Pablo Caneo G.

COBIT 5 y COBIT 5 PARA RIESGOS

 Cinco Principios COBIT 5

Los cinco principios de COBIT 5:

1. Satisfacer las Necesidades de las Partes Interesadas
2. Cubrir la Empresa de Extremo a Extremo
3. Aplicar un Marco de Referencia Unico Integrado
4. Hacer Posible un Enfoque Holístico
5. Separar el Gobierno de la Gestión

2
 Satisfacer las Necesidades de las Partes
Interesadas

Principio 1. Satisfacer las Necesidades de las Partes Interesadas

 Las empresas existen para crear valor para sus accionistas.

Source: COBIT® 5, figure 3. © 2012 ISACA® All rights reserved.

3
 Satisfacer las Necesidades de las Partes
Interesadas (cont.)

Principio 1. Satisfacer las Necesidades de las

Partes Interesadas:

• Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas
diferentes — y a veces contradictorias —para cada uno de ellos.
• Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes
intereses en el valor de las partes interesadas.
• En consecuencia, el sistema de gobierno debe considerar a todas las partes
interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos.
• Para cada decisión, las siguientes preguntas pueden y deben hacerse:
- ¿Para quién son los beneficios?
- ¿Quién asume el riesgo?
- ¿Qué recursos se requieren?

4
 Satisfacer las Necesidades de las Partes
Interesadas (cont.)

Principio 1. Satisfacer las

Necesidades de las Partes
Interesadas:
•Las necesidades de las partes interesadas
deben transformarse en una estrategia
corporativa factible.
•La cascada de metas de COBIT 5 es el
mecanismo para traducir las necesidades de
las partes interesadas en metas
corporativas, metas relacionadascon las TI y
metas catalizadoras específicas, útiles y a
medida.

Source: COBIT® 5, figure 4. © 2012 ISACA® All rights reserved. 5

 Satisfacer las Necesidades de las Partes
Interesadas (cont.)

Principio 1. Satisfacer las Necesidades de las Partes Interesadas :

Beneficios de la Cascada de Metas de COBIT :
• La cascada de metas es importante porque permite la definición de prioridades
de implementación, mejora y aseguramiento del gobierno de las TI de la
empresa, que se basa en metas corporativas (estratégicas) de la empresa y el
riesgo relacionado.
 En la práctica, la cascada de metas :
 Define objetivos y metas relevantes y tangibles a varios niveles de
responsabilidad.
– Filtra la base de conocimiento de COBIT 5, sobre la base de las metas
corporativas, para extraer las guías relevantes a incluir en proyectos
específicos de implementación, mejora o aseguramiento
– Identifica claramente y comunica cómo (algunas veces de forma muy
operativa) los catalizadores son importantes para alcanzar metas de la
empresa.

6
 Cubrir la Empresa Extremo-a-Extremo

Principio 2. Cubrir la Empresa Extremo-a-Extremo :

• COBIT 5 contempla el gobierno y la gestión de la información y la tecnología
relacionada desde una perspectiva extremo a extremo y para toda la empresa.
• Esto significa que COBIT 5:
– Integra el gobierno de la empresa TI en el gobierno
corporativo. Es decir, el sistema de gobierno para la
empresa TI propuesto por COBIT 5 se integra sin
problemas en cualquier sistema de gobierno. COBIT 5
se alinea con las últimas visiones sobre gobierno.
– Cubre todas las funciones y procesos dentro de la
organización; COBIT 5 no se focaliza solamente en
la “Función de TI”, pero trata la información y
tecnologías relacionadas como activos que necesitan
ser tratados como cualquier otro activo dentro de la
empresa
7
 Cubrir la Empresa Extremo-a-Extremo

Principio 2. Cubrir la Empresa

Extremo-a-Extremo

Componentes claves
de un sistema de
gobierno

Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.

Source: COBIT® 5, figure 9. © 2012 ISACA® All rights reserved.

8
Aplicar un Marco de Referencia Único Integrado

Principio 3. Aplicar un Marco de Referencia Único

Integrado
 Se alinea con otros estándares y marcos de referencia relevantes
usados por las empresas:
 Empresas: COSO, COSO ERM, ISO/IEC 9000,
ISO/IEC 31000
 Relacionadas TI: ISO/IEC 38500, ITIL, ISO/IEC
27000 series, TOGAF, PMBOK/PRINCE2, CMMI
• Esto permite a la empresa usar COBIT 5 como el marco integrador
general de gestión y gobierno.
• Es completo en cuanto a la cobertura de la empresa, proporcionando
una base para integrar de manera efectiva otros marcos, estándares y
prácticas utilizadas.

9
 Hacer Posible un Enfoque Holístico

Principio 4. Hacer Posible un Enfoque Holístico

Habilitadores COBIT 5:
• Los habilitadores son factores que, individual y
colectivamente, influyen sobre si algo
funcionará en este caso, el gobierno y la gestión
de la empresa TI
• Los habilitadores son guiados por la cascada de
metas, es decir, objetivos de alto nivel
relacionados con TI definen lo que los diferentes
catalizadores deberían conseguir
• El marco de referencia COBIT 5 describe siete
categorías de habilitadores
10
 Hacer Posible un Enfoque Holístico(cont.)

Principio 4. Hacer Posible un Enfoque Holístico

Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved.

11
 Hacer Posible un Enfoque Holístico(cont.)

Principio 4. Hacer posible un Enfoque Holístico:

1. Los procesos describen un conjunto organizado de prácticas y actividades

para alcanzar ciertos objetivos y producir un conjunto de resultados que
soporten las metas generales relacionadas con TI
2. Las estructuras organizativas son las entidades de toma de decisiones
clave en una organización
3. La Cultura, ética y comportamiento de los individuos y de la empresa
son muy a menudo subestimados como factor de éxito en las actividades de
gobierno y gestión
4. Principios, políticas y marcos de referencia son el vehículo para traducir
el comportamiento deseado en guías prácticas para la gestión del día a día.

12
 Hacer Posible un Enfoque Holístico(cont.)

5. La información impregna toda la organización e incluye toda la

información producida y utilizada por la empresa. La información es
necesaria para mantener la organización funcionando y bien gobernada,
pero a nivel operativo, la información es muy a menudo el producto clave
de la empresa en sí misma.
6. Los servicios, infraestructuras y aplicaciones incluyen la
infraestructura, tecnología y aplicaciones que proporcionan a la empresa,
servicios y tecnologías de procesamiento de la información.
7. Las personas, habilidades y competencias están relacionadas con las
personas y son necesarias para poder completar de manera satisfactoria
todas las actividades y para la correcta toma de decisiones y de acciones
correctivas

13
 Hacer Posible un Enfoque Holístico(cont).

Principio 4. Hacer Posible un Enfoque Holístico :

• Cualquier empresa debe siempre considerar un conjunto interconectado de
habilitadores:
– Necesita del resultado de otros catalizadores para ser
completamente efectivo, por ejemplo, los procesos
necesitan información, las estructuras organizativas
necesitan habilidades y comportamiento
– Proporciona una salida para beneficio de otros
catalizadores, por ejemplo, los procesos
proporcionan información, habilidades y el
comportamiento hace los procesos eficientes

14
 Separar el Gobierno de la Gestión

Principio 5. Separar el Gobierno de la Gestión :

• El marco de COBIT 5 realiza una clara distinción entre
gobierno y gestión.
• Estas dos disciplinas :
– Engloban diferentes tipos de actividades
– Requieren estructuras organizativas diferentes
– Sirven para diferentes propósitos
• Gobierno En la mayoría de las empresas, el gobierno es
responsabilidad del consejo de administración bajo la
dirección de su presidente.
• Gestión En la mayoría de las empresas, la gestión es
responsabilidad de la dirección ejecutiva bajo la dirección del
CEO.
15
 Separar el Gobierno de la Gestión(cont.)

Principio 5. Separar el Gobierno de la Gestión:

• El Gobierno asegura que se evalúan las necesidades, condiciones y

opciones de las partes interesadas para determinar que se alcanzan las
metas corporativas equilibradas y acordadas; estableciendo la dirección a
través de la priorización y la toma de decisiones; y midiendo el
rendimiento y el cumplimiento respecto a la dirección y metas acordadas.
(EDM).
• La gestión planifica, construye, ejecuta y controla actividades
alineadas con la dirección establecida por el cuerpo de gobierno para
alcanzar las metas empresariales(PBRM).

16
 Separar el Gobierno de la Gestión(cont.)

Principio 5. Separar el Gobierno de la Gestión :

• COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen
procesos de gobierno y de gestión de manera que las áreas fundamentales estén
cubiertas, tal y como se muestra.

Source: COBIT® 5, figure 15. © 2012 ISACA® All rights reserved.

17
 Separar el Gobierno de la Gestión(cont.)

Principio 5. Separar el Gobierno de la Gestión :

• COBIT 5 framework describe siete categorías de habilitadores (Principio

4). Los Procesos son una categoría.
• Una empresa puede organizar sus procesos como crea conveniente,
siempre y cuando las metas de gobierno y gestión queden cubiertas.
Empresas más pequeñas pueden tener pocos procesos; empresas más
grandes y complejas pueden tener numerosos procesos, pero todos con el
ánimo de cubrir las mismas metas.
• COBIT 5 incluye un modelo de referencia de procesos (PRM), el cuál
define y describe en detalle una cantidad de procesos de gobierno y
gestión. El detalle de este modelo se encuentra en COBIT 5: Enabling
Processes volume.

18
COBIT 5: Procesos Habilitadores
COBIT 5: Habilitadores

Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved. 20

COBIT 5 Implementación
COBIT 5 Implementación

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

22
Cobit para Riesgos
Riesgos de TI
Principios para la Gestión de Riesgos
Políticas de Riesgos
Procesos de Soporte de la Función de
Riesgos
Procesos Claves de Soporte de la
Función de Riesgos
Cultura y Conducta
Conducta General
Cultura y Conducta
Conducta de la Gerencia
Habilidades y Competencias
Panorama de Escenarios de Riesgos
Factores de Riesgo
Estructura de Escenario de Riesgos
Ejemplo de Escenario de Riesgos
Flujo de Respuesta al Riesgo
Ejemplo de Escenarios de Riesgos
Código Malicicioso
Escenario Nro. 15
Código Malicioso
Proceso Habilitador para alcanzar el
Objetivo
Habilitadores
Código Malicioso
Habilitadores
Código Malicioso