Institutos Tecnológicos de México
Instituto tecnológico de Chilpancingo
Estrategias de Gestión de Servicios de TI
“Marcos de referencia de los servicios de TI”
Período académico: Febrero-Junio. Segunda unidad
ITIL
Definición
La Biblioteca de Infraestructura de Tecnologías de Información, IT Infraestructure Library (ITIL), es la aproximación de Gestión del Servicio TI más ampliamente aceptada en el mundo.
ITIL es un marco de mejores prácticas que se ha elaborado por los sectores público y privado a nivel internacional. En él se describe cómo los recursos de TI deben ser organizados para ofrecer un valor empresarial documentando los procesos, funciones y roles del IT Service Management (ITSM).
Su
objetivo es mejorar la calidad de los servicios TI ofrecidos, evitar los
problemas asociados a los mismos y en caso de que estos ocurran ofrecer un
marco de actuación para que estos sean solucionados con el menor impacto y a la
mayor brevedad posible.
Historia
Cómo trabaja
Paso
1 y 2 (a). Todo comienza con la organización como gran demandante de servicios
informáticos, el cliente o el que asigna y decide el presupuesto para estos
servicios de la organización acuerda o negocia los acuerdos de servicios (SLA)
con la dirección de informática. Se crea un catálogo de servicios, costes,
tiempos, y otras condiciones de los servicios que prestará informática a la
organización.
Paso
3 (b). Una vez puestos en marcha los servicios se define e instala un
departamento o unidad de Service Desk (Escritorio de Servicio), el cual será el
punto de contacto de los usuarios de los servicios con el departamento de
informática. Se trata de un único punto de comunicación de los usuarios con
informática, en donde se podrán abrir incidencias y nuevos requerimientos de
servicios.
Paso
3 (c). Los responsables del Service Desk, reciben y registran las solicitudes
de los usuarios. En casos de incidentes de los servicios, primero buscan en la
base de datos de errores conocidos o una especie de base de datos de conocimientos,
para verificar si la solución al incidente existe, y así dar la solución al
usuario de forma inmediata.
Paso
3 (d). Se pasa a la Gestión de Incidentes para que se busque la solución al
usuario.
Paso
4 (e). Si el incidente es recurrente y/o no es encontrado, se pasa a la Gestión
de problemas en donde se buscará la solución definitiva.
Paso
4 (f). Muchas veces los usuarios solicitan nuevos servicios a la gerencia de
informática. Service Desk en este caso abre una petición de servicios y lo pasa
a la Gestión del Cambio para que se abra un Cambio y se proceda, previa
evaluación por parte de un comité asesor (CAB), con su implementación.
Paso
4 (g). La gestión de versiones se refiere, como su nombre lo indica, al
mantenimiento de versiones de software por parte de la dirección informática.
Paso
4 (h). La base de datos de configuración o CMDB mantiene el inventario de todos
los ítems de configuración de la organización, la cual es accedida y
actualizada por los diferentes procesos que conforman ITIL.
Pasos
2 (i), (j), (k) y (l). Son necesarios y estratégicos para mantener los
servicios informáticos operando de manera efectiva y eficaz. Y también utilizan
a la CMDB como referencia y consulta de los componentes de la infraestructura
informática.
Ciclo de vida
- Estrategia del servicio: Define la perspectiva, la posición, los planes y patrones que un proveedor de servicios necesita ejecutar para alinearse con los resultados del negocio de una organización.
- Diseño del servicio: Proporciona la guía para el diseño y desarrollo (definición) de los servicios, políticas, capacidades/competencias, procesos y prácticas de la gestión de servicios para llevar a cabo la estrategia del proveedor de servicios y facilitar su implantación.
- Transición del servicio: Proporciona la guía para desarrollar y mejorar las capacidades/competencias para introducir/implantar servicios nuevos o realizar cambios en servicios ya existentes. Proporciona soporte para que una organización pueda pasar de un estado a otro con un nivel de riesgo controlado. Asegura que el valor aportado por la estrategia del servicio, definida en el diseño del servicio llega/transiciona de manera eficaz a la operación del servicio.
- Operación del servicio: La operación de servicio coordina y lleva a cabo las actividades y procesos requeridos para entregar y gestionar servicios en los niveles acordados con los usuarios de negocio y clientes. La operación de servicio también gestiona la tecnología que se utiliza para entregar y dar soporte a los servicios.
- Mejora continua del servicio: La mejora continua del servicio asegura que los servicios estén alineados con las necesidades cambiantes del negocio por medio de la identificación e implementación de mejoras en los servicios de TI que dan soporte a los procesos de negocio. El rendimiento del proveedor de servicios de TI se mide de forma continua y se realizan las mejoras en los procesos, los servicios de TI y la infraestructura de TI con el fin de aumentar la eficiencia, la efectividad y la rentabilidad. Implementa un ciclo de mejora PDCA (Plan-Do-Check-Act) en un método de 7 pasos.
Fases y procesos, de qué trata cada fase y proceso
Estrategia del Servicio
- Gestión de estrategias para servicios de TI.
El
proceso responsable de definir y mantener la perspectiva, posición, planes, y
patrones de una organización con respecto a sus servicios y la gestión de los
mismos.
Una
vez que la estrategia ha sido definida, la gestión estratégica de servicios de
TI también es responsable de garantizar que se logren los resultados previstos
del negocio.
- Gestión financiera para servicios de TI.
Es la administración de recurso monetario de las empresas este se encarga básicamente de asignar los recursos necesarios para ejecutar los procesos y servicios, con ello también se pretende ahorrar recursos y mejorar el desempeño de los servicios optimizando recursos.
Las
principales actividades de la Gestión Financiera se resumen en:
Presupuestos:
- Análisis de la situación financiera.
- Fijación de políticas financieras.
- Elaboración de presupuestos.
Contabilidad:
- Identificación de los costes.
- Definición de elementos de coste.
- Monitorización de los costes.
Fijación
de precios:
- Elaboración de una política de fijación de precios.
- Establecimiento de tarifas por los servicios prestados o productos ofrecidos.
- Gestión de portafolio de servicios.
Consiste en definir los servicios que la empresa puede ofrecer al cliente pero también la empresa debe de saber si lo recursos con los que cuenta son suficientes para echar a andar ese servicio para ello se realiza una lista que ayude a descartar los servicios que no son viables y al final solo quedarse con los que sí pueden funcionar y ponerlos en marcha.
Actividades:
- Definir
- Analizar
- Aprobar
- Formalizar
- Gestión de la demanda.
Se
encarga de predecir y regular los ciclos de consumo, adaptando la producción a
los picos de mayor exigencia para asegurar que el servicio se sigue prestando
de acuerdo a los tiempos y niveles de calidad acordados con el cliente.
Actividades:
- Identificar fuentes de pronóstico de demanda.
- Patrones de actividad del negocio.
- Perfiles de usuario.
- Actividad basada en gestión de demanda.
- Desarrollar ofertas diferenciadas.
- Gestión de demanda operacional.
- Gestión de relaciones con el negocio.
Es
el proceso responsable de mantener una relación positiva con los clientes. La
gestión de relaciones del negocio identifica las necesidades del cliente y
asegura que el proveedor de servicios sea capaz de satisfacer estas necesidades
con un adecuado catálogo de servicios.
Este
proceso tiene fuertes vínculos con la gestión de niveles de servicios.
Diseño del Servicio
- Coordinación del diseño.
Se
encarga principalmente de coordinar todos los procesos que tiene la fase por lo
que es importante durante la creación, modificación o eliminación de un
servicio.
Las
salidas del proceso de coordinación del diseño son potencialmente:
- Diseño de servicios integrado y consistente a través del SDP (paquete de diseño del servicio).
- Revisión de la arquitectura empresarial.
- Revisión del sistema de gestión.
- Revisión de las métricas y métodos de medición.
- Revisión de procesos.
- Actualización del Portafolio de Servicios.
- Actualización de los registros de cambios.
- Gestión del catálogo de servicios.
Proporciona
una referencia estratégica y técnica clave dentro de la organización TI,
ofreciendo una descripción detallada de todos los servicios que se prestan y
los recursos asignados para ello.
Es
un documento imprescindible puesto que:
- Sirve de guía a los clientes a la hora de seleccionar un servicio que se adapte a sus necesidades.
- Delimita las funciones y compromisos de la organización TI.
- Puede ser utilizado como herramienta de venta.
- Evita malentendidos entre los diferentes actores implicados en la prestación de servicios.
- Gestión de niveles de servicio.
Definir,
documentar, acordar, monitorear, medir, reportar, revisar el nivel de servicio.
Asegurando las metas específicas y medibles sean desarrolladas y asegurar los
niveles de servicio que sean entregados.
Debe
velar por la calidad de los servicios TI alineando tecnología con procesos de
negocio y todo ello a unos costes razonables.
Las
principales actividades de la Gestión de Niveles de Servicio se resumen en:
Planificación:
- Asignación de recursos.
- Elaboración de un catálogo de servicios.
- Desarrollo de SLAs.
- Herramientas para la monitorización de la calidad del servicio.
- Análisis e identificación de las necesidades del cliente.
- Elaboración de los Requisitos de Nivel de servicio (SLR), Hojas de Especificación del Servicio y Plan de Calidad del Servicio (SQP).
Implementación
de los Acuerdos de Niveles de Servicio:
- Negociación.
- Acuerdos de Nivel de Operación.
- Contratos de Soporte.
Supervisión
y revisión de los Acuerdos de Nivel de Servicio:
- Elaboración de informes de rendimiento.
- Control de los proveedores externos.
- Elaboración de Programas de Mejora del Servicio (SIP).
- Gestión de la capacidad.
Es
la encargada de que todos los servicios TI se vean respaldados por una
capacidad de proceso y almacenamiento suficiente y correctamente dimensionada.
Las
principales actividades de la Gestión de la Capacidad se resumen en:
- Desarrollo del Plan de Capacidad y modelado de diferentes escenarios de capacidad.
- Monitorización de los recursos de la infraestructura TI.
- Supervisión de la capacidad y administración de la Base de Datos de la Capacidad (CDB) contenida en el Sistema de Información de Gestión de la Capacidad (CMIS).
- Gestión de la disponibilidad.
Es
asegurar que los servicios TI estén disponibles y funcionen correctamente
siempre que los clientes y usuarios deseen hacer uso de ellos en el marco de
los SLAs en vigor.
Los
indicadores clave sobre los que se sustenta el proceso de Gestión de la
Disponibilidad se resumen en:
- Disponibilidad: porcentaje de tiempo sobre el total acordado en que los servicios TI han sido accesibles al usuario y han funcionado correctamente.
- Fiabilidad: medida del tiempo durante el cual los servicios han funcionado correctamente de forma ininterrumpida.
- Capacidad de mantenimiento: capacidad de recuperar el servicio en caso de interrupción.
- Capacidad de Servicio: determina la disponibilidad de los servicios internos y externos contratados y su adecuación a los OLAs y UCs en vigor.
- Gestión de la continuidad de los servicios de TI.
Se
preocupa de impedir que una imprevista y grave interrupción de los servicios
TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga
consecuencias catastróficas para el negocio.
Debe
combinar equilibradamente procedimientos:
- Proactivos: que buscan impedir o minimizar las consecuencias de una grave interrupción del servicio.
- Reactivos: cuyo propósito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.
- Gestión de la seguridad TI.
Responsable
de establecer las políticas de integridad, confidencialidad y disponibilidad
autentica y aceptada. Su marco de trabajo es:
- Control (Marco de trabajo).
- Planear (SLA, OLA, Contratos).
- Implementar (Creación, clasificación, seguridad).
- Evaluar (Auditorias).
- Mantener (Aprende, mejora, planea, implementa).
Proceso:
- Política y plan de seguridad.
- Aplicación de las medidas de seguridad.
- Evaluación y mantenimiento.
- Gestión de proveedores.
Se
ocupa de gestionar la relación con los suministradores de servicios de los que
depende la organización TI. Su principal objetivo es alcanzar la mayor calidad
a un precio adecuado.
Proceso:
- Requisitos
- Evaluación y selección.
- Clasificación y documentación
- Gestión del Rendimiento.
- Renovación o terminación.
Transición del Servicio
- Planificación y soporte a la transición.
Es
la encargada de coordinar los recursos de la organización TI para poner en
marcha el servicio en el tiempo, calidad y coste definidos previamente.
Garantiza
que los recursos se planifican y coordinan adecuadamente para cumplir las
especificaciones del Diseño del Servicio. Garantiza la identificación, gestión
y minimización de riesgos que pueden interrumpir el servicio durante la fase de
transición.
- Gestión de cambios.
Un cambio
es la adición, modificación o eliminación de un servicio o componente de un
servicio autorizado, planificado o soportado y de su correspondiente
documentación.
La
Gestión de Cambios es la evaluación y planificación del proceso de cambio para
asegurar que, si éste se lleva a cabo, se haga de la forma más eficiente,
siguiendo los procedimientos establecidos y asegurando en todo momento la
calidad y continuidad del servicio TI.
Proceso:
- Registro.
- Aceptación y clasificación.
- Aprobación y planificación.
- Implementación.
- Evaluación.
- Cambios de emergencia.
- Gestión de activos de servicio y de configuraciones.
Es
llevar un registro actualizado de todos los elementos de configuración de la
infraestructura TI, junto con sus interrelaciones.
Proporcionar
información precisa y fiable al resto de la organización de todos los elementos
que configuran la infraestructura TI.
Proceso:
- Planificación.
- Clasificación y Registro.
- Monitorización y Control.
- Realización de auditorías.
- Elaboración de informes.
- Gestión de liberación e implementación.
Es
la encargada de la implementación y control de calidad de todo el software y
hardware instalado en el entorno de producción. Debe
colaborar estrechamente con la Gestión de Cambios y la de Configuración y
Activos TI.
Proceso:
- Planificación
- Desarrollo
- Implementación
- Comunicación
- Validación y pruebas.
Consiste
en garantizar que las nuevas versiones cumplen los requisitos mínimos de calidad
acordados con el cliente y que, por supuesto, no van a provocar ningún error
inesperado cuando estén operativas.
El
proceso de validación y pruebas del servicio se realiza durante todo el ciclo
de vida del servicio para comprobar la calidad del servicio.
Proceso:
- Validación, planificación y verificación
- Construcción de tests.
- Pruebas de validación.
- Aceptación y reporte.
- Limpieza y cierre.
- Evaluación del cambio.
Es
la encargada de recoger y analizar toda la información disponible sobre el
cambio o nuevo servicio y elaborar los informes necesarios para tomar
decisiones.
Verificar
si el rendimiento de algo es aceptable, suministrando información importante
para la Mejora continua del servicio.
Proceso:
- Planificación
- Rendimiento previsto
- Rendimiento real
- Gestión del conocimiento.
Es
la encargada de reunir, analizar, almacenar y compartir el conocimiento e
información de la organización.
Centraliza
toda esta información en un repositorio denominado Sistema de Gestión del Conocimiento del Servicio (SKMS): es una
herramienta que proporciona funcionalidades de presentación, procesamiento y
gestión para interactuar con la Base de Datos de Gestión del Conocimiento del
Servicio de la organización.
Proceso:
- Estrategia: difundirla a toda la organización TI.
- Transferencia: entre personas, equipos y departamentos.
- Gestionar la información y los datos: garantizar su calidad y utilidad.
- Uso del SKMS.
Operación del Servicio
- Gestión de eventos.
Responsable
de monitorizar todos los eventos que acontezcan en la infraestructura TI con el
objetivo de asegurar su correcto funcionamiento y ayudar a prever incidencias
futuras.
Encontramos
dos tipos:
- Herramientas de monitorización activa. Se comprueban los CIs uno a uno para verificar su estado y disponibilidad. Si detecta excepciones, la herramienta de monitorización genera una alerta y la envía al equipo o mecanismo de control asignado.
- Herramientas de monitorización pasiva. Detectan y correlacionan alertas operacionales generadas por los propios CIs.
- Gestión de incidentes.
Definición
de incidente: interrupción no planificada de un servicio de TI, o reducción de
la calidad de un servicio TI o fracaso de un CI que ha impactado a un servicio
TI.
La
gestión de incidentes es el proceso responsable para la gestión del ciclo de
vida de todos los incidentes. Tiene como objetivo resolver, de la manera más
rápida y eficaz posible, cualquier incidente que cause una interrupción en el
servicio.
Ciclo
de vida:
- Interrupción del servicio.
- Detección y respuesta.
- Reparación y recuperación.
- Servicio disponible.
- Cumplimiento de soluciones.
Es
el proceso responsable de la gestión del ciclo de vida de todas las solicitudes
de servicio de los usuarios.
- Proporcionar un acceso rápido y eficaz.
- Mejora la productividad o calidad de servicios a las empresas.
- Solicitar y recibir acceso a nuevos servicios.
- Aumentar el nivel de control solicitado de servicios.
- Gestión de problemas.
Responsable de analizar y ofrecer soluciones a
aquellos incidentes que por su frecuencia o impacto degradan la calidad del
servicio. Puede ser:
- Reactiva: Analiza los incidentes ocurridos para descubrir su causa y propone soluciones a los mismos.
- Proactiva: Monitoriza la calidad de la infraestructura TI y analiza su configuración con el objetivo de prevenir incidentes incluso antes de que éstos ocurran.
- Problema: causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa.
- Error conocido: Un problema se transforma en un error conocido cuando se han determinado sus causas.
- Gestión de accesos.
Es
el proceso de concesión de usuarios autorizadas a utilizar un servicio, y
evitando el acceso a usuarios no autorizados. Permite
a usuarios utilizar que se documenten en el catálogo de servicios.
Proceso:
- Petición de acceso.
- Verificación.
- Monitorización de identidad.
- Registro y monitorización.
- Eliminación y restricción de derechos.
- Service Desk.
Responsable
de garantizar que sólo las personas con los permisos adecuados puedan acceder a
la información de carácter restringido.
Proporciona
un punto de comunicación con los usuarios y un punto de coordinación para
varios grupos y procesos de TI.
Tipos
de servicios:
- Servicio local
- Servicio centralizado
- Servicio virtual
- Gestión técnica.
Se
refiere a los grupos, departamentos o equipos que proporcionan los
conocimientos técnicos y la gestión global de la infraestructura de TI. Aporta
las habilidades técnicas y los recursos necesarios para dar soporte a la fase
de Operación del servicio. Toma parte en el diseño, pruebas, despliegue y
mejora de los servicios TI.
Documentación:
- Documentación técnica.
- Manuales técnicos.
- Manuales de funcionamiento y de gestión.
- Manuales de usuario.
- Gestión de operaciones de TI.
Es
la unidad responsable del mantenimiento y la gestión continua de la
infraestructura de la organización TI, y se centra especialmente en asegurar
que los servicios cumplen los niveles acordados.
Ciclo
de vida:
- Requerimientos.
- Diseño.
- Construir.
- Desplegar
- Operar.
- Requerimientos
- Gestión de aplicaciones.
Es
responsable del soporte y mantenimiento de las aplicaciones que toman parte en
la Operación del servicio. Al igual que ocurría con la Gestión Técnica en
relación a la infraestructura TI, la Gestión de Aplicaciones también desempeña
un doble papel:
Suelen
organizarse según las distintas categorías de aplicaciones a las que dan
soporte. Algunos ejemplos típicos son:
- Aplicaciones financieras.
- Aplicaciones de mensajería y colaboración.
- Aplicaciones de RRHH.
- Aplicaciones de soporte industrial.
- Aplicaciones de automatización de fuerza de ventas (CRM).
- Aplicaciones de procesamiento de ventas.
- Aplicaciones del centro de llamadas y marketing.
- Aplicaciones específicas del negocio (sanidad, seguros, banca, etc.).
- Aplicaciones TI, como Centro de Servicios, Sistemas de Gestión de la Empresa (SKMS, CMS), etc.
- Portales web.
- Tienda online.
- Mejora Continua del Servicio
El proceso de los 7 pasos.
Es
el constante mejoramiento que se hace a los servicios, es por ello que muestra
una guía que indica que es lo que se debe de hacer después de haber creado un
proceso, muchas veces las empresas crean procesos pero no siempre estos
procesos tiene continuidad muchos veces son descuidados y es ahí donde vienen
las fallas por ello es importante que se de mantenimiento a cada uno de ellos
en su día a día.
La
mejora continua sigue un proceso de siete pasos:
Identificar la estrategia de mejora. Se
ocupa la visión que tiene la empresa, la necesidad o las estrategias que quiere
mejorar.
Definir lo que se medirá.
Para limitar los procesos de medida deben tenerse en cuenta:
Procesos
de medida ya existentes.
Informes
generados.
Flujo
de trabajos establecidos.
Protocolos
y procedimientos en vigor.
Recopilación de datos. Se
conozcan los criterios que se van a evaluar, los objetivos que se quieren
alcanzar y como estos nos pueden ayudar a mejorar el servicio.
Una
vez decidido lo qué se va a medir hay que decidir cómo y ponerse manos a la
obra.
Procesar los datos. Los
datos obtenidos en el paso 3 son procesados y se les da el formato necesario
para que sean inteligibles y útiles desde la perspectiva de negocio.
Este
proceso debe transformar los datos en información para así estar dispuesta para
su posterior análisis
Analizar la información. El
análisis de la información previamente “digerida” permite transformar a esta en
“conocimiento” orientado a determinar cuáles son los aspectos susceptibles de
mejora.
Presentar y utilizar la información. Tras
procesar y analizar toda la información recopilada es el momento de darle forma
a través de informes para proceder a su comunicación a su público objetivo:
- Dirección.
- Gestores TI.
- Personal técnico.
- Clientes y usuarios.
Implementar las mejoras. La
puesta en marcha de esta fase del ciclo de vida del servicio puede ser compleja
y requiere una preparación previa que asegure la bondad de sus resultados.
Ventajas de adoptar ITIL
- Reducción de los gastos.
- Mejoramiento de los servicios TI a través del uso de procesos comprobados de buenas prácticas.
- Mejoramiento de la satisfacción de los clientes por medio de un enfoque más profesional de la entrega de servicios.
- Normas y orientación.
- Mejora de la productividad.
- Mejor utilización de las habilidades y de la experiencia.
- Mejor entrega de los servicios a terceros a través de la especificación de ITIL o ISO 20000 como estándar para la entrega de servicios en los servicios de compras.
Desventajas de Adoptar ITIL
- Tiempo y esfuerzo necesario para su implementación.
- No se dé el cambio en la cultura de las áreas involucradas.
- No se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
- El personal no se involucre y se comprometa.
- La mejora del servicio y la reducción de costos puede no ser visible.
- La inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.
Conclusión
Con los avances de ITIL, se actualizarón los libros, tomando en cuenta aspectos fundamentales, como: inconsistencias planteadas en el registro de control de cambios, asesoría del comité de cambios, retroalimentación por parte de la comunidad de capacitación
Está enfocado a los servicios y productos que ofrece la organización para satisfacer al cliente y pone la buena práctica, entrega de servicios de calidad con su ciclo de vida. Tiene mejor tendencia y mejor aprovechamiento en la organización.
COBIT 5
Definición
COBIT es una herramienta que permite a los gerentes comunicarse y llenar el vacío con respecto a los requerimientos de control, los temas técnicos y los riesgos de negocio. COBIT posibilita el desarrollo de políticas claras y buenas prácticas para el control de TI en toda la organización, a nivel mundial. Es la meta de COBIT suministrar estos objetivos de control dentro del marco definido, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, el objetivo de COBIT es ser la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayude a comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas.
COBIT 5 provee de un marco de
trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el
gobierno y
la gestión de las TI
corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el
valor óptimo desde IT manteniendo el equilibrio entre la generación de
beneficios y la optimización de los niveles de riesgo y el uso de recursos.
COBIT 5 permite a las TI ser gobernadas y gestionadas de un modo holístico para
toda la empresa, abarcando al negocio completo de principio a fin y las áreas
funcionales de responsabilidad de TI, considerando los intereses relacionados
con TI de las partes interesadas internas y externas. COBIT 5 es genérico y
útil para empresas de todos los tamaños, tanto comerciales, como sin ánimo de
lucro o del sector público.
Historia
COBIT 1, 1996.
- Objetivos de Control.
- Guías o Directrices de Auditoría.
COBIT 2, 1998
- Guías de gestión.
COBIT 3, 2000
- Disponible en el sitio de ISACA.
COBIT 4, 2005
- Se liberó la versión 4.1
COBIT 5, 2012
- Esta edición consolidará e integrará los marcos de referencia de COBIT 4.1, Val IT 2.0 y Risk IT.
Cómo trabaja
Se basa en cinco principios
claves mostrados en la figura anterior para el gobierno y la gestión de las TI
empresariales:
- Principio 1. Satisfacer las Necesidades de las Partes Interesadas
Las empresas existen para crear
valor para sus partes interesadas manteniendo el equilibrio entre la
realización de beneficios y la optimización de los riesgos y el uso de
recursos. COBIT 5 provee todos los procesos necesarios y otros catalizadores
para permitir la creación de valor del negocio mediante el uso de TI. Dado que
toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5
para adaptarlo
a su propio contexto mediante la cascada de metas,
traduciendo metas corporativas de alto nivel en otras metas más manejables, específicas,
relacionadas con TI y mapeándolas con
procesos y prácticas específicos.
- Principio 2: Cubrir la Empresa Extremo-a-Extremo
COBIT 5 integra el gobierno y la
gestión de TI en el gobierno corporativo:
- Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa.
- Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y externos los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas.
- Principio 3: Aplicar un Marco de Referencia Único Integrado
Hay muchos estándares y buenas
prácticas relativos
a TI, ofreciendo cada uno ayuda para un subgrupo de
actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede
hacer la función de marco de trabajo principal
para el gobierno y la gestión de las Ti de la empresa.
- Principio 4: Hacer Posible un Enfoque Holístico
Un gobierno y gestión de las TI
de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga
en cuenta varios componentes interactivos. COBIT 5 define un conjunto
de
catalizadores (enablers) para apoyar la implementación
de un sistema de gobierno y gestión global
para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a
conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete
categorías de catalizadores:
- Principios, Políticas y Marcos de Trabajo.
- Procesos.
- Estructuras Organizativas.
- Cultura, Ética y Comportamiento.
- Información.
- Servicios, Infraestructuras y Aplicaciones.
- Personas, Habilidades y Competencias.
- Principio 5: Separar el Gobierno de la Gestión
El marco de trabajo COBIT 5
establece una clara distinción entre gobierno y gestión. Estas dos disciplinas
engloban diferentes tipos de actividades, requieren diferentes estructuras
organizativas y sirven a diferentes propósitos. La visión de COBIT 5 en esta
distinción clave entre gobierno y gestión es:
El Gobierno asegura que se
evalúan las necesidades, condiciones y opciones de las partes interesadas para
determinar que se alcanzan las metas corporativas equilibradas y acordadas;
estableciendo la dirección a través de la priorización y la toma de decisiones;
y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas
acordadas.
En muchas corporaciones, el
gobierno global es responsabilidad del comité de dirección bajo el liderazgo
del presidente. Algunas responsabilidades de gobierno específicas se pueden
delegar en estructuras organizativas especiales al nivel apropiado,
particularmente en las corporaciones más grandes y complejas.
La gestión planifica, construye,
ejecuta y controla actividades alineadas con la dirección establecida por el
cuerpo de gobierno para alcanzar las metas empresariales.
En muchas empresas, la gestión es
responsabilidad de la dirección ejecutiva bajo el liderazgo del Director
General Ejecutivo (CEO).
Juntos, estos cinco principios
habilitan a la empresa a construir un marco de gestión de gobierno y gestión
efectivo que optimiza la inversión y el uso de información y tecnología para el
beneficio de las partes interesadas.
Ciclo de vida
Los tres componentes interrelacionados del ciclo de vida son:
- Ciclo de vida de Mejora continua.
- Habilitación del cambio.
- Gestión del programa.
- La fase 1 comienza con el reconocimiento y aceptación de la necesidad de una iniciativa de implementación o mejora. Identifica los puntos débiles actuales y desencadena y crea el ánimo de cambio a un nivel de dirección ejecutiva.
- La fase 2 se concentra en definir el alcance de la iniciativa de implementación o mejora empleando el mapeo de COBIT de metas empresariales con metas de TI a los procesos de TI asociados, y considerando cómo los escenarios de riesgos podrían destacar los procesos clave en los que focalizarse. Los diagnósticos de alto nivel también pueden ser útiles para delimitar y entender áreas de alta prioridad en las que hacer foco. Se lleva a cabo una evaluación del estado actual y se identifican los problemas y deficiencias mediante la ejecución de un proceso de revisión de capacidad. Se deberían estructurar iniciativas de gran escala como múltiples iteraciones del ciclo de vida para cada iniciativa de implementación que exceda de seis meses, existe un riesgo de perder el impulso, el foco y la involucración de las partes interesadas.
- Durante la fase 3, se establece un objetivo de mejora, seguido de un análisis más detallado aprovechando las directrices de COBIT para identificar diferencias y posibles soluciones. Algunas soluciones pueden ser beneficios inmediatos (quick wins) y otras actividades pueden ser más desafiantes y de largo plazo. La prioridad deberían ser aquellas iniciativas que son más fáciles de conseguir y aquellas que podrían proporcionar los mayores beneficios.
- La fase 4 planifica soluciones prácticas mediante la definición de proyectos apoyados por casos de negocios justificados. Además, se desarrolla un plan de cambios para la implementación. Un caso de negocio bien desarrollado ayuda a asegurar que se identifican y supervisan los beneficios del proyecto.
- En la fase 5 las soluciones propuestas son implementadas en prácticas día a día. Se pueden definir las mediciones y establecer la supervisión empleando las metas y métricas de COBIT para asegurar que se consigue y mantiene la alineación con el negocio y que el rendimiento puede ser medido. El éxito requiere el compromiso y la decidida apuesta de la alta dirección así como la propiedad por las partes afectadas a nivel TI y de negocio.
- La fase 6 se focaliza en la operación sostenible de los nuevos o mejorados catalizadores y de la supervisión de la consecución de los beneficios esperados.
- Durante la fase 7, se revisa el éxito global de la iniciativa, se identifican requisitos adicionales para el gobierno o la gestión de la TI empresarial y se refuerza la necesidad de mejora continua.
Fases y procesos, de qué trata cada fase y proceso
Evaluar, Orientar y Supervisar (EDM).
Gobierno asegura que los objetivos de la empresa se logran mediante la evaluación de los interesados las necesidades, condiciones y opciones; el establecimiento de la dirección a través de la priorización y toma de decisiones; y el seguimiento de desempeño, el cumplimiento y el progreso contra la dirección y objetivos acordados en (EDM).
- EDM01 Asegurar el Establecimiento y Mantenimiento del Marco de Gobierno. Analizar y articular los requerimientos para el gobierno de las TI de la empresa y pone en marcha y mantiene efectivas las estructuras, procesos y prácticas facilitadoras, con claridad de las responsabilidades y la autoridad para alcanzar la misión, las metas y objetivos de la empresa.
- EDM02 Asegurar la Entrega de Beneficios. Optimizar la contribución al valor del negocio desde los procesos de negocio, de los servicios TI y activos de las TI resultado de la inversión hecha por TI a unos costos aceptables.
- EDM03 Asegurar la Optimización del Riesgo. Asegurar que el apetito y la tolerancia al riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
- EDM04 Asegurar la Optimización de los Recursos. Asegurar que las adecuadas y suficientes capacidades relacionadas con las TI (personas, procesos y tecnologías) están disponibles para soportar eficazmente los objetivos de la empresa a un coste óptimo.
- EDM05 Asegurar la Transparencia hacia las Partes Interesadas. Asegurar que la medición y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la empresa son transparentes, con aprobación por las partes interesadas de las metas, las métricas y las acciones correctivas necesarias.
Alinear, Planificar y Organizar (Align, Plan and Organise, APO).
Cubre el uso de la información y la tecnología y la mejor manera que puede ser utilizado en una empresa para ayudar a alcanzar las metas y objetivos de la empresa. También destaca la forma de organización y de infraestructura de TI es tomar con el fin de lograr los resultados óptimos y para generar los mayores beneficios de la utilización de las TI.
- AP001 Gestionar el Marco de Gestión de TI. Aclarar y mantener el gobierno de la misión y la visión corporativa de las TI. Implementar y mantener mecanismos y autoridades para la gestión de la información y el uso de las TI en la empresa, para apoyar los objetivos de gobierno en consonancia con las políticas y los principios rectores.
- AP002 Gestionar la Estrategia. Proporcionar una visión holística del negocio actual y del entorno de TI, la dirección futura, y las iniciativas necesarias para migrar al entorno deseado. Aprovechar los bloques y componentes de la estructura empresarial, incluyendo los servicios externalizados y las capacidades relacionadas que permitan una respuesta ágil, confiable y eficiente a los objetivos estratégicos.
- AP003 Gestionar la Arquitectura Empresarial. Establecer una arquitectura común compuesta por los procesos de negocio, la información, los datos, las aplicaciones y las capas de la arquitectura tecnológica de manera eficaz y eficiente para la realización de las estrategias de la empresa y de las TI, mediante la creación de modelos clave y prácticas que describan las líneas de partida y las arquitecturas objetivo. Definir los requisitos para la taxonomía, las normas, las directrices, los procedimientos, las plantillas y las herramientas y proporcionar un vínculo para estos componentes. Mejorar la adecuación, aumentar la agilidad, mejorar la calidad de la información y generar ahorros de costes potenciales mediante iniciativas tales como la reutilización de bloques de componentes para los procesos de construcción.
- AP004 Gestionar la Innovación. Mantener un conocimiento de la tecnología de la información y las tendencias relacionadas con el servicio, identificar las oportunidades de innovación y planificar la manera de beneficiarse de la innovación en relación con las necesidades del negocio. Analizar cuáles son las oportunidades para la innovación empresarial o qué mejora puede crearse con las nuevas tecnologías, servicios o innovaciones empresariales facilitadas por TI, así como a través de las tecnologías ya existentes y por la innovación en procesos empresariales y de las TI. Influir en la planificación estratégica y en las decisiones de la arquitectura de empresa.
- AP005 Gestionar Portafolio. Ejecutar el conjunto de direcciones estratégicas para la inversión alineada con la visión de la arquitectura empresarial, las características deseadas de inversión, los portafolios de servicios relacionados, considerar las diferentes categorías de inversión y recursos y las restricciones de financiación.
- AP006 Gestionar el Presupuesto y los Costes. Gestionar las actividades financieras relacionadas con las TI tanto en el negocio como en las funciones de las TI, abarcando presupuesto, coste y gestión del beneficio, y la priorización del gasto mediante el uso de prácticas presupuestarias formales y un sistema justo y equitativo de reparto de costes a la empresa. Consultar a las partes interesadas para identificar y controlar los costes totales y los beneficios en el contexto de los planes estratégicos y tácticos de las TI, e iniciar acciones correctivas cuando sea necesario.
- AP007 Gestionar los Recursos Humanos. Proporcionar un enfoque estructurado para garantizar una óptima estructuración, ubicación, capacidades de decisión y habilidades de los recursos humanos. Esto incluye la comunicación de las funciones y responsabilidades definidas, la formación y planes de desarrollo personal y las expectativas de desempeño, con el apoyo de gente competente y motivada.
- P008 Gestionar las Relaciones. Gestionar las relaciones entre el negocio y TI de modo formal y transparente, enfocándolas hacia el objetivo común de obtener resultados empresariales exitosos, apoyando los objetivos estratégicos y dentro de las restricciones del presupuesto y los riesgos tolerables. Basar la relación en la confianza mutua, usando términos entendibles, lenguaje común y voluntad de asumir la propiedad y responsabilidad en las decisiones claves.
- AP009 Gestionar los Acuerdos de Servicios. Alinear los servicios basados en TI y los niveles de servicio con las necesidades y expectativas de la empresa, incluyendo identificación, especificación, diseño, publicación, acuerdo y supervisión de los servicios TI, niveles de servicio e indicadores de rendimiento.
- AP010 Gestionar los Proveedores. Administrar todos los servicios de las TI prestados por todo tipo de proveedores para satisfacer las necesidades del negocio, incluyendo la selección de los proveedores, la gestión de las relaciones, la gestión de los contratos y la revisión y supervisión del desempeño, para una eficacia y cumplimiento adecuados.
- AP011 Gestionar la Calidad. Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados relacionados de la organización, incluyendo controles, vigilancia constante y el uso de prácticas probadas y estándares de mejora continua y esfuerzos de eficiencia.
- AP012 Gestionar el Riesgo. Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.
- AP013 Gestionar la Seguridad. Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.
Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI).
Abarca la identificación de los requisitos de TI, la adquisición de la tecnología y su aplicación en los procesos de negocio actuales de la compañía.
- BAI01 Gestionar los Programas y Proyectos. Gestionar todos los programas y proyectos del portafolio de inversiones de forma coordinada y en línea con la estrategia corporativa. Iniciar, planificar, controlar y ejecutar programas y proyectos y cerrarlos con una revisión post-implementación.
- BAI02 Gestionar la Definición de Requisitos. Identificar soluciones y analizar requerimientos antes de la adquisición o creación para asegurar que estén en línea con los requerimientos estratégicos de la organización y que cubren los procesos de negocios, aplicaciones, información/datos, infraestructura y servicios. Coordinar con las partes interesadas afectadas la revisión de las opciones viables, incluyendo costes y beneficios relacionados, análisis de riesgo y aprobación de los requerimientos y soluciones propuestas.
- BAI03 Gestionar la Identificación y la Construcción de Soluciones. Establecer y mantener soluciones identificadas en línea con los requerimientos de la empresa que abarcan el diseño, desarrollo, compras/contratación y asociación con proveedores/fabricantes. Gestionar la configuración, preparación de pruebas, realización de pruebas, gestión de requerimientos y mantenimiento de procesos de negocio, aplicaciones, datos/información, infraestructura y servicios.
- BAI04 Gestionar la Disponibilidad y la Capacidad. Equilibrar las necesidades actuales y futuras de disponibilidad, rendimiento y capacidad con una provisión de servicio efectiva en costes. Incluye la evaluación de las capacidades actuales, la previsión de necesidades futuras basadas en los requerimientos del negocio, el análisis del impacto en el negocio y la evaluación del riesgo para planificar e implementar acciones para alcanzar los requerimientos identificados.
- BAI05 Gestionar la Introducción de Cambios Organizativos. Maximizar la probabilidad de la implementación exitosa en toda la empresa del cambio organizativo de forma rápida y con riesgo reducido, cubriendo el ciclo de vida completo del cambio y todos las partes interesadas del negocio y de las TI.
- BAI06 Gestionar los Cambios. Gestionar todos los cambios de una forma controlada, incluyendo cambios estándar y de mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye normas y procedimientos de cambio, análisis de impacto, priorización y autorización, cambios de emergencia, seguimiento, reporte, cierre y documentación.
- BAI07 Gestionar la Aceptación del Cambio y la Transición. Aceptar formalmente y hacer operativas las nuevas soluciones, incluyendo la planificación de la implementación, la conversión de los datos y los sistemas, las pruebas de aceptación, la comunicación, la preparación del lanzamiento, el paso a producción de procesos de negocio o servicios TI nuevos o modificados, el soporte temprano en producción y una revisión post-implementación.
- BAI08 Gestionar el Conocimiento. Mantener la disponibilidad de conocimiento relevante, actual, validado y fiable para dar soporte a todas las actividades de los procesos y facilitar la toma de decisiones. Planificar la identificación, recopilación, organización, mantenimiento, uso y retirada de conocimiento.
- BAI09 Gestionar los Activos. Gestionar los activos de las TI a través de su ciclo de vida para asegurar que su uso aporta valor a un coste óptimo, que se mantendrán en funcionamiento (acorde a los objetivos), que están justificados y protegidos físicamente, y que los activos que son fundamentales para apoyar la capacidad del servicio son fiables y están disponibles. Administrar las licencias de software para asegurar que se adquiere el número óptimo, se mantienen y despliegan en relación con el uso necesario para el negocio y que el software instalado cumple con los acuerdos de licencia.
- BAI010 Gestionar la Configuración. Definir y mantener las definiciones y relaciones entre los principales recursos y capacidades necesarias para la prestación de los servicios proporcionados por TI, incluyendo la recopilación de información de configuración, el establecimiento de líneas de referencia, la verificación y auditoría de la información de configuración y la actualización del repositorio de configuración.
Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS).
Se centra en los aspectos de administración de la tecnología de la información. Cubre áreas tales como la ejecución de las aplicaciones dentro del sistema de TI y sus resultados, así como, los procesos de soporte que permiten la ejecución eficaz y eficiente de estos sistemas de TI.
- DSS01 Gestionar las Operaciones. Coordinar y ejecutar las actividades y los procedimientos operativos requeridos para entregar servicios de las TI tanto internos como externalizados, incluyendo la ejecución de procedimientos operativos estándar predefinidos y las actividades de monitorización requeridas.
- DSS02 Gestionar las Peticiones y los Incidentes del Servicio. Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
- DSS03 Gestionar los Problemas. Proveer una respuesta oportuna y efectiva a las peticiones de usuario y la resolución de todo tipo de incidentes. Recuperar el servicio normal; registrar y completar las peticiones de usuario; y registrar, investigar, diagnosticar, escalar y resolver incidentes.
- DSS04 Gestionar la Continuidad. Establecer y mantener un plan para permitir al negocio y a TI responder a incidentes e interrupciones de servicio para la operación continua de los procesos críticos para el negocio y los servicios TI requeridos y mantener la disponibilidad de la información a un nivel aceptable para la empresa.
- DSS05 Gestionar los Servicios de Seguridad. Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.
- DSS06 Gestionar los Controles de los Procesos del Negocio. Definir y mantener controles apropiados de proceso de negocio para asegurar que la información relacionada y procesada dentro de la organización o de forma externa satisface todos los requerimientos relevantes para el control de la información. Identificar los requisitos de control de la información y gestionar y operar los controles adecuados para asegurar que la información y su procesamiento satisfacen estos requerimientos.
Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA).
El monitor, evaluar y valorar ofertas de dominio con la estrategia de una empresa en la evaluación de las necesidades de la empresa y si es o no el sistema de TI actual sigue cumpliendo los objetivos para los que fue diseñado y los controles necesarios para cumplir con los requisitos reglamentarios. El monitoreo también abarca el tema de una evaluación independiente de la eficacia del sistema de TI en su capacidad para cumplir con los objetivos de negocio y procesos de control de la empresa por los auditores internos y externos.
- MEA01 Supervisar, Evaluar y Valorar Rendimiento y Conformidad. Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y de procesos. Supervisar que los procesos se están realizando según el rendimiento acordado y conforme a los objetivos y métricas y se proporcionan informes de forma sistemática y planificada.
- MEA02 Supervisar, Evaluar y Valorar el Sistema de Control Interno. Supervisar y evaluar de forma continua el entorno de control, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Dirección la identificación de deficiencias e ineficiencias en el control y el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluación del control interno y las actividades de aseguramiento.
- MEA03 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos. Evaluar el cumplimiento de requisitos regulatorios y contractuales tanto en los procesos de las TI como en los procesos de negocio dependientes de las tecnologías de la información. Obtener garantías de que se han identificado, se cumple con los requisitos y se ha integrado el cumplimiento de las TI en el cumplimiento de la empresa general.
Ventajas de adoptar COBIT 5
- Ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.
- Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
- Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.
- Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
- Incremento de la creación de valor a través un gobierno y gestión efectiva de la información y de los activos tecnológicos. La función de TI se vuelve mas enfocada al negocio
- Incremento de la satisfacción del usuario con el compromiso de TI y sus servicios prestados – TI es visto como facilitador clave.
- Incremento del nivel de cumplimiento con las leyes regulaciones y políticas relevantes
- Las personas que participan son mas proactivas en la creación de valor a partir de la gestión de TI.
Desventajas de adoptar COBIT 5
- COBIT es un modelo ambicioso que requiere de un profundo estudio para realizar la implementación dentro de la organización.
- Los estándares no cubren todos los temas en detalle.
- No existe un estándar que abarque todos los temas (gestión, seguridad, calidad, desarrollo, continuidad, etc.).
- A veces proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización.
- Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
Conclusión
COBIT5 proporciona un marco integral que ayuda a las Organizaciones a lograr su metas y entregar valor mediante un gobierno y una administración efectivos de la TI de la Organización, además permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, el COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración estos a su vez ayudan a optimizar la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.
El COBIT 5 genera valor al negocio
con las inversiones en TI, por ejemplo, alcanzando metas estratégicas y generando beneficios
al negocio también podemos alcanzar la excelencia operativa a través de esta herramienta fiable y eficiente.
Se Optimizar el coste de los servicios y tecnologías de TI.
Cuadro Comparativo
|
COBIT
5
|
ITIL
|
Conclusiones
|
Definición
|
Es el marco de gobierno aceptado internacionalmente como una buena
práctica para el control de la información TI y los riesgos que conllevan.
|
Es una colección de mejores prácticas observadas en la industria de
TI.
Procesos referentes a la provisión de servicios de tecnología de la
información hacia las organizaciones.
|
Las dos están basadas en las buenas prácticas pero COBIT se enfoca
más a la toma de decisiones e ITIL a los servicios.
|
Antecedentes
|
5 versiones publicadas:
- 1996
COBIT 1, Auditoría.
-1998
COBIT 2, Control.
- 2000
COBIT 3, Administración.
- 2005-2007
COBIT 4/4.1 Gobierno TI.
- 2012
COBIT 5, Gobierno corporativo de TI.
|
- ITIL
V1 80’s – 90’s, estabilidad y control.
- ITIL
v2 2005, calidad y eficiencia de procesos.
- ITIL v3 2007, integración y
alineación de TI y el negocio.
- - ITIL
v3 edición 2011, COBINET OFFICE.
|
Ambos tienen versiones en los cuales les agregan o les quitan cosas
para mejorarlos y ser más entendibles.
|
Proceso de negocio a los que
apoya
|
Evaluar, orientar y
supervisar
- Definir mantener el marco de gobierno.
- Garantizar entrega de beneficios.
- Garantizar la optimización de los riesgos.
- Garantizar la optimización de los recursos.
- Garantizar transparencia con los interesados.
Alinear, planear y
organizar
- Definir el marco de gestión.
- Administrar la estrategia.
- Gestionar arquitectura de la empresa.
- Gestionar innovación.
- Gestionar portafolio.
- Gestionar presupuestos y costos.
- Gestionar recursos humanos.
- Gestionar relaciones.
- Gestionar acuerdos de servicios.
- Gestionar proveedores.
- Gestionar calidad.
- Gestionar riesgos.
- Gestionar seguridad.
Construir, adquirir
e implementar
- Gestionar programas y proyectos.
- Definir requerimientos.
- Identificar y construir soluciones.
- Gestionar disponibilidad y capacidad.
- Facilitar cambios organizacionales.
- Gestionar cambios.
- Gestionar recepción y transición del cambio.
- Gestionar conocimiento.
- Gestionar activos.
- Gestionar configuración.
Entrega, servicio y
soporte
- Gestionar operaciones.
- Gestionar solicitudes de servicio e incidentes.
- Gestionar problemas.
- Gestionar continuidad.
- Gestionar seguridad de servicios.
- Gestionar controles de procesos de negocio.
Monitoreo, evaluar
y valorar
- Monitorear, evaluar, desempeñar y conformidad.
- Monitorear, evaluar y valorar el sistema del control
interno.
- Monitorear
y evaluar cumplimientos con requerimientos externos.
|
Estrategia de
servicio
- Gestión de estrategias para servicios de TI.
- Gestión financiera para servicios de TI.
- Gestión de portafolio de servicios.
- Gestión de la demanda.
- Gestión de relaciones con el negocio.
Diseño de servicios
- Coordinación del diseño.
- Gestión del catálogo de servicios.
- Gestión de niveles de servicio.
- Gestión de la capacidad.
- Gestión de la disponibilidad.
- Gestión de la continuidad de los servicios de TI.
- Gestión de la seguridad TI.
- Gestión de proveedores.
Transición de
servicios
- Planificación y soporte a la transición.
- Gestión de cambios.
- Gestión de activos de servicio y de configuraciones.
- Gestión de liberación e implementación.
- Validación y pruebas.
- Evaluación del cambio.
- Gestión del conocimiento.
Operación de
servicios
- Gestión de eventos.
- Gestión de incidentes.
- Cumplimiento de soluciones.
- Gestión de problemas.
- Gestión de acceso de funciones.
- Service desk.
- Gestión técnica.
- Gestión de operaciones de TI.
- Gestión de aplicaciones.
Mejora continua
- El proceso de los 7 pasos.
|
ITIL está más orientado a la gestión de servicios y COBIT orientado
más hacia la misma organización.
|
Fases/Dominios
|
|
|
COBIT define más dominios detallados en cada fase e ITIL junta sus
procesos en 5 fases.
|
Ventajas
|
|
|
ITIL ofrece más ventajas en productos y servicios.
COBIT ofrece toma de decisiones y satisface a los mismos usuarios de
la empresa.
|
Desventajas
|
|
|
COBIT detalla más los procesos pero no abarca todos los temas e ITIL
es más difícil de implementar y de entender sus procesos.
|
Tendencias
|
|
|
Las dos tienen tendencia al riesgo y error si no se aplican
correctamente.
|
Conclusiones
|
Está más enfocado a la toma de decisiones dentro de la misma
organización, aplicando sus 37 procesos para las buenas prácticas, teniendo
riesgo de no ser aplicada correctamente.
|
Está más enfocada a los servicios y productos que ofrece la
organización para satisfacer al cliente y pone la buena práctica, entrega de
servicios de calidad con su ciclo de vida tiene mejor tendencia y mejor
aprovechamiento.
|
|
Entrevistas
¿Qué profesionales de TI y/o Empresarios adoptaron algún marco de gobierno, marco de referencia o estándar?
Los profesionales de las empresas CONAGUA y SEDESOL, y empresarios de las empresa Quaker State y de la Secretaria de Salud entrevistados, respondieron que han adoptado marcos de referencia o estándar.
¿Qué marcos de referencia han adoptado los Profesionales de TI y/o Empresarios que cuentan con TI?
ITIL, COBIT y normas ISO 9000, 14000.
Mencione las ventajas y desventajas al adoptar un marco o estándar.
Ventajas
- La toma de decisiones es más eficaz
- La entrega de servicios TI se orienta más al cliente y mejoran la relación.
- Mejora la comunicación con la organización TI al acordar los puntos de contacto.
- La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos corporativos.
- La administración tiene más control y los cambios resultan más fáciles de manejar.
Desventajas
- Los estándares no cubren todos los temas en detalle
- Enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.
- Se pueden tomar decisiones de TI e inversión de las infraestructuras de TI.
- Su introducción puede llevar tiempo y bastante esfuerzo, y supone un cambio de cultura en la organización.
- No hay progreso por la falta de comprensión sobre lo que deben dar los procesos, cuáles son los indicadores de desempeño, y cómo se controlan los procesos.
- No se ven las reducciones de costo y la mejora en la entrega de los servicios.
- Si hay poca inversión en las herramientas de soporte, los procesos no harán justicia y el servicio no mejorará.
Conclusión general
ITIL es una metodología que propone el establecimiento de estándares que nos ayudan en el control, operación y administración de los recursos, ya sean propios o del cliente. No olvidemos que ITIL también se apoya en herramientas de evaluación e implementación.
COBIT está orientado a todos los sectores de una organización, es decir, administradores, usuarios y los involucrados en el proceso. COBIT diseña y promueve objetivos de control de TI para el uso diario en las organizaciones.
Referencias
QRP, http://www.qrpinternational.es/index/itil/what-is-itil, 08/Noviembre/2015
Joaquín Oriente, 2014, http://joaquinoriente.com/2014/01/24/apuntes-itil-2011-ciclo-de-vida-de-un-servicio/, 07/Noviembre/2015
OSIATIS, http://itilv3.osiatis.es/ Fecha de consulta: 06/Noviembre/2015.
ISACA, 2012, COBIT
5; Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa.
http://eserv-latam.com/blog/48554/mejora-continua-servicio-itil
http://estratega.org/todo-lo-que-usted-queria-saber-sobre-cobit-5-y-no-se-animo-a-preguntar/, 03/Noviembre/2015
No hay comentarios.:
Publicar un comentario