ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con T&I.
APO13 Gestionar la seguridad Mantener el impacto y la existencia de incidentes de seguridad de la información dentro de los niveles de
apetito de riesgo de la empresa.
APO14 Gestionar los datos Asegurar el uso eficaz de activos de datos críticos para lograr las metas y objetivos empresariales.
BAI01 Gestionar los programas Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor inesperados.
Para ello, se deben mejorar las comunicaciones y la participación del negocio y de los usuarios finales,
asegurar el valor y la calidad de los entregables de los programas y realizar un seguimiento de los proyectos
dentro de los programas y maximizar la contribución del programa al portafolio de inversiones.
BAI02 Gestionar la definición de requerimientos Crear soluciones óptimas que satisfagan las necesidades de la empresa, mientras se minimiza el riesgo.
BAI03 Gestionar la identificación y construcción de Asegurar una entrega ágil y escalable de productos y servicios digitales. Establecer soluciones oportunas
soluciones y rentables (tecnología, procesos de negocio y flujos de trabajo) capaces de apoyar los objetivos
estratégicos y operativos de la empresa.
BAI04 Gestionar la disponibilidad y capacidad Mantener la disponibilidad del servicio, la gestión eficiente de los recursos y la optimización del rendimiento
del sistema a través de la predicción de los requisitos futuros de rendimiento y capacidad.
BAI05 Gestionar los cambios organizativos Preparar y conseguir el compromiso a las partes interesadas para el cambio en el negocio y reducir el riesgo
de fracaso.
BAI06 Gestionar los cambios de TI Facilitar una ejecución de cambios rápida y confiable para el negocio. Mitigar el riesgo de afectar
negativamente a la estabilidad o integridad del entorno que se ha modificado.
BAI07 Gestionar la aceptación y la transición de los Implementar soluciones seguras y conforme a las expectativas y resultados acordados.
cambios de TI
BAI08 Gestionar el conocimiento Proporcionar los conocimientos e información de gestión necesarios para apoyar a todo el personal en el
gobierno y gestión de I&T de la empresa y permitir la toma de decisiones informadas.
BAI09 Gestionar los activos Tener en cuenta todos los activos de I&T y optimizar el valor proporcionado por suuso.
BAI10 Gestionar la configuración Proporcionar información suficiente sobre los activos del servicio para facilitar que el servicio se
gestione de forma eficiente. Evaluar el impacto de los cambios y hacer frente a los incidentes del servicio.
BAI11 Gestionar los proyectos Lograr los resultados definidos del proyecto y reducir el riesgo de retrasos inesperados, costes y
erosión del valor mediante la mejora de las comunicaciones y la participación del negocio y de los
usuarios finales. Asegurar el valor y la calidad de los entregables del proyecto y maximizar su contribución
a los programas y al portafolio de inversión definidos.
DSS01 Gestionar las operaciones Proporcionar los resultados de los productos y servicios operativos de I&T según lo planeado.
DSS02 Gestionar las peticiones y los incidentes del servicio Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de
consultas e incidentes de los usuarios. Evaluar el impacto de los cambios y hacer frente a los incidentes
del servicio. Resolver las solicitudes de los usuarios y restaurar el servicio como respuesta ante
incidentes.
DSS03 Gestionar los problemas Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costes y atender mejor las
necesidades del cliente y lograr su satisfacción reduciendo el número de problemas operativos, e
identificar las causas raíz como parte de la resolución de problemas.
DSS04 Gestionar la continuidad Adaptarse rápidamente, continuar las operaciones del negocio y mantener la disponibilidad de los
recursos y la información a un nivel aceptable para la empresa en caso de una interrupción significativa
(como amenazas, oportunidades, demandas).
DSS05 Gestionar los servicios de seguridad Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad
de la información
DSS06 Gestionar los controles de los procesos de Mantener la integridad de la información y la seguridad de los activos de información manejados en los
negocio procesos de negocio, dentro de la empresa o su operación tercerizada.
MEA01 Gestionar la monitorización del rendimiento y la Proporcionar transparencia en el desempeño y la conformidad e impulsar el logro de las metas.
conformidad
MEA02 Gestionar el sistema de control interno Dar información transparente a las partes interesadas clave sobre la idoneidad del sistema de controles
internos que permita, proporcionar credibilidad en las operaciones, confianza en el logro de los objetivos
de la empresa y una comprensión adecuada del riesgo residual.
MEA03 Gestionar el cumplimiento de los requerimientos Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables.
externos
MEA04 Gestionar el aseguramiento Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes,
proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de
aseguramiento, usando una hoja de ruta basada en criterios de aseguramiento que sean bien
acogidos.
Ejercicio de Fijación 6
 Gestión del Desempeño en COBIT

Es un término general que

engloba todas las actividades y
métodos. Expresa hasta qué
punto funciona bien el sistema
de gobierno y gestión y todos
los componentes de una
empresa, y cómo pueden
mejorarse para alcanzar el
nivel requerido.
 Principios de gestión del desempeño de COBIT

1. El modelo CPM debería entenderse y usarse fácilmente.

2. El modelo CPM debe ser consistente con, y apoyar, el
modelo conceptual de COBIT.
3. El modelo CPM debería proporcionar resultados confiables,
repetibles y relevantes.
4. El modelo CPM debe ser flexible
5. El modelo CPM debería admitir distintos tipos de
evaluaciones, desde autoevaluaciones a evaluaciones
formales o auditorías.
Visión general de la gestión del Desempeño de COBIT

El modelo CPM está en gran parte alineado y amplía los

conceptos de CMMI® Development V2.020
Gestión del desempeño de los procesos
 Calificar las actividades del proceso
Un nivel de capacidad puede alcanzarse en distinto grado, lo
cual puede expresarse mediante una serie de calificaciones:

1. Algunos métodos formales que conducen a una

certificación independiente usan una serie de calificaciones
binarias de aprobado/falla.

2. Métodos menos formales (usados con frecuencia en

contextos de mejora del desempeño) funcionan mejor con una
serie de calificaciones más amplio
Niveles de Madurez del área prioritaria
Gestión del desempeño de las estructuras organizativas

La ejecución satisfactoria de esas prácticas del proceso ante los

que la estructura (o rol) organizativo rinde cuentas o es
responsable [una A o una R, respectivamente, en una matriz de
asignación de responsabilidades por cargo:

✓ R: Responsable
✓ A: Quien rinde cuentas
✓ C: Consultado
✓ I: Informado
Gestión de desempeño de elementos de información
Gestión de desempeño de elementos de información
Visión general de la gestión del Desempeño de COBIT

El modelo CPM está en gran parte alineado y amplía los

conceptos de CMMI® Development V2.020
Ejercicio de Fijación 7
 Diseño de un sistema de gobierno personalizado

1. Gestión de prioridad/selección del objetivo.

2. Variación de componentes.
3. Necesidad para áreas prioritarias específicas.
Fases y pasos del proceso de diseño
Ejercicio de Fijación 8
Implementar el gobierno de TI de la empresa
Ejercicio de Fijación 9
 Caso de negocio
1. Resumen Ejecutivo
2. Antecedentes
3. Desafíos del negocio
4. Análisis de brechas y meta
5. Alternativas consideradas
6. Solución Propuesta
7. Fase 1. Pre-planificación
8. Fase 2. Implementación del programa
9. Alcance del programa
10. Metodología del programa y alineamiento
11. Entregables del programa
12. Riesgo del programa
13. Partes interesadas
14. Análisis de coste-beneficio
 Desafíos y factores de éxito
Desafío Factor crítico de éxito —Medidas planificadas
Incapacidad de obtener y mantener el respaldo para mejorar los objetivos Mitigar a través de estructuras de comités dentro del grupo.

Brecha de comunicación entre TI y el negocio Involucrar a todas las partes interesadas.

Coste de mejoras superior a beneficios percibidos Priorizar la identificación de beneficios.

Falta de confianza y buenas relaciones entre TI y la empresa Fomentar una comunicación abierta y transparente acerca del rendimiento, vinculada a la gestión del
rendimiento corporativo.
1. Priorizar las interfaces del negocio y la mentalidad de servicio.
2. Publicar los resultados positivos y lecciones aprendidas para contribuir a establecer y mantener la
credibilidad.
3. Garantizar que el CIO mantenga la credibilidad y el liderazgo a la hora de generar confianza y
relaciones.
4. Formalizar los roles y responsabilidades de gobierno en el negocio para que quede clara la
rendición de cuentas por las decisiones tomadas.
5. Identificar y comunicar la evidencia de problemas reales, riesgos que deben evitarse y beneficios
que deben obtenerse (en términos empresariales) relacionados con las mejoras propuestas.
6. Priorizar una planificación que facilite los cambios.
Falta de comprensión del entorno de Acme por parte de los responsables del programa GETI Aplicar una metodología de evaluación uniforme.

Distintos niveles de complejidad (técnica, organizativa, modelo operativo) Tratar a las entidades de forma individualizada. Beneficiarse de las lecciones aprendidas e intercambiar
conocimientos.

Entender los marcos, procesos y prácticas de GETI Formar y hacer de mentores.

Resistencia al cambio Asegurar la implementación del ciclo de vida también incluye cambios en las actividades de facilitación.

Adopción de mejoras Facilitar la capacitación local a nivel de entidad.

Dificultad a la hora de integrar GETI en los modelos de gobierno de los socios externos Involucrar a proveedores/terceros en las actividades de GETI.
1. Incorporar condiciones y el derecho a una auditoría en los contratos.

Fallo a la hora de cumplir con los compromisos de implementación de GETI Gestionar las expectativas.
1. Simplificar, ser realistas y prácticos.
2. Desglosar el proyecto global en proyectos pequeños factibles, logrando experiencia y beneficios.

Intentar no hacer demasiadas cosas a la vez; que TI intente resolver problemas extremadamente difíciles Aplicar los principios de gestión del programa y proyecto.
y/o complejos Utilizar hitos.
Priorizar tareas 80/20 (80 por ciento de beneficio con 20 por ciento de trabajo) y tener cuidado a la hora
de establecer secuencias en el orden correcto. Capitalizar las ganancias rápidas.
Generar confianza/credibilidad. Contar con las habilidades y experiencias para simplificar y ser prácticos.
Reutilizar lo que ya se tiene como base.
TI en modo apagar incendios y/o no priorizar bien y no poder centrarse en GETI Aplicar buenas habilidades de liderazgo.

1. Obtener el compromiso e impulso de la alta dirección para que los empleados

puedan centrase en GETI.

2. Abordar las causas raíz del entorno operativo (intervención externa, dirección
priorizando TI).

3. Aplicar una disciplina más férrea/gestión de peticiones del negocio.

4. Obtener ayuda externa.

Ausencia de las habilidades y competencias de TI requeridas, como entender el Enfocarse en una planificación de cambio organizativo: Desarrollo
negocio, los procesos, habilidades sociales
1. Capacitación

2. Coaching

3. Tutoría

4. Retroalimentación al proceso de contratación

5. Entrenamiento / capacitación cruzada

6.

Mejoras no adoptadas ni aplicadas Usar una estrategia individual con principios acordados para la entidad local. Su
implementación debe ser práctica.

Resulta difícil mostrar o demostrar los beneficios Identificar las métricas de desempeño.

Pérdida de interés y motivación Generar un compromiso a nivel de grupo, incluida la comunicación.

Ejercicio de Fijación 10
 REGLAS/GUIA Principal
COBIT no contradice ninguna
directriz de los estándares
relacionados. Al mismo tiempo, es
importante recordar que COBIT no
copia los contenidos de dichos
estándares relacionados. En su lugar,
suele proporcionar informaciones o
referencias equivalentes a las
directrices vinculadas.
 Lista de estándares referenciados

• CMMI® Cybermaturity Platform, 2018

• CMMI® Data Management Maturity (DMM)SM model, 2014
• CMMI® Development V2.0, CMMI Institute, USA, 2018
• ISO/CIE 20000-1:2011(E)
• ISO/CIE 27001:2013/Cor.2:2015(E)
• ISO/CIE 27002:2013/Cor.2:2015(E)
• ISO/CIE 27004:2016(E)
• ISO/CIE 27005:2011(E)
• ISO/CIE 38500:2015(E)
Ejercicio de Fijación 10
Examen Fundamentos
COBIT 2019
Diseño COBIT
2019