martes, 10 de noviembre de 2015

ITIL y COBIT 5

Institutos Tecnológicos de México
Instituto tecnológico de Chilpancingo
Estrategias de Gestión de Servicios de TI
“Marcos de referencia de los servicios de TI”
Período académico: Febrero-Junio. Segunda unidad


ITIL


Definición

La Biblioteca de Infraestructura de Tecnologías de InformaciónIT Infraestructure Library (ITIL), es la aproximación de Gestión del Servicio TI más ampliamente aceptada en el mundo.  

ITIL es un marco de mejores prácticas que se ha elaborado por  los sectores público y privado a nivel internacional. En él se describe cómo los recursos de TI deben ser organizados para ofrecer un valor empresarial documentando los procesos, funciones y roles del IT Service Management (ITSM).

Su objetivo es mejorar la calidad de los servicios TI ofrecidos, evitar los problemas asociados a los mismos y en caso de que estos ocurran ofrecer un marco de actuación para que estos sean solucionados con el menor impacto y a la mayor brevedad posible.


Historia



Cómo trabaja


Paso 1 y 2 (a). Todo comienza con la organización como gran demandante de servicios informáticos, el cliente o el que asigna y decide el presupuesto para estos servicios de la organización acuerda o negocia los acuerdos de servicios (SLA) con la dirección de informática. Se crea un catálogo de servicios, costes, tiempos, y otras condiciones de los servicios que prestará informática a la organización.

Paso 3 (b). Una vez puestos en marcha los servicios se define e instala un departamento o unidad de Service Desk (Escritorio de Servicio), el cual será el punto de contacto de los usuarios de los servicios con el departamento de informática. Se trata de un único punto de comunicación de los usuarios con informática, en donde se podrán abrir incidencias y nuevos requerimientos de servicios.

Paso 3 (c). Los responsables del Service Desk, reciben y registran las solicitudes de los usuarios. En casos de incidentes de los servicios, primero buscan en la base de datos de errores conocidos o una especie de base de datos de conocimientos, para verificar si la solución al incidente existe, y así dar la solución al usuario de forma inmediata.

Paso 3 (d). Se pasa a la Gestión de Incidentes para que se busque la solución al usuario.
Paso 4 (e). Si el incidente es recurrente y/o no es encontrado, se pasa a la Gestión de problemas en donde se buscará la solución definitiva.

Paso 4 (f). Muchas veces los usuarios solicitan nuevos servicios a la gerencia de informática. Service Desk en este caso abre una petición de servicios y lo pasa a la Gestión del Cambio para que se abra un Cambio y se proceda, previa evaluación por parte de un comité asesor (CAB), con su implementación.

Paso 4 (g). La gestión de versiones se refiere, como su nombre lo indica, al mantenimiento de versiones de software por parte de la dirección informática.

Paso 4 (h). La base de datos de configuración o CMDB mantiene el inventario de todos los ítems de configuración de la organización, la cual es accedida y actualizada por los diferentes procesos que conforman ITIL.

Pasos 2 (i), (j), (k) y (l). Son necesarios y estratégicos para mantener los servicios informáticos operando de manera efectiva y eficaz. Y también utilizan a la CMDB como referencia y consulta de los componentes de la infraestructura informática.



Ciclo de vida



  • Estrategia del servicio: Define la perspectiva, la posición, los planes y patrones que un proveedor de servicios necesita ejecutar para alinearse con los resultados del negocio de una organización.
  • Diseño del servicio: Proporciona la guía para el diseño y desarrollo (definición) de los servicios, políticas, capacidades/competencias, procesos y prácticas de la gestión de servicios para llevar a cabo la estrategia del proveedor de servicios y facilitar su implantación.
  • Transición del servicio: Proporciona la guía para desarrollar y mejorar las capacidades/competencias para introducir/implantar servicios nuevos o realizar cambios en servicios ya existentes. Proporciona soporte para que una organización pueda pasar de un estado a otro con un nivel de riesgo controlado. Asegura que el valor aportado por la estrategia del servicio, definida en el diseño del servicio llega/transiciona de manera eficaz a la operación del servicio.
  • Operación del servicio: La operación de servicio coordina y lleva a cabo las actividades y procesos requeridos para entregar y gestionar servicios en los niveles acordados con los usuarios de negocio y clientes. La operación de servicio también gestiona la tecnología que se utiliza para entregar y dar soporte a los servicios.
  • Mejora continua del servicio: La mejora continua del servicio asegura que los servicios estén alineados con las necesidades cambiantes del negocio por medio de la identificación e implementación de mejoras en los servicios de TI que dan soporte a los procesos de negocio. El rendimiento del proveedor de servicios de TI se mide de forma continua y se realizan las mejoras en los procesos, los servicios de TI y la infraestructura de TI con el fin de aumentar la eficiencia, la efectividad y la rentabilidad. Implementa un ciclo de mejora PDCA (Plan-Do-Check-Act) en un método de 7 pasos.



Fases y procesos, de qué trata cada fase y proceso


Estrategia del Servicio

  • Gestión de estrategias para servicios de TI.

El proceso responsable de definir y mantener la perspectiva, posición, planes, y patrones de una organización con respecto a sus servicios y la gestión de los mismos.  
Una vez que la estrategia ha sido definida, la gestión estratégica de servicios de TI también es responsable de garantizar que se logren los resultados previstos del negocio.

  • Gestión financiera para servicios de TI.

Es la administración de recurso monetario de las empresas este se encarga básicamente de asignar los recursos necesarios para ejecutar los procesos y servicios, con ello también se pretende ahorrar recursos y mejorar el desempeño de los servicios optimizando recursos.
Las principales actividades de la Gestión Financiera se resumen en:
Presupuestos:
  • Análisis de la situación financiera.
  • Fijación de políticas financieras.
  • Elaboración de presupuestos.

Contabilidad:
  • Identificación de los costes.
  • Definición de elementos de coste.
  • Monitorización de los costes.

Fijación de precios:
  • Elaboración de una política de fijación de precios.
  • Establecimiento de tarifas por los servicios prestados o productos ofrecidos.

  • Gestión de portafolio de servicios.

Consiste en definir los servicios que la empresa puede ofrecer al cliente pero también la empresa debe de saber si lo recursos con los que cuenta son suficientes para echar a andar ese servicio para ello se realiza una lista que ayude a descartar los servicios que no son viables y al final solo quedarse con los que sí pueden funcionar y ponerlos en marcha.

Actividades:
  • Definir
  • Analizar
  • Aprobar
  • Formalizar


  • Gestión de la demanda.

Se encarga de predecir y regular los ciclos de consumo, adaptando la producción a los picos de mayor exigencia para asegurar que el servicio se sigue prestando de acuerdo a los tiempos y niveles de calidad acordados con el cliente.
Actividades:
  • Identificar fuentes de pronóstico de demanda.
  • Patrones de actividad del negocio.
  • Perfiles de usuario.
  • Actividad basada en gestión de demanda.
  • Desarrollar ofertas diferenciadas.
  • Gestión de demanda operacional.


  • Gestión de relaciones con el negocio.

Es el proceso responsable de mantener una relación positiva con los clientes. La gestión de relaciones del negocio identifica las necesidades del cliente y asegura que el proveedor de servicios sea capaz de satisfacer estas necesidades con un adecuado catálogo de servicios.
Este proceso tiene fuertes vínculos con la gestión de niveles de servicios.


Diseño del Servicio

  • Coordinación del diseño.

Se encarga principalmente de coordinar todos los procesos que tiene la fase por lo que es importante durante la creación, modificación o eliminación de un servicio.

Las salidas del proceso de coordinación del diseño son potencialmente:
  • Diseño de servicios integrado y consistente a través del SDP (paquete de diseño del servicio).
  • Revisión de la arquitectura empresarial.
  • Revisión del sistema de gestión.
  • Revisión de las métricas y métodos de medición.
  • Revisión de procesos.
  • Actualización del Portafolio de Servicios.
  • Actualización de los registros de cambios.


  • Gestión del catálogo de servicios.

Proporciona una referencia estratégica y técnica clave dentro de la organización TI, ofreciendo una descripción detallada de todos los servicios que se prestan y los recursos asignados para ello.
Es un documento imprescindible puesto que:
  • Sirve de guía a los clientes a la hora de seleccionar un servicio que se adapte a sus necesidades.
  • Delimita las funciones y compromisos de la organización TI.
  • Puede ser utilizado como herramienta de venta.
  • Evita malentendidos entre los diferentes actores implicados en la prestación de servicios.

  • Gestión de niveles de servicio.

Definir, documentar, acordar, monitorear, medir, reportar, revisar el nivel de servicio. Asegurando las metas específicas y medibles sean desarrolladas y asegurar los niveles de servicio que sean entregados.
Debe velar por la calidad de los servicios TI alineando tecnología con procesos de negocio y todo ello a unos costes razonables.

Las principales actividades de la Gestión de Niveles de Servicio se resumen en:
Planificación:
  • Asignación de recursos.
  • Elaboración de un catálogo de servicios.
  • Desarrollo de SLAs.
  • Herramientas para la monitorización de la calidad del servicio.
  • Análisis e identificación de las necesidades del cliente.
  • Elaboración de los Requisitos de Nivel de servicio (SLR), Hojas de Especificación del Servicio y Plan de Calidad del Servicio (SQP).

Implementación de los Acuerdos de Niveles de Servicio:
  • Negociación.
  • Acuerdos de Nivel de Operación.
  • Contratos de Soporte.

Supervisión y revisión de los Acuerdos de Nivel de Servicio:
  • Elaboración de informes de rendimiento.
  • Control de los proveedores externos.
  • Elaboración de Programas de Mejora del Servicio (SIP).


  • Gestión de la capacidad.

Es la encargada de que todos los servicios TI se vean respaldados por una capacidad de proceso y almacenamiento suficiente y correctamente dimensionada.

Las principales actividades de la Gestión de la Capacidad se resumen en:
  • Desarrollo del Plan de Capacidad y modelado de diferentes escenarios de capacidad.
  • Monitorización de los recursos de la infraestructura TI.
  • Supervisión de la capacidad y administración de la Base de Datos de la Capacidad (CDB) contenida en el Sistema de Información de Gestión de la Capacidad (CMIS).


  • Gestión de la disponibilidad.

Es asegurar que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos en el marco de los SLAs en vigor.
Los indicadores clave sobre los que se sustenta el proceso de Gestión de la Disponibilidad se resumen en:
  • Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido accesibles al usuario y han funcionado correctamente.
  • Fiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de forma ininterrumpida.
  • Capacidad de mantenimiento: capacidad de recuperar el servicio en caso de interrupción.
  • Capacidad de Servicio: determina la disponibilidad de los servicios internos y externos contratados y su adecuación a los OLAs y UCs en vigor.


  • Gestión de la continuidad de los servicios de TI.

Se preocupa de impedir que una imprevista y grave interrupción de los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastróficas para el negocio.
Debe combinar equilibradamente procedimientos:
  • Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio.
  • Reactivos: cuyo propósito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.


  • Gestión de la seguridad TI.

Responsable de establecer las políticas de integridad, confidencialidad y disponibilidad autentica y aceptada. Su marco de trabajo es:
  • Control (Marco de trabajo).
  • Planear (SLA, OLA, Contratos).
  • Implementar (Creación, clasificación, seguridad).
  • Evaluar (Auditorias).
  • Mantener (Aprende, mejora, planea, implementa).

Proceso:
  • Política y plan de seguridad.
  • Aplicación de las medidas de seguridad.
  • Evaluación y mantenimiento.


  • Gestión de proveedores.

Se ocupa de gestionar la relación con los suministradores de servicios de los que depende la organización TI. Su principal objetivo es alcanzar la mayor calidad a un precio adecuado.

Proceso:
  • Requisitos
  • Evaluación y selección.
  • Clasificación y documentación
  • Gestión del Rendimiento.
  • Renovación o terminación.



Transición del Servicio

  • Planificación y soporte a la transición.

Es la encargada de coordinar los recursos de la organización TI para poner en marcha el servicio en el tiempo, calidad y coste definidos previamente.
Garantiza que los recursos se planifican y coordinan adecuadamente para cumplir las especificaciones del Diseño del Servicio. Garantiza la identificación, gestión y minimización de riesgos que pueden interrumpir el servicio durante la fase de transición.


  • Gestión de cambios.

Un cambio es la adición, modificación o eliminación de un servicio o componente de un servicio autorizado, planificado o soportado y de su correspondiente documentación.

La Gestión de Cambios es la evaluación y planificación del proceso de cambio para asegurar que, si éste se lleva a cabo, se haga de la forma más eficiente, siguiendo los procedimientos establecidos y asegurando en todo momento la calidad y continuidad del servicio TI.

Proceso:
  • Registro.
  •  Aceptación y clasificación.
  • Aprobación y planificación.
  • Implementación.
  • Evaluación.
  • Cambios de emergencia.


  • Gestión de activos de servicio y de configuraciones.

Es llevar un registro actualizado de todos los elementos de configuración de la infraestructura TI, junto con sus interrelaciones.

Proporcionar información precisa y fiable al resto de la organización de todos los elementos que configuran la infraestructura TI.


Proceso:
  • Planificación.
  • Clasificación y Registro.
  • Monitorización y Control.
  • Realización de auditorías.
  • Elaboración de informes.


  • Gestión de liberación e implementación.

Es la encargada de la implementación y control de calidad de todo el software y hardware instalado en el entorno de producción. Debe colaborar estrechamente con la Gestión de Cambios y la de Configuración y Activos TI.

Proceso:
  • Planificación
  • Desarrollo
  • Implementación
  • Comunicación


  • Validación y pruebas.

Consiste en garantizar que las nuevas versiones cumplen los requisitos mínimos de calidad acordados con el cliente y que, por supuesto, no van a provocar ningún error inesperado cuando estén operativas.

El proceso de validación y pruebas del servicio se realiza durante todo el ciclo de vida del servicio para comprobar la calidad del servicio.

Proceso:
  • Validación, planificación y verificación
  • Construcción de tests.
  • Pruebas de validación.
  • Aceptación y reporte.
  • Limpieza y cierre.


  • Evaluación del cambio.

Es la encargada de recoger y analizar toda la información disponible sobre el cambio o nuevo servicio y elaborar los informes necesarios para tomar decisiones.
Verificar si el rendimiento de algo es aceptable, suministrando información importante para la Mejora continua del servicio.
Proceso:
  • Planificación
  • Rendimiento previsto
  • Rendimiento real


  • Gestión del conocimiento.

Es la encargada de reunir, analizar, almacenar y compartir el conocimiento e información de la organización.
Centraliza toda esta información en un repositorio denominado Sistema de Gestión del Conocimiento del Servicio (SKMS): es una herramienta que proporciona funcionalidades de presentación, procesamiento y gestión para interactuar con la Base de Datos de Gestión del Conocimiento del Servicio de la organización.
Proceso:
  • Estrategia: difundirla a toda la organización TI.
  • Transferencia: entre personas, equipos y departamentos.
  • Gestionar la información y los datos: garantizar su calidad y utilidad.
  • Uso del SKMS.



Operación del Servicio

  • Gestión de eventos.

Responsable de monitorizar todos los eventos que acontezcan en la infraestructura TI con el objetivo de asegurar su correcto funcionamiento y ayudar a prever incidencias futuras.
Encontramos dos tipos:

  • Herramientas de monitorización activa. Se comprueban los CIs uno a uno para verificar su estado y disponibilidad. Si detecta excepciones, la herramienta de monitorización genera una alerta y la envía al equipo o mecanismo de control asignado.
  • Herramientas de monitorización pasiva. Detectan y correlacionan alertas operacionales generadas por los propios CIs.


  • Gestión de incidentes.

Definición de incidente: interrupción no planificada de un servicio de TI, o reducción de la calidad de un servicio TI o fracaso de un CI que ha impactado a un servicio TI.
La gestión de incidentes es el proceso responsable para la gestión del ciclo de vida de todos los incidentes. Tiene como objetivo resolver, de la manera más rápida y eficaz posible, cualquier incidente que cause una interrupción en el servicio.

Ciclo de vida:
  • Interrupción del servicio.
  • Detección y respuesta.
  • Reparación y recuperación.
  • Servicio disponible.



  • Cumplimiento de soluciones.

Es el proceso responsable de la gestión del ciclo de vida de todas las solicitudes de servicio de los usuarios.
  • Proporcionar un acceso rápido y eficaz.
  • Mejora la productividad o calidad de servicios a las empresas.
  • Solicitar y recibir acceso a nuevos servicios.
  • Aumentar el nivel de control solicitado de servicios.



  • Gestión de problemas.

Responsable de analizar y ofrecer soluciones a aquellos incidentes que por su frecuencia o impacto degradan la calidad del servicio. Puede ser:
  • Reactiva: Analiza los incidentes ocurridos para descubrir su causa y propone soluciones a los mismos.
  • Proactiva: Monitoriza la calidad de la infraestructura TI y analiza su configuración con el objetivo de prevenir incidentes incluso antes de que éstos ocurran.
Se diferencia entre:
  • Problema: causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa.
  • Error conocido: Un problema se transforma en un error conocido cuando se han determinado sus causas.


  • Gestión de accesos.

Es el proceso de concesión de usuarios autorizadas a utilizar un servicio, y evitando el acceso a usuarios no autorizados. Permite a usuarios utilizar que se documenten en el catálogo de servicios.
Proceso:
  • Petición de acceso.
  • Verificación.
  • Monitorización de identidad.
  • Registro y monitorización.
  • Eliminación y restricción de derechos.


  • Service Desk.

Responsable de garantizar que sólo las personas con los permisos adecuados puedan acceder a la información de carácter restringido.
Proporciona un punto de comunicación con los usuarios y un punto de coordinación para varios grupos y procesos de TI.

Tipos de servicios:
  • Servicio local
  • Servicio centralizado
  • Servicio virtual


  • Gestión técnica.

Se refiere a los grupos, departamentos o equipos que proporcionan los conocimientos técnicos y la gestión global de la infraestructura de TI. Aporta las habilidades técnicas y los recursos necesarios para dar soporte a la fase de Operación del servicio. Toma parte en el diseño, pruebas, despliegue y mejora de los servicios TI.
Documentación:
  • Documentación técnica.
  • Manuales técnicos.
  • Manuales de funcionamiento y de gestión.
  • Manuales de usuario.



  • Gestión de operaciones de TI.

Es la unidad responsable del mantenimiento y la gestión continua de la infraestructura de la organización TI, y se centra especialmente en asegurar que los servicios cumplen los niveles acordados.
Ciclo de vida:
  • Requerimientos.
  • Diseño.
  • Construir.
  • Desplegar
  • Operar.
  • Requerimientos

  • Gestión de aplicaciones.

Es responsable del soporte y mantenimiento de las aplicaciones que toman parte en la Operación del servicio. Al igual que ocurría con la Gestión Técnica en relación a la infraestructura TI, la Gestión de Aplicaciones también desempeña un doble papel:

Suelen organizarse según las distintas categorías de aplicaciones a las que dan soporte. Algunos ejemplos típicos son:
  • Aplicaciones financieras.
  • Aplicaciones de mensajería y colaboración.
  • Aplicaciones de RRHH.
  • Aplicaciones de soporte industrial.
  • Aplicaciones de automatización de fuerza de ventas (CRM).
  • Aplicaciones de procesamiento de ventas.
  • Aplicaciones del centro de llamadas y marketing.
  • Aplicaciones específicas del negocio (sanidad, seguros, banca, etc.).
  • Aplicaciones TI, como Centro de Servicios, Sistemas de Gestión de la Empresa (SKMS, CMS), etc.
  • Portales web.
  • Tienda online.



  • Mejora Continua del Servicio

El proceso de los 7 pasos.



Es el constante mejoramiento que se hace a los servicios, es por ello que muestra una guía que indica que es lo que se debe de hacer después de haber creado un proceso, muchas veces las empresas crean procesos pero no siempre estos procesos tiene continuidad muchos veces son descuidados y es ahí donde vienen las fallas por ello es importante que se de mantenimiento a cada uno de ellos en su día a día.

La mejora continua sigue un proceso de siete pasos:

Identificar la estrategia de mejora. Se ocupa la visión que tiene la empresa, la necesidad o las estrategias que quiere mejorar.

Definir lo que se medirá. Para limitar los procesos de medida deben tenerse en cuenta:
Procesos de medida ya existentes.
Informes generados.
Flujo de trabajos establecidos.
Protocolos y procedimientos en vigor.

Recopilación de datos. Se conozcan los criterios que se van a evaluar, los objetivos que se quieren alcanzar y como estos nos pueden ayudar a mejorar el servicio.
Una vez decidido lo qué se va a medir hay que decidir cómo y ponerse manos a la obra.

Procesar los datos. Los datos obtenidos en el paso 3 son procesados y se les da el formato necesario para que sean inteligibles y útiles desde la perspectiva de negocio.
Este proceso debe transformar los datos en información para así estar dispuesta para su posterior análisis

Analizar la información. El análisis de la información previamente “digerida” permite transformar a esta en “conocimiento” orientado a determinar cuáles son los aspectos susceptibles de mejora.

Presentar y utilizar la información. Tras procesar y analizar toda la información recopilada es el momento de darle forma a través de informes para proceder a su comunicación a su público objetivo:
  • Dirección.
  • Gestores TI.
  • Personal técnico.
  • Clientes y usuarios.

Implementar las mejoras. La puesta en marcha de esta fase del ciclo de vida del servicio puede ser compleja y requiere una preparación previa que asegure la bondad de sus resultados.


Ventajas de adoptar ITIL

  • Reducción de los gastos.
  • Mejoramiento de los servicios TI a través del uso de procesos comprobados de buenas prácticas.
  • Mejoramiento de la satisfacción de los clientes por medio de un enfoque más profesional de la entrega de servicios.
  • Normas y orientación.
  • Mejora de la productividad.
  • Mejor utilización de las habilidades y de la experiencia.
  • Mejor entrega de los servicios a terceros a través de la especificación de ITIL o ISO 20000 como estándar para la entrega de servicios en los servicios de compras.




Desventajas de Adoptar ITIL

  • Tiempo y esfuerzo necesario para su implementación.
  • No se dé el cambio en la cultura de las áreas involucradas.
  • No se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
  • El personal no se involucre y se comprometa.
  • La mejora del servicio y la reducción de costos puede no ser visible.
  • La inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.


Conclusión

Con los avances de ITIL, se actualizarón los libros, tomando en cuenta aspectos fundamentales, como: inconsistencias planteadas en el registro de control de cambios, asesoría del comité de cambios, retroalimentación por parte de la comunidad de capacitación

Está enfocado a los servicios y productos que ofrece la organización para satisfacer al cliente y pone la buena práctica, entrega de servicios de calidad con su ciclo de vida. Tiene mejor tendencia y mejor aprovechamiento en la organización.





COBIT 5


Definición

COBIT es una herramienta que permite a los gerentes comunicarse y llenar el vacío con respecto a los requerimientos de control, los temas técnicos y los riesgos de negocio. COBIT posibilita el desarrollo de políticas claras y buenas prácticas para el control de TI en toda la organización, a nivel mundial. Es la meta de COBIT suministrar estos objetivos de control dentro del marco definido, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, el objetivo de COBIT es ser la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayude a comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas.

COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno yla gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde IT manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos. COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para toda la empresa, abarcando al negocio completo de principio a fin y las áreas funcionales de responsabilidad de TI, considerando los intereses relacionados con TI de las partes interesadas internas y externas. COBIT 5 es genérico y útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de lucro o del sector público.



Historia

COBIT 1, 1996.
  • Objetivos de Control.
  • Guías o Directrices de Auditoría.

COBIT 2, 1998
  • Guías de gestión.


COBIT 3, 2000
  • Disponible en el sitio de ISACA.


COBIT 4, 2005
  • Se liberó la versión 4.1


COBIT 5, 2012
  • Esta edición consolidará e integrará los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT.





Cómo trabaja


Se basa en cinco principios claves mostrados en la figura anterior para el gobierno y la gestión de las TI empresariales:

  • Principio 1. Satisfacer las Necesidades de las Partes Interesadas

Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarloa su propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicos.


  • Principio 2: Cubrir la Empresa Extremo-a-Extremo

COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo:
  • Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa.
  • Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos internos y externos los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.


  • Principio 3: Aplicar un Marco de Referencia Único Integrado

Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa.

  • Principio 4: Hacer Posible un Enfoque Holístico

Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjuntode catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores:
  • Principios, Políticas y Marcos de Trabajo.
  • Procesos.
  • Estructuras Organizativas.
  • Cultura, Ética y Comportamiento.
  • Información.
  • Servicios, Infraestructuras y Aplicaciones.
  • Personas, Habilidades y Competencias.


  • Principio 5: Separar el Gobierno de la Gestión

El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta distinción clave entre gobierno y gestión es:

El Gobierno asegura que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar que se alcanzan las metas corporativas equilibradas y acordadas; estableciendo la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas.

En muchas corporaciones, el gobierno global es responsabilidad del comité de dirección bajo el liderazgo del presidente. Algunas responsabilidades de gobierno específicas se pueden delegar en estructuras organizativas especiales al nivel apropiado, particularmente en las corporaciones más grandes y complejas.     


La gestión planifica, construye, ejecuta y controla actividades alineadas con la dirección establecida por el cuerpo de gobierno para alcanzar las metas empresariales.

En muchas empresas, la gestión es responsabilidad de la dirección ejecutiva bajo el liderazgo del Director General Ejecutivo (CEO).

Juntos, estos cinco principios habilitan a la empresa a construir un marco de gestión de gobierno y gestión efectivo que optimiza la inversión y el uso de información y tecnología para el beneficio de las partes interesadas.



Ciclo de vida



Los tres componentes interrelacionados del ciclo de vida son:
  • Ciclo de vida de Mejora continua.
  • Habilitación del cambio.
  • Gestión del programa.




  • La fase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa de implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de dirección ejecutiva.
  • La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Los diagnósticos de alto nivel también pueden ser útiles para delimitar y entender áreas de alta prioridad en las que hacer foco. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de revisión de capacidad. Se deberían estructurar iniciativas de gran escala como múltiples iteraciones del ciclo de vida para cada iniciativa de implementación que exceda de seis meses, existe un riesgo de perder el impulso, el foco y la involucración de las partes interesadas.
  • Durante la fase 3, se establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones pueden ser beneficios inmediatos (quick wins) y otras actividades pueden ser más desafiantes y de largo plazo. La prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y aquellas que podrían proporcionar los mayores beneficios.
  • La fase 4 planifica soluciones prácticas mediante la definición de proyectos apoyados por casos de negocios justificados. Además, se desarrolla un plan de cambios para la implementación. Un caso de negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del proyecto.
  • En la fase 5 las soluciones propuestas son implementadas en prácticas día a día. Se pueden definir las mediciones y establecer la supervisión empleando las metas y métricas de COBIT para asegurar que se consigue y mantiene la alineación con el negocio y que el rendimiento puede ser medido. El éxito requiere el compromiso y la decidida apuesta de la alta dirección así como la propiedad por las partes afectadas a nivel TI y de negocio.
  • La fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión de la consecución de los beneficios esperados.
  • Durante la fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad de mejora continua.
A lo largo del tiempo, el ciclo de vida debería seguirse de modo iterativo, al tiempo que se construye un modelo sostenible de gobierno y gestión de TI corporativa.




Fases y procesos, de qué trata cada fase y proceso



Evaluar, Orientar y Supervisar (EDM).


Gobierno asegura que los objetivos de la empresa se logran mediante la evaluación de los interesados las necesidades, condiciones y opciones; el establecimiento de la dirección a través de la priorización y toma de decisiones; y el seguimiento de desempeño, el cumplimiento y el progreso contra la dirección y objetivos acordados en (EDM).

  • EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno. Analizar y articular los requerimientos para el gobierno de las TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadoras, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.
  • EDM02 Asegurar la Entrega de Beneficios. Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de las TI resultado de la inversión hecha por TI a unos costos aceptables.
  • EDM03 Asegurar la Optimización del Riesgo. Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
  • EDM04 Asegurar la Optimización de los Recursos. Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
  • EDM05 Asegurar la Transparencia hacia las Partes Interesadas. Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.




Alinear, Planificar y Organizar (Align, Plan and Organise, APO).



Cubre el uso de la información y la tecnología y la mejor manera que puede ser utilizado en una empresa para ayudar a alcanzar las metas y objetivos de la empresa. También destaca la forma de organización y de infraestructura de TI es tomar con el fin de lograr los resultados óptimos y para generar los mayores beneficios de la utilización de las TI.

  • AP001 Gestionar el Marco de Gestión de TI. Aclarar y mantener el gobierno de la misión y la visión corporativa de las TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de las TI en la empresa, para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
  • AP002 Gestionar la Estrategia. Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.
  • AP003 Gestionar la Arquitectura Empresarial. Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de las TI, mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción.
  • AP004 Gestionar la Innovación. Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de las TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.
  • AP005 Gestionar Portafolio. Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación.
  • AP006 Gestionar el Presupuesto y los Costes. Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de las TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa. Consultar a las partes interesadas para identificar y controlar los costes totales y los beneficios en el contexto de los planes estratégicos y tácticos de las TI, e iniciar acciones correctivas cuando sea necesario.
  • AP007 Gestionar los Recursos Humanos. Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
  • P008 Gestionar las Relaciones. Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos, apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
  • AP009 Gestionar los Acuerdos de Servicios. Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
  • AP010 Gestionar los Proveedores. Administrar todos los servicios de las TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
  • AP011 Gestionar la Calidad. Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
  • AP012 Gestionar el Riesgo. Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
  • AP013 Gestionar la Seguridad. Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.


Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI).

Abarca la identificación de los requisitos de TI, la adquisición de la tecnología y su aplicación en los procesos de negocio actuales de la compañía.

  • BAI01 Gestionar los Programas y Proyectos. Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
  • BAI02 Gestionar la Definición de Requisitos. Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.
  • BAI03 Gestionar la Identificación y la Construcción de Soluciones. Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.
  • BAI04 Gestionar la Disponibilidad y la Capacidad. Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.
  • BAI05 Gestionar la Introducción de Cambios Organizativos. Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de las TI.
  • BAI06 Gestionar los Cambios. Gestionar todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.
  • BAI07 Gestionar la Aceptación del Cambio y la Transición. Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.
  • BAI08 Gestionar el Conocimiento. Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.
  • BAI09 Gestionar los Activos. Gestionar los activos de las TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.
  • BAI010 Gestionar la Configuración. Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.


Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS).

Se centra en los aspectos de administración de la tecnología de la información. Cubre áreas tales como la ejecución de las aplicaciones dentro del sistema de TI y sus resultados, así como, los procesos de soporte que permiten la ejecución eficaz y eficiente de estos sistemas de TI.

  • DSS01 Gestionar las Operaciones. Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de las TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.
  • DSS02 Gestionar las Peticiones y los Incidentes del Servicio. Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
  • DSS03 Gestionar los Problemas. Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
  • DSS04 Gestionar la Continuidad. Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
  • DSS05 Gestionar los Servicios de Seguridad. Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
  • DSS06 Gestionar los Controles de los Procesos del Negocio. Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información. Identificar los requisitos de control de la información y gestionar y operar los controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.


Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA).

El monitor, evaluar y valorar ofertas de dominio con la estrategia de una empresa en la evaluación de las necesidades de la empresa y si es o no el sistema de TI actual sigue cumpliendo los objetivos para los que fue diseñado y los controles necesarios para cumplir con los requisitos reglamentarios. El monitoreo también abarca el tema de una evaluación independiente de la eficacia del sistema de TI en su capacidad para cumplir con los objetivos de negocio y procesos de control de la empresa por los auditores internos y externos.

  • MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad. Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y de procesos. Supervisar que los procesos se están realizando según el rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.
  • MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno. Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.
  • MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos. Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de las TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de las TI en el cumplimiento de la empresa general.


Ventajas de adoptar COBIT 5


  • Ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.
  • Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
  • Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.
  • Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
  • Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos.  La función de TI se vuelve mas enfocada al negocio
  • Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave.
  • Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes
  • Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI.




Desventajas de adoptar COBIT 5



  • COBIT es un modelo ambicioso que requiere de un profundo estudio para realizar la implementación dentro de la organización.
  • Los estándares no cubren todos los temas en detalle.
  • No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
  • A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.
  • Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.








Conclusión

COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización, además permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, el COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración estos a su vez ayudan a  optimizar la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

El COBIT 5 genera valor al negocio con las inversiones en TI, por ejemplo, alcanzando metas estratégicas y generando beneficios al negocio también podemos alcanzar la excelencia operativa a través de esta herramienta fiable y eficiente. Se Optimizar el coste de los servicios y tecnologías de TI.



Cuadro Comparativo



COBIT 5
ITIL
Conclusiones
Definición
Es el marco de gobierno aceptado internacionalmente como una buena práctica para el control de la información TI y los riesgos que conllevan.
Es una colección de mejores prácticas observadas en la industria de TI.
Procesos referentes a la provisión de servicios de tecnología de la información hacia las organizaciones.
Las dos están basadas en las buenas prácticas pero COBIT se enfoca más a la toma de decisiones e ITIL a los servicios.
Antecedentes
5 versiones publicadas:
- 1996 COBIT 1, Auditoría.
-1998 COBIT 2, Control.
- 2000 COBIT 3, Administración.
- 2005-2007 COBIT 4/4.1 Gobierno TI.
- 2012 COBIT 5, Gobierno corporativo de TI.
-       ITIL V1 80’s – 90’s, estabilidad y control.

- ITIL v2 2005, calidad y eficiencia de procesos.
- ITIL v3 2007, integración y alineación de TI y el negocio.

-      -  ITIL v3 edición 2011, COBINET OFFICE.

Ambos tienen versiones en los cuales les agregan o les quitan cosas para mejorarlos y ser más entendibles.
Proceso de negocio a los que apoya
Evaluar, orientar y supervisar
Definir mantener el marco de gobierno.
- Garantizar entrega de beneficios.
- Garantizar la optimización de los riesgos.
- Garantizar la optimización de los recursos.
- Garantizar transparencia con los interesados.

Alinear, planear y organizar
Definir el marco de gestión.
- Administrar la estrategia.
- Gestionar arquitectura de la empresa.
- Gestionar innovación.
- Gestionar portafolio.
- Gestionar presupuestos y costos.
- Gestionar recursos humanos.
- Gestionar relaciones.
- Gestionar acuerdos de servicios.
- Gestionar proveedores.
- Gestionar calidad.
- Gestionar riesgos.
- Gestionar seguridad.

Construir, adquirir e implementar
Gestionar programas y proyectos.
- Definir requerimientos.
- Identificar y construir soluciones.
- Gestionar disponibilidad y capacidad.
- Facilitar cambios organizacionales.
- Gestionar cambios.
- Gestionar recepción y transición del cambio.
- Gestionar conocimiento.
- Gestionar activos.
- Gestionar configuración.

Entrega, servicio y soporte
Gestionar operaciones.
- Gestionar solicitudes de servicio e incidentes.
- Gestionar problemas.
- Gestionar continuidad.
- Gestionar seguridad de servicios.
- Gestionar controles de procesos de negocio.

Monitoreo, evaluar y valorar
Monitorear, evaluar, desempeñar y conformidad.
- Monitorear, evaluar y valorar el sistema del control interno.
- Monitorear y evaluar cumplimientos con requerimientos externos.
Estrategia de servicio
Gestión de estrategias para servicios de TI.
- Gestión financiera para servicios de TI.
- Gestión de portafolio de servicios.
- Gestión de la demanda.
- Gestión de relaciones con el negocio.

Diseño de servicios
Coordinación del diseño.
- Gestión del catálogo de servicios.
- Gestión de niveles de servicio.
- Gestión de la capacidad.
- Gestión de la disponibilidad.
- Gestión de la continuidad de los servicios de TI.
- Gestión de la seguridad TI.
- Gestión de proveedores.

Transición de servicios
Planificación y soporte a la transición.
- Gestión de cambios.
- Gestión de activos de servicio y de configuraciones.
- Gestión de liberación e implementación.
- Validación y pruebas.
- Evaluación del cambio.
- Gestión del conocimiento.

Operación de servicios
Gestión de eventos.
- Gestión de incidentes.
- Cumplimiento de soluciones.
- Gestión de problemas.
- Gestión de acceso de funciones.
- Service desk.
- Gestión técnica.
- Gestión de operaciones de TI.
- Gestión de aplicaciones.

Mejora continua
El proceso de los 7 pasos.

ITIL está más orientado a la gestión de servicios y COBIT orientado más hacia la misma organización.
Fases/Dominios
  • Evaluar, orientar y monitorear.
  • Alinear, planificar y organizar.
  • Construir, adquirir e implementar.
  • Entregar, dar servicio y soporte.
  • Supervisar, evaluar y valorar.
  • Estrategia de servicio.
  • Diseño de servicio.
  • Transición de servicio.
  • Operación de servicio.
  • Mejora continua.
COBIT define más dominios detallados en cada fase e ITIL junta sus procesos en 5 fases.
Ventajas
  • Define una estructura de procesos y relaciones para la gobernabilidad de TI en una organización.
  • Crea una vista completa, más holística e integrada de gobierno empresarial y gestión de TI que es consistente.
  • Provee una visión sistémica.
  • Crea un lenguaje común entre negocio y TI para el gobierno empresarial y gestión de TI.
  • Crea un marco de trabajo integrador y una estructura para habilitadores (incluyendo procesos) para el uso de negocio y TI.
  • Mejoran los servicios de ITIL.
  • Reduce los costos.
  • Mejora la satisfacción del cliente.
  • Mejora la productividad
  • Mejora en el uso de habilidades y experiencias del personal.
  • Mejoras en la entrega de servicios por parte del proveedor.
  • Los servicios en el lenguaje del cliente y con más detalle.
ITIL ofrece más ventajas en productos y servicios.
COBIT ofrece toma de decisiones y satisface a los mismos usuarios de la empresa.
Desventajas
  • COBIT es un modelo ambicioso que requiere de un profundo estudio para realizar la implementación dentro de la organización.
  • Los estándares no cubren todos los temas en detalle.
  • No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
  • A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.
  • Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
  • Tiempo y esfuerzo necesario para su implementación.
  • No se dé el cambio en la cultura de las áreas involucradas.
  • No se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
  • El personal no se involucre y se comprometa.
  • La mejora del servicio y la reducción de costos pueden no ser visible.
  • La inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.
COBIT detalla más los procesos pero no abarca todos los temas e ITIL es más difícil de implementar y de entender sus procesos.
Tendencias
  • Ofrece buenas practicas
  • Herramientas y la gestión de actividades.
  • Ayuda a comprender y gestionar las inversiones en TI.
  • Mejores practicas.
  • La guía más importante y más usada en el mercado de TI.
  • ISO 38500
  • ISO 9126/2500
Las dos tienen tendencia al riesgo y error si no se aplican correctamente.
Conclusiones
Está más enfocado a la toma de decisiones dentro de la misma organización, aplicando sus 37 procesos para las buenas prácticas, teniendo riesgo de no ser aplicada correctamente.
Está más enfocada a los servicios y productos que ofrece la organización para satisfacer al cliente y pone la buena práctica, entrega de servicios de calidad con su ciclo de vida tiene mejor tendencia y mejor aprovechamiento.





Entrevistas

¿Qué profesionales de TI y/o Empresarios adoptaron algún marco de gobierno, marco de referencia o estándar?

Los profesionales de las empresas CONAGUA y SEDESOL, y empresarios de las empresa Quaker State y de la Secretaria de Salud entrevistados, respondieron que han adoptado marcos de referencia o estándar.

¿Qué marcos de referencia han adoptado los Profesionales de TI y/o Empresarios que cuentan con TI?

ITIL, COBIT y normas ISO 9000, 14000.


Mencione las ventajas y desventajas al adoptar un marco o estándar.

Ventajas
  • La toma de decisiones es más eficaz
  • La entrega de servicios TI se orienta más al cliente y mejoran la relación.
  • Mejora la comunicación con la organización TI al acordar los puntos de contacto.
  • La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos corporativos.
  • La administración tiene más control y los cambios resultan más fáciles de manejar.
Desventajas
  • Los estándares no cubren todos los temas en detalle
  • Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.
  • Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
  • Su introducción puede llevar tiempo y bastante esfuerzo, y supone un cambio de cultura en la organización.
  • No hay progreso por la falta de comprensión sobre lo que deben dar los procesos, cuáles son los indicadores de desempeño, y cómo se controlan los procesos.
  • No se ven las reducciones de costo y la mejora en la entrega de los servicios.
  • Si hay poca inversión en las herramientas de soporte, los procesos no harán justicia y el servicio no mejorará.


Conclusión general

ITIL es una metodología que propone el establecimiento de estándares que nos ayudan en el control, operación y administración de los recursos, ya sean propios o del cliente. No olvidemos que ITIL también se apoya en herramientas de evaluación e implementación.

COBIT está orientado a todos los sectores de una organización, es decir, administradores, usuarios y los involucrados en el proceso. COBIT diseña y promueve objetivos de control de TI para el uso diario en las organizaciones.



Referencias

QRP, http://www.qrpinternational.es/index/itil/what-is-itil, 08/Noviembre/2015

Joaquín Oriente, 2014, http://joaquinoriente.com/2014/01/24/apuntes-itil-2011-ciclo-de-vida-de-un-servicio/, 07/Noviembre/2015

OSIATIS, http://itilv3.osiatis.es/ Fecha de consulta: 06/Noviembre/2015.

Qué es ITIL, Pedro López, http://www.itmadrid.com/blog/que-es-itil/ 07/Noviembre/2015

ISACA, 2012, COBIT 5; Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.

http://eserv-latam.com/blog/48554/mejora-continua-servicio-itil











No hay comentarios.:

Publicar un comentario