modelo de madurez de cobit caso practico

1

MODELOS DE MADUREZ

En la actualidad se pide a los directivos y ejecutivos de la Organizacin que

tomen muy en cuenta una correcta administracin de las TI. Para esto se debe

realizar un plan de negocio para alcanzar un nivel ptimo de administracin y

control de la Tecnologas de la Informacin.

Estos modelos de madurez estn diseados como perfiles de procesos de TI

que una Organizacin los reconocera como estados posiblemente actuales y

futuros, estos modelos no estn diseados para ser limitantes, donde no se

puede pasar a los niveles superiores sin haber cumplido antes los niveles

antecesores, al usar los modelos de madurez para los 34 procesos de TI de

COBIT, la administracin podr identificar:

El desempeo real de la Organizacin: Donde se encuentra la Organizacin

hoy.

El Status actual de la Organizacin: La comparacin

EL objetivo de la mejora de la Organizacin: Donde desea estar la

Organizacin.

Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI,

con una escala de medicin creciente a partir de 0, no existente, hasta 5,

optimizado, la ventaja es que es relativamente fcil para la direccin ubicarse a

s misma en una escala y de esta forma evaluar que se debe hacer si se

requiere una mejora.

2

0

NO EXISTENTE

Carencia completa de cualquier proceso reconocible. La

Organizacin no ha reconocido siquiera que existe un

problema a resolver.

1

INICIAL

Existe evidencia que la empresa ha reconocido que los

problemas existen y requieren ser resueltos. Sin embargo;

no existen procesos estndar en su lugar existen enfoques

ad hoc que tienden a ser aplicados de forma individual o

caso por caso. El enfoque general hacia la administracin es

desorganizado.

2

REPETIBLE

Se han desarrollado los procesos hasta el punto en que se

siguen procedimientos similares en diferentes reas que

realizan la misma tarea. No hay entrenamiento o

comunicacin formal de los procedimientos estndar, y se

deja la responsabilidad al individuo. Existe un alto grado de

confianza en el conocimiento de los individuos y, por lo

tanto, los errores son muy probables.

3

DEFINIDO

Los procedimientos se han estandarizado y documentado, y

se han difundido a travs de entrenamiento. Sin embargo,

se deja que el individuo decida utilizar estos procesos, y es

poco probable que se detecten desviaciones. Los

procedimientos en s no son sofisticados pero formalizan las

prcticas existentes.

4

ADMINISTRADO

Es posible monitorear y medir el cumplimiento de los

procedimientos y tomar medidas cuando los procesos no

estn trabajando de forma efectiva. Los procesos estn bajo

constante mejora y proporcionan buenas prcticas. Se usa

la automatizacin y herramientas de una manera limitada o

fragmentada.

5

OPTIMIZADA

Los procesos se han refinado hasta el nivel de mejor

prctica, se basan en los resultados de mejoras continuas y

en un modelo de madurez con otras empresas. TI se usa de

forma integrada para automatizar el flujo de trabajo,

3

brindando herramientas para mejorar la calidad y la

efectividad, haciendo que la empresa se adapte de manera

rpida.

Los criterios estn formados por:

La Efectividad: Tiene que ver con que la informacin sea

relevante y pertinente a los procesos del negocio, y se

proporcione de una manera oportuna, correcta, consistente y

utilizable.

La Eficiencia: Consiste en que la informacin sea generada

con el ptimo (ms productivo y econmico) uso de los

recursos.

La Confidencialidad: Se refiere a la proteccin de

informacin sensitiva contra revelacin no autorizada.

La Integridad: Est relacionada con la precisin y completitud

de la informacin, as como con su validez de acuerdo a los

valores expectativas del negocio.

La Disponibilidad: Se refiere a que la informacin est

disponible cuando sea requerida por los procesos del negocio

en cualquier momento. Tambin concierne a la proteccin de

los recursos y las capacidades necesarias asociadas.

El Cumplimiento: Tiene que ver con acatar aquellas leyes,

reglamentos y acuerdos contractuales a los cuales est sujeto

el proceso de negocio, es decir, criterios de negocios

impuestos externamente, as como polticas internas.

La Confiabilidad: Se refiere a proporcionar la informacin

apropiada para que la gerencia administre la entidad y ejerza

sus responsabilidades fiduciarias y de gobierno

Los recursos son:

Las aplicaciones: Incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan informacin.

4

La informacin: Son los datos en todas sus formas, de entrada,

procesados y generados por los sistemas de informacin, en cualquier

forma en que sean utilizados por el negocio.

La infraestructura: Es la tecnologa y las instalaciones (hardware, sistemas

operativos, sistemas de administracin de base de datos, redes, multimedia,

etc., as como el sitio donde se encuentran y el ambiente que los soporta)

que permiten el procesamiento de las aplicaciones.

Las personas (Recursos Humanos): Son el personal requerido para

planear, organizar, adquirir, implementar, entregar, soportar, monitorear y

evaluar los sistemas y los servicios de informacin.

Modelos de Madurez a nivel Cualitativo (COSO)

A continuacin se representa en una tabla el impacto de los objetivos de control

de COBIT 4.1 sobre los criterios y recursos de TI.

La manera como les afecta a cada uno de los procesos est identificada por:

El grado de impacto Primario (P): Que es el grado al cual el objetivo de

control definido impacta directamente al requerimiento de informacin de

inters.

El grado de impacto Secundario (S): Que es el grado al cual el objetivo

de control definido satisface nicamente de forma indirecta o en menor

medida al requerimiento de informacin de inters.

Espacio Blanco (Vaco): Que no tiene impacto alguno sobre los

requerimientos de informacin.

5

La seleccin de los recursos administrativos en forma especfica por cada

proceso es mediante una X. Vase tabla 1.1.

CRITERIO DE INFORMACIN RECURSOS DE TI

DO

MIN

IO

PR

OC

ES

OS

Efe

cti

vid

ad

Efi

cie

nc

ia

Co

nfi

de

nc

iali

da

d

Inte

gri

da

d

Dis

po

nib

ilid

ad

Cu

mp

lim

ien

to

Co

nfi

ab

ilid

ad

Ap

lic

ac

ion

es

Info

rma

ci

n

Infr

ae

str

uc

tura

Pe

rso

na

s

PL

AN

EA

CI

N

P01 Definir el estratgico de TI P S X X X X

P02 Definir la arquitectura de

informacin S P S P X X

P03 Determinar la direccin tecnolgica. P P X X

P04 Definir procesos, organizacin y relaciones de TI.

P P X

P05 Administrar las inversiones en TI P P S X X X

P06 Comunicar las aspiraciones y la direccin de la Gerencia

P S X X

P07 Administrar los recursos humanos de TI

P P X

P08 Administrar Calidad P P S S X X X X

P09 Evaluar y administrar riesgos de TI S S P P P S S X X X X

P10 Administrar proyectos P P X X X

6

A01 Identificar soluciones automatizadas P S X X

AI2 Adquirir y mantener software de aplicacin

P P S S X

AD

QU

ISI

N E

IMP

LE

ME

NT

AC

IN

AI3 Adquirir y mantener la infraestructura tecnolgica

S P S S X

AI4 Facilitar la operacin y el uso P P S S S S X X X

AI5 Adquirir recursos de TI S P S X X X X

AI6 Definir niveles de servicio P P S S S S S X X X X

AI7 Instalar y acreditar soluciones y cambios

P S S S X X X X

EN

TR

EG

A D

E S

ER

VIC

IO Y

SO

PO

RT

E

DS1 Definir niveles de servicio P P S S S S S X X X X

DS2 Administrar servicios de terceros P P S S S S S X X X X

DS3 Administrar desempeo y capacidad P P S X X X X

DS4 Asegurar continuidad de servicio P S P X X X X

DS5 Garantizar la seguridad de sistemas P P S S S X X X X

DS6 Identificar y asignar costos P P X X X X

DS7 Educar y entrenar a usuarios P S X

DS8 Administrar la mesa de servicios y los incidentes

P P X X

DS9 Administrar la configuracin P S S S X X X

DS10 Administrar problemas P P S X X X X

DS11 Administrar los datos P P X

DS12 Administrar el ambiente fsico P P X

DS13 Administrar las operaciones P P S S X X X X

MO

NIT

OR

EO

M1 Monitorear y evaluar el desempeo de TI

P P S S S S S X X X X

M2 Monitorear y evaluar el control interno

P P S S S S S X X X X

M3 Garantizar cumplimiento regulatorio P S X X X X

M4 Proporcionar gobierno de TI P P S S S S S X X X X

TABLA 1.1 RESUMEN DE CUADRO DE OBJETIVOS DE CONTROL COBIT

7

Para obtener los porcentajes de los criterios de informacin o el porcentaje de

efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento

y confiabilidad de la Universidad Nacional Jos Faustino Snchez Carrin se

asignara un valor al grado de impacto Primario cuyo efecto es alto o fuerte,

Secundario cuyo efecto es leve o medio y Blanco (vacio) el cual no tiene ningn

impacto.

Este porcentaje se establece en base a una propuesta me todolgica

establecida por una metodologa de manejo de riesgos como es COSO.

COSO (Sponsoring Organizations of the Treadway) establece una ponderacin

para el grado de impacto que tienen los criterios de informacin dentro de un

proceso, adems de permitir determinar el nivel de riesgo que tendra dicho

proceso, para lo cual establece rangos de calificacin para los niveles bajo,

medio alto; como se puede apreciar en la siguiente tabla.

CALIF% IMPACTO

15% 50% Bajo

51% 75% Medio

76% 95% Alto

- - Vacio

TABLA 1.2 Promedio de Impactos, fuente COBIT 4.1

8

MODELOS DE MADUREZ DE LOS PROCESOS

Se mostrara a continuacin una ficha por cada uno de los objetivos haciendo

un anlisis de los modelos de madurez de COBIT 4.1, para determinar el nivel

mnimo que no cumple la Organizacin que a su vez califica el nivel en

dicho objetivo.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: Definir el Plan Estratgico de Tecnologa de la Informacin

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel

0

No existe conciencia por parte de la gerencia de que la planeacin estratgica de TI es requerida para dar soporte a las metas del negocio.

GRADO DE MADUREZ El proceso de Definir el Plan Estratgico de Tecnologa Informacin est en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Que no existe un plan estratgico de TI y estrategias de recursos de

la Organizacin. No se realizar planes a largo plazo

de TI.

Nivel 1

La planeacin estratgica de TI se discute de forma ocasional en las reuniones de la gerencia.

Nivel 2

Las decisiones estratgicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organizacin.

Nivel 3

La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, tcnicos y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas.

Nivel

4

Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las operaciones de los sistemas.

9

Nivel 5

Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnolgicos y el progreso relacionado al negocio.

RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control:

Planes a largo plazo de TI.

Tomar decisiones estratgicas.

Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as

como de los sistemas de informacin y su impacto de los objetivos de la Universidad

Nacional Jos Faustino Snchez Carrin. En el Largo Plazo:

Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes deben ser bien detallados para poder realizar la definicin de planes proyectados.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO2: Definir la Arquitectura de la Informacin

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel

0

El conocimiento, la experiencia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en la organizacin.

GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Informacin est en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Que no se resolvi necesidades futuras del negocio realizando el proceso de la arquitectura de la informacin.

Aprovechar las habilidades

personales para la construccin de la arquitectura de la

informacin.

Nivel

1

La gerencia reconoce la necesidad de una arquitectura de informacin. El desarrollo de algunos componentes de una arquitectura de informacin ocurre de manera ad hoc.

Nivel 2

Las personas obtienen sus habilidades al construir la arquitectura de informacin por medio de experiencia prctica y la aplicacin repetida de tcnicas.

Nivel

3

Existe una funcin de administracin de datos definida formalmente, que establece estndares para toda la organizacin, y empieza a reportar sobre la aplicacin y uso de la arquitectura de la informacin.

10

Nivel

4

El proceso de definicin de la arquitectura de informacin es pro- activo y se enfoca en resolver necesidades futuras del negocio.

Nivel 5

El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de informacin robusta y sensible que refleje todos los requerimientos del negocio.


Desarrollar y mantener la arquitectura de la informacin.

Tener en claro la definicin del proceso de la arquitectura de la informacin. Ser partcipe de la construccin de la arquitectura de la informacin para incrementar sus

habilidades. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:

En el Corto Plazo: Establecer y mantener un modelo de arquitectura de la informacin para facilitar el

desarrollo de aplicaciones y actividades de soporte a la toma de decisiones , este modelo ser til para la creacin, uso y comparticin ptimas de la informacin vital.

En el Largo Plazo: Definir e implementar procedimientos para brindar integridad y consistencia de todos los

datos que se encuentran almacenado en formato electrnico, como bases de datos, almacenamiento de datos y archivos.

DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Direccin Tecnologa

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel

0

No existe conciencia sobre la importancia de la planeacin de la infraestructura tecnolgica para la

entidad.

GRADO DE MADUREZ El proceso de Determinar la Direccin Tecnologa est en el nivel de madurez 2.

OBJETIVOS NO CUMPLIDOS Desarrollar las habilidades para la

elaboracin del plan de la infraestructura tecnolgica.

Realizar un plan de infraestructura tecnolgica.

Nivel

1

La gerencia reconoce la necesidad de planear la infraestructura tecnolgica. El desarrollo de

componentes tecnolgicos y la implantacin de tecnologas

emergentes son ad hoc y aisladas.

Nivel

2

La evaluacin de los cambios tecnolgicos se delega a individuos que siguen procesos intuitivos, aunque similares.

11

Nivel

3

Existe un plan de infraestructura tecnolgica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.

Nivel

4

El rea de informtica cuenta con la experiencia y las habilidades

necesarias para desarrollar un plan de infraestructura tecnolgica.

Nivel 5

La direccin del plan de infraestructura tecnolgica est impulsada por los estndares y avances industriales e

internacionales, en lugar de estar orientada por los proveedores de

tecnologa.


Elaborar un plan de infraestructura tecnolgica.

Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores. No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.

Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.

En el Largo Plazo: Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer

un foro tecnolgico, para de esta forma brindar directrices tecnolgicas.

12

REPORTE GENERAL DE GRADOS DE MADUREZ

DO

MIN

IO

PROCESOS

NIV

EL D

E

MA

DU

REZ

PLA

NIF

ICA

R

Y

OR

GA

NIZ

AR

P01 Definir el Plan Estratgico de Tecnologa de la Informacin 1

P02 Definir la Arquitectura de la Informacin 0

P03 Determinar la Direccin Tecnologa 2

P04 Definir los Procesos, Organizacin y Relaciones de TI 2

AD

QU

IRIR

E

IMPL

EMEN

TAR

AI1 Identificar Soluciones Automatizadas 1 AI2 Adquirir y Mantener Software Aplicativo 1

AI3 Adquirir y Mantener Infraestructura Tecnolgica 3

AI4 Facilitar la Operacin y el Uso 1

AI5 Adquirir Recursos de TI 2

ENTR

EGA

R Y

DA

R S

OPO

RTA

R DS1 Definir y Administrar los Niveles de Servicio 1

DS2 Administrar los Servicios de Terceros 3

DS3 Administrar el Desempeo y la Capacidad 1

DS4 Garantizar la Continuidad del Servicio 0 DS5 Garantizar la Seguridad de los Sistemas 2

MO

NIT

OR

EAR

Y E

VA

LUA

R ME1 Monitorear y Evaluar el Desempeo de TI 2

ME2 Monitorear y Evaluar el Control Interno 1

ME3 Garantizar el Cumplimiento Regulatorio 0

ME4 Proporcionar Gobierno de TI 1

13

RESUMEN DE ANLISIS POR DOMINIOS:

Dominio: Planear y Organizar (PO)

Dominio: Adquirir e Implementar (AI)

Dominio: Entrega y Dar Soporte (DS)

Dominio: Monitorear y Evaluar (ME)

14

RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR

IMPACTO

DO

MIN

IO

PROCESOS

CRITERIOS DE INFORMACIN

Niv

el d

e M

adu

rez

Efec

tivi

dad

Efic

ienc

ia

Conf

ide

ncia

lida

d

Inte

grid

ad

Dis

poni

bilid

ad

Cum

plim

ient

o

Conf

iabi

lida

d

PLA

NIF

ICA

R Y

OR

GA

NIZ

AR

P01 Definir el Plan Estratgico de

Tecnologa de la Informacin

0.86 0.63

Total real (impacto * Nivel Real) 0.86 0.63 1

Total ideal (impacto * Nivel Ideal) 4.3 3.15 5

P02 Definir la Arquitectura de la Informacin

0.63 0.86 0.63 0.86

Total real (impacto * Nivel Real) 0 0 0 0 0

Total ideal (impacto * Nivel Ideal) 3.15 4.3 3.15 4.3 5

P03 Determinar la Direccin Tecnolgica

0.86 0.86



P04 Definir los Procesos, la Organizacin y las Relaciones de TI

0.86 0.86



AD

QU

IRIR

E IM

PLE

MEN

TAR

AI1 Identificar Soluciones

Automatizadas

0.86 0.63



AI2 Adquirir y Mantener Software Aplicativo

0.86 0.86 0.63 0.63

Total real (impacto * Nivel Real) 0.86 0.86 0.63 0.63 1

Total ideal (impacto * Nivel Ideal) 4.3 4.3 3.15 3.15 5

AI3 Adquirir y Mantener Infraestructura Tecnolgica

0.63 0.86 0.63 0.63

Total real (impacto * Nivel Real) 0 0 0 0 0 Total ideal (impacto * Nivel Ideal) 3.15 4.3 3.15 3.15 5

AI4 Facilitar la Operacin y el Uso 0.86 0.86 0.63 0.63 0.63 0.63

Total real (impacto * Nivel Real) 0.86 0.86 0.63 0.63 0.63 0.63 1

Total ideal (impacto * Nivel Ideal) 4.3 4.3 3.15 3.15 3.15 3.15 5

AI5 Adquirir Recursos de TI 0.63 0.86 0.63

Total real (impacto * Nivel Real) 1.26 1.72 1.26 2

Total ideal (impacto * Nivel Ideal) 3.15 4.3 3.15 5

ENTR

EGA

R

Y D

AR

SOP

OR

TE

DS1 Definir y Administrar los Niveles de Servicio

0.86 0.86 0.63 0.63 0.63 0.63 0.63

Total real (impacto * Nivel Real) 0.86 0.86 0.63 0.63 0.63 0.63 0.63 1

15

Total ideal (impacto * Nivel Ideal) 4.3 4.3 3.15 3.15 3.15 3.15 3.15 5

DS2 Administrar los Servicios de Terceros

0.86 0.86 0.63 0.63 0.63 0.63 0.63



DS3 Administrar el Desempeo y la Capacidad

0.86 0.86 0.63



DS4 Garantizar la Continuidad del Servicio

0.86 0.63 0.86



DS5 Garantizar la Seguridad de los

Sistemas

0.86 0.86 0.63 0.63 0.63

Total real (impacto * Nivel Real) 0.86 0.86 0.63 0.63 0.63 1

Total ideal (impacto * Nivel Ideal) 4.3 4.3 3.15 3.15 3.15 5

MO

NIT

OR

EA

R Y

EV

AL

UA

R

ME1 Monitorear y Evaluar el Desempeo de TI

0.86 0.86 0.63 0.63 0.63 0.63 0.63



ME2 Monitorear y Evaluar el Control Interno

0.86 0.86 0.63 0.63 0.63 0.63 0.63



ME3 Garantizar el Cumplimiento Regulatorio

0.86 0.63

Total real (impacto * Nivel Real) 0 0 0

Total ideal (impacto * Nivel Ideal) 4.3 3.15 5 ME4 Proporcionar Gobierno de TI 0.86 0.86 0.63 0.63 0.63 0.63 0.63



RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE

INFORMACIN

Total real

(impacto*Nivel real) 17.6 17.14 5.9 7.16 8.65 7.56 6.93

Total ideal

(impacto*Nivel ideal) 65.35 65.35 23.2 33.8 32.65 31.95 28.35

Porcentaje Alcanzado 26.93 26.23 25.43 21.18 26.49 23.66 24.44 24.9

16

A continuacin analizamos cada uno de los criterios de la informacin:

EFECTIVIDAD.- Para este criterio de informacin se obtuvo un porcentaje

del 26.93% sobre 100%, es decir que la informacin que es de importancia

para La EMPRESA, que tiene incidencia en los procesos del negocio y

debe ser entregada de forma oportuna, consistente, y veraz tiene un

porcentaje del 26.93%.

EFICIENCIA.- Para este criterio de informacin se obtuvo un porcentaje del

26.23% sobre el 100%, es decir que la informacin que debe generar el uso

ptimo de los recursos de La EMPRESA tiene un porcentaje del 26.23%.

CONFIDENCIALIDAD.-

INTEGRIDAD.-

DISPONIBILIDAD.-

CUMPLIMIENTO.-

CONFIABILIDAD.-

17

RECOMENDACIONES

modelo de madurez de cobit caso practico

Documents