Exposiciones COBIT e ITIL

                                         

  Definicion y Antescedentes de COBIT e ITIL

Procesos de Negocio de COBIT e ITIL

Fases, Ventajas y Desventajas de COBIT e ITIL

Tendencias COBIT e ITIL 

Comparacion COBIT e ITIL 

Entrevista a un profesional del área de TI

Entrevista a Profesor Jose Luis Cordeiro

Sobre las nuevas tendencias de la tecnología de la Información en el futuro.

https://www.youtube.com/watch?v=Ekvv3jET8qM

Documental Tecnologías de la Información y Comunicación en el Medio Digital

https://www.youtube.com/watch?v=tpbeqgX56Rc

Caso de Éxito relacionado con COBIT e ITIL

CASO DE ÉXITO RELACIONADO CON COBIT E ITIL

Un aspecto clave en la gestión de la continuidad del negocio (BC) y la recuperación ante desastres (DR) es la medición del rendimiento. En este artículo examinaremos cómo la recuperación ante desastres puede ser diseñada a través de dos marcos de referencia amplia-mente utilizados: 

La Biblioteca de Infraestructura de Tecnologías de la Información (ITIL - Information Technology Information Library) y los Objetivos de Control para la Información y Tecnologías relacionadas (COBIT - Control Objectives for Information and related Technology). 

Estos dos marcos de referencia proporcionan controles medibles que se pueden aplicar a los procesos de recuperación ante desastres de los Sistemas de Información (TI). 

Por qué es importante? Dando por hecho que usted quiere diseñar unos planes de recuperación ante desastres que sean compatibles con los estándares y controles aceptados por la industria, estos dos marcos proporcionan unos sólidos puntos de partida.

Diseño de la Recuperación ante Desastres de TI con COBIT e ITIL

El proceso de recuperación ante desastres de TI está bastante bien definido. Para determinar dónde encajan los componentes de COBIT e ITIL con los planes de Recuperación ante Desastres de TI, se ha elaborado una guía para el "Diseño detallado de recuperación ante desastres de TI con COBIT e ITIL”. 

Se puede utilizar el contenido detallado de esta guía como referencia de ambos marcos dado que está alineado con las actividades específicas de Recuperación ante Desastres de TI.  Al igual que la mayoría de normas, prácticas y marcos actuales, COBIT e ITIL son preceptivos. Ellos describen "qué" hay que hacer, pero no "cómo" hacerlo. Se pueden utilizar estos marcos como una lista de comprobación para asegurarse de que no ha omitido ninguna de las actividades principales.

Planes de recuperación ante desastres Inesperados de TI

Las pruebas y los ejercicios de los planes de Recuperación de Desastres se encuentran entre las actividades más importantes  y a menudo desatendidas en el proceso de recuperación ante desastres de un proceso determinado y de un sistema en particular de comunicación entre varias computadoras ya que estas presentan un problema de comunicación interna entre ellas y el servidor para que los datos sean compartidos por la red y todas cumplan con los requerimientos de Hardware y Software de sistemas necesarios para la comunicación y el sistema de red sea el indicado y las computadoras se comuniquen entre si.  

Por ejemplo, hay que señalar la importancia de las pruebas y de los ejercicios en los procesos de Recuperación ante Desastres. 

Para recuperar el buen funcionamiento de nuestro sistema hay que: "Realizar pruebas del plan de continuidad de TI de forma regular para garantizar que los sistemas pueden ser recuperados de manera efectiva y la comunicación entre las computadoras sea la indicada, que las deficiencias sean atendidas y que el plan siga siendo aplicable al problema ya planteado y encontrar solución. 

Solución con COBIT

Esto requiere una cuidadosa preparación, documentación, elaboración de informes sobre los resultados de las pruebas y, de acuerdo con los resultados, la aplicación de un plan de acción y ver cual es el principal problema dentro de la comunicación entre este sistema y dar solución mediante la implantación de COBIT. Para ello evaluaremos el alcance de las pruebas de recuperación de aplicaciones individuales en escenarios de pruebas integrados para simular las fallas y dar solución a estas, así como ver las posibles soluciones utilizando pruebas de extremo a extremo del sistema y en pruebas integradas con los proveedores  que son COBIT para implementar la solución de dicho problema de comunicación".

Solución con ITIL

Por el contrario, si analizamos las previsiones de ITIL y como desarrollar la solución al problema, vemos que ITIL avala un marco de trabajo denominado Gestión de la Continuidad del Servicio de TI (ITSCM TI Service Continuity Management). 

El ITSCM se ocupa de los riesgos que podrían causar un impacto repentino y grave en la infraestructura de TI dependiendo del riesgo que conlleva al recuperación y solución de dicho error de comunicación entre las computadoras y el sistema, de manera que una interrupción de los mismos podría poner en peligro la continuidad del funcionamiento de la empresa para lo cual se lleva a cabo una serie de pasos a cumplir los cuales dicen que hacer en caso de presentarse una falla inesperada en el sistema y como hay que darle continuidad a estos pasos para que la recuperación de nuestro error sea corregido. 

De acuerdo con ITIL, la ITSCM debe estar alineada con el ciclo de vida de continuidad del negocio. La ITSCM se centra en la protección de la infraestructura tecnológica y cuidado de los aparatos que se están utilizando para la comunicación entre estos y el sistema así como los recursos a utilizar para la comunicación, mientras que la continuidad del negocio se centra en los riesgos que podrían interrumpir las operaciones de negocio y la solución a estos problemas repentinos dentro del sistema. 

ITIL se ocupan de los enfoques y de las actividades y técnicas que hacen posible la ITSCM, también describen las medidas de planificación, protección y optimización de las etapas que se utilizan para la Implementación y Operación en curso del ciclo de vida de la ITSCM para que la puesta en marcha de las soluciones que nos brinda ITIL sea ejecutada en forma paralela a la solución de dichos problemas y estos sean solucionados con los pasos que nos brinda la recuperación de errores de ITIL.

Observaciones

En este caso de recuperación de errores inesperados en los sistemas, las guías de COBIT y de ITIL pueden ser utilizadas como parte del proceso de prueba de recuperación ante desastres inesperados de TI dentro de una empresa o de un sistema en especifico por medio de fallas en el SW o HW. 

Por lo cual en la guía de solución de errores de COBIT se dan detalles más específicos sobre los objetivos de una prueba y solución de errores de los sistemas. 

Por otra parte ITIL dibuja los procesos básicos de gestión sin entrar en detalles tan específicos como lo hace COBIT. No obstante, en ambos casos las guías describen lo que se debe hacer, no cómo hacerlo.

Las organizaciones que deseen adoptar las buenas prácticas para las operaciones de TI, incluyendo la recuperación ante desastres, pueden beneficiarse con la utilización de estos marcos de gestión. Los marcos proporcionar unos enfoques coherentes y medibles. También tienen más posibilidades de garantizar un resultado exitoso, especialmente tras una interrupción no planificada de los servicios de TI. El nivel de detalle depende de su empresa, de la forma en que dirige sus negocios y de la forma en que mide el rendimiento.

Conclucion de la Tabla comparativa COBIT e ITIL

FUENTE DE INFORMACIÓN

http://risgarcia.blogspot.mx/2015/03/fuente-de-informacion-httping.html

AUTOR

RICARDO GARCÍA AGUIRRE

Cuadro Comparativo de COBIT e ITIL

REFERENCIA

http://gerenciatec-nologica.wikispaces.com/file/view/CUADRO+COMPARATIVO+itil-mof-cobit.pdf

Cuadro Comparativo de COBIT e ITIL

Mapa Conceptual de COBIT e ITIL

REFERENCIA

http://www.bitcompany.biz/diferencia-itil-y-cobit

Mapa Conceptual de COBIT

Mapa Conceptual de ITIL

Síntesis de COBIT, ITIL

FUENTE DE INFORMACIÓN

http://ing-informatica-tic.blogspot.mx/2014/06/tabla-comparativa-itil-vs-cobit.html

AUTOR

Joshua Rreal

FUENTE DE INFORMACIÓN

http://estrategiasdegestionyserviciosdeti.bligoo.com.mx/unidad-2-marcos-de-referencia-en-la-gestion-de-servicios-de-ti#.VP88NfmG-Uk

AUTOR

Blog Bligoo

ITIL

DEFINICIÓN

Itil representa mucho mas que una serie de libros útiles sobre gestión de servicios de TI. El marco de mejores practicas en la gestión de servicios de TI que representa un conjunto completo de organizaciones, herramientas, servicios de educación y consultora, marco de trabajo relacionados,y publicaciones. ITIL es un excelente modelo de procesos de TI, el cual promueve la calidad para alcanzar efectividad en el negocio y eficiencia en el uso de sistemas de información.

ITIL se puede completar en forma adecuada con otras iniciativas de calidad, como los ISO,CMM,Six Sigma o Cobit.

ANTECEDENTES:

1980, pero ampliamente adoptada mediados de los 90. Esta mayor adopción y conocimiento ha llevado a varios estándares (ISO/IEC 20000). La Gestión de Servicio ITIL está actualmente integrada en el estándar ISO 20000 (anterior BS 15000). ITIL contiene una sección específicamente titulada “Gestión de Servicios de TI” (la combinación de los volúmenes de Servicio de Soporte y Prestación de Servicios). Recomendaciones de ITIL fueron desarrolladas en los años 1980 por la CCTA (Agencia Central de Telecomunicaciones y Computación, hoy Ministerio de Comercio, OGC -1991) de UK como respuesta a la creciente dependencia de las TI. ITILv1: Auspicio de la CCTA: “Método de Infraestructura de la Tecnología de Información del Gobierno” – GITM. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para hacer a cobit es un marco de trabajo y un conjunto de herramientas de gobierno de tecnología de información (ti) que permite a la gerencia cerrar la brecha entre los requerimientos de control, aspectos técnicos y riesgos de negocios. cobit habilita el desarrollo de políticas claras y buenas prácticas para el control de ti a lo largo de las organizaciones.  cobit fue publicado por primera vez por itgi en abril de 1996. su última actualización – cobit® 4.1  hace énfasis en el cumplimiento reglamentario, ayudando a la organizaciones a incrementar el valor de ti, destacando los vínculos entre los objetivos del negocio y ti, y simplificando la implementación del marco de trabajo cobit. ITIL más accesible a aquellos de deseen explorarla, uno de los objetivos del proyecto de actualización ITIL v2fue agrupar los libros según unos conjuntos lógicos destinados a tratar los procesos de administración que cada uno cubre.  El tema de Gestión de Servicios (Servicio de Soporte y Entrega de Servicios) es el más ampliamente difundido e implementado, La metodología ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna. 12/ 2005, OGC emitió  un aviso: ITILv3 -  ITIL Refresh y fue    publicada en el año 2007. Para este “refresh”, se realizaron las siguientes actividades Se realizaron consultas públicas sobre el contenido para incorporar nuevos requerimientos del mercado. Se formó un panel de expertos. Se contrataron autores y equipos de mentores. Revisión de consistencia, alcance y nivel de detalle. ITIL v3 5 libros principales: Ciclo de Vida de los Servicios: Diseño de Servicios de TI. Introducción de los Servicios de TI. Operación de los Servicios de TI. Mejora de los Servicios de TI. Estrategias de los Servicios de TI.

Fases de itil                                           

explicación  de las fases de itil.

1. Estrategia del Servicio: propone tratar la gestión de servicios no sólo como una capacidad sino como un activo estratégico.
2. Diseño del Servicio: cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios y activos.
3. Transición del Servicio: cubre el proceso de transición para la implementación de nuevos servicios o su mejora.
4. Operación del Servicio: cubre las mejores prácticas para la gestión del día a día en la operación del servicio.
5. Mejora Continua del Servicio: proporciona una guía para la creación y mantenimiento del valor ofrecido a los clientes a traces de un diseño, transición y operación del servicio optimizado.

Las ventajas de iti
para los clientes y usuarios

• mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. 

• los servicios se detallan en lenguaje del cliente y con más detalles.

• se maneja mejor la calidad y los costos de los servicios.

• la entrega de servicios se enfoca más al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de it. 

• una mayor flexibilidad y adaptabilidad de los servicios.

ventajas de itil para ti

• la organización ti desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización.

• la administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar.

• la estructura de procesos en it proporciona un marco para concretar de manera más adecuada los servicios de outsourcing.

• a través de las mejores prácticas de itil se apoya al cambio en la cultura de ti y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad.

• itil proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

DESVENTAJAS

• tiempo y esfuerzo necesario para su implementación.
• que no se dese del cambio en la cultura del área involucrada.
• que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
• que el personal no se involucre y se comprometa.
• la mejora del servicio y la reducción de costos puede no ser visible.
• que la inversión en herramientas de soporte sea escasa. los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

TENDENCIAS DE ITIL

ITIL representa mucho mas que una serie de libros útiles sobre gestión de servicios de TI. El marco de mejores practicas en la gestión de servicios de TI que representa un conjunto completo de organizaciones, herramientas, servicios de educación y consultora, marco de trabajo relacionados,y publicaciones. 

ITIL es un excelente modelo de procesos de TI, el cual promueve la calidad para alcanzar efectividad en el negocio y eficiencia en el uso de sistemas de información.

ITIL se puede completar en forma adecuada con otras iniciativas de calidad, como los ISO,CMM,Six Sigma o Cobit.

PROCESOS DE NEGOCIO DE ITIL A LOS QUE APOYA

La Gestión de Servicios de TI organiza las actividades necesarias para administrar la entrega y soporte de servicios en procesos.

Un proceso es una serie de actividades que a partir de una entrada obtienen una salida. El flujo de la información dentro y fuera de cada área de proceso indicará la calidad del proceso en particular.

Existen puntos de monitoreo en el proceso para medir la calidad de los productos y provisión de los servicios. Los procesos pueden ser medidos por su efectividad y eficiencia, es decir, si el proceso alcanzó su objetivo y si se hizo un óptimo uso de los recursos para lograr ese objetivo.

Por lo que si el resultado de un proceso cumple con el estándar definido, entonces el proceso es efectivo, y si las actividades en el proceso están cumpliendo con el mínimos requerido esfuerzo y costo, entonces el proceso es eficiente.

CASOS DE ÉXITO

Universidad Autónoma de Nuevo León

“En nuestro compromiso con la excelencia, necesitábamos una solución integral de ITIL que fuera fácil de implementar y produjera resultados de manera rápida. Estamos muy satisfechos con los resultados y los beneficios que la Gestión de Servicios de TI nos permite brindar a nuestros usuarios y proyectos”.

Graciela Flores, Coordinadora de Servicios

Perfil del cliente

• La UANL es la tercera universidad pública más grande de México.
• El Director General de Informática determinó que todo requerimiento de servicio de TI debe recibir atención en menos de una hora.
• Se busca adoptar el modelo ITIL para la administración de los servicios.

Requerimientos

• Procedimiento Integral de ITIL.
• Indicadores avanzados.
• Fácil de usar.
• Modular, que permita la complementación por fases.
• Complementación rápida y corto tiempo para obtener resultados

DGR de Corrientes

Certificación ISO 20000

“Con la Suite de IT Governance de Gestar logramos la certificación ISO 20000 de Gestión de Servicios de Tecnología de la Dirección Provincial de Rentas de Corrientes. Como herramienta de soporte para la automatización de los procesos de gestión de TI, Gestar es una solución altamente recomendable por su funcionalidad, flexibilidad, y valor agregado al negocio.“

Cdor. Fabián Boleas – Director General

Diario LA NACIÓN

Incorporación de buenas prácticas ITIL

“Gestar nos permitió implementar los procesos ITIL de Incident Mgmt, Problem Mgmt, y SLA’s con una muy buena relación valor/performance y una implementación que se adaptó perfectamente a nuestros requerimientos. La herramienta es muy intuitiva y funcional, lo cual favorece la aceptación de los usuarios y facilita el proceso de cambio…”

Ignacio Prieto – Gerente de Operaciones y Servicios

Banco Supervielle

Mejora continua de procesos 

“Hemos elegido Gestar ITIL para mejorar nuestros procesos de atención de reclamos y solicitudes de clientes internos obteniendo resultados favorables de inmediato.
Logramos documentar de forma unificada los casos de las áreas de Tecnología, Operaciones, Mantenimiento y Recursos Humanos, cubriendo normas regulatorias e integrando la tecnología a los negocios del Banco ya las necesidades de nuestros usuarios. En muy poco tiempo alcanzamos reducir el tráfico de mails en un 90% y las llamadas telefónicas en un 50% gracias a su módulo de autogestión de incidencias y consultas. Estamos convencidos que la mejora continua de los procesos del Banco traerá aparejado mejoras en nuestros negocios y junto a Gestar ITIL lo estamos logrando.”

Claudio Ercolessi – CIO

COBIT

DEFINICIÓN

Es un comprendió de mejores practicas aceptadas internacional-mente, esta orientado al gerencia-miento de las tecnologías, es complementado con herramientas y capacitación. Es gratuito y respaldado por la alta comunidad de inexpertos con una alta evolución permanente.

Mantenido por una organización sin fines de lucro, con reconocimiento internacional y mapeado con otros estándares.

Orientado a Procesos, sobre la base de Dominios de responsabilidad.

ANTECEDENTES:

comenzando con el marco de cobit definido en la primera edición, el uso de estándares internacionales, las pautas y la investigación en las mejores prácticas condujeron al desarrollo de los objetivos del control. las pautas de la intervención fueron desarrolladas después para determinar si estos objetivos del control están puestos en ejecución apropiadamente.

la investigación para las primeras y segundas ediciones incluyó la colección y el análisis de fuentes internacionales identificadas y fue realizada por los equipos en europa (universidad libre de amsterdam), los e.e.u.u. (universidad politécnica de california) y australia (universidad de nuevo gales del sur). cargaron a los investigadores con la compilación, la revisión, el gravamen y la incorporación apropiada de los estándares técnicos internacionales, códigos de la conducta, estándares de calidad, estándares profesionales en la revisión, y las prácticas y los requisitos de la industria, como se relacionan con el marco y con los objetivos del control individual. después de la colección y del análisis, desafiaron a los investigadores a examinar cada dominio y a procesar profundizado y a sugerir los nuevos o modificados objetivos del control aplicables a ese detalle él proceso. la consolidación de los resultados fue realizada por el comité de dirección de cobit.

el proyecto de la edición de cobit 3ro consistió en el desarrollar de las pautas de la gerencia y el poner al día de la edición de cobit 2do basada en nuevas y revisadas referencias internacionales.

además, el marco de cobit fue revisado y realzado para apoyar aumentó control de la gerencia, introduce a gerencia de funcionamiento y la desarrolla más lejos gobierno. proveer la gerencia un uso del marco, así que de él puede determinar y hacer las opciones para la puesta en práctica y las mejoras del control sobre su información y tecnología relacionada, así como funcionamiento de la medida, las pautas de la gerencia incluyen modelos de la madurez, factores críticos del éxito, los indicadores dominantes de la meta y los indicadores dominantes del funcionamiento relacionados con los objetivos del control.

las pautas de la gerencia fueron desarrolladas usando un panel mundial de 40 expertos de la academia, gobierno y él profesión del gobierno, del aseguramiento, del control y de la seguridad. estos expertos participaron en un taller residencial dirigido los facilitatores profesionales y usando las pautas del desarrollo definidas por el comité de dirección de cobit. el taller fue apoyado fuertemente por el grupo y el pricewaterhousecoopers de gartner, que no sólo proporcionaron la dirección del pensamiento pero también envió varias de sus expertos en control, de gerencia de funcionamiento y de seguridad de la información. los resultados del taller eran modelos de la madurez del bosquejo, factores críticos del éxito, indicadores dominantes de la meta e indicadores dominantes del funcionamiento para cada uno de los objetivos de alto nivel del control de cobit 34. la garantía de calidad de los delibérales iniciales fue conducida por el comité de dirección de cobit y los resultados fueron fijados para la exposición en el web site de isaca. el documento de las pautas de la gerencia ofreció un nuevo sistema gerencia-orientado de herramientas, mientras que proveía de la integración y de la consistencia el marco de cobit.

Fases de cobit

fase i  análisis del negocio de riesgo:

definir y alinear lo objetivos de ti con la identificación de los requerimientos y necesidades y la valoración de la factibilidad.

fase ii selección de estrategias:

desplegar estrategias y tácticas basadas en las mejores prácticas y experiencias probadas.

fase iii: desarrollo del plan:

implementar programas de mejoras continuas, afinación de los requerimientos y evaluaciones

fase iv pruebas y mantenimiento:

definir es estado futuro, estrategia y/o tácticas de habilitación o implementación.

VENTAJAS

• Cobit es un marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria. Una vez implementado, es posible asegurarse de que IT se encuentra efectivamente alineado con las metas del negocio, y orientar su uso para obtener ventajas competitivas.
• Suministra un lenguaje común que le permite a los ejecutivos de negocios comunicar sus metas, objetivos y resultados con Auditores, IT y otros profesionales.
• Proporciona las mejores prácticas y herramientas para monitorear y gestionar las actividades de IT. El uso de sistemas usualmente requiere de una inversión que necesita ser adecuadamente gestionada.
• Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida, así como también proporcionándoles métodos para asegurarse que IT entregara los beneficios esperados.

La diferencia entre compañías que gestionan adecuadamente sus recursos it y las que no es enorme. cobit permite el desarrollo de políticas claras y buenas prácticas para la gestión de it. su marco de referencia permite gestionar los riesgos de it y asegurar el cumplimiento, la continuidad, seguridad y privacidad.

Al ser cobit reconocida y aceptada internacional mente como una herramienta de gestión, su complementación es un indicativo de la seriedad de una organización. ayuda a empresas y profesionales de it a demostrar su competitividad ante las demás compañías. así como existen procesos genéricos de muchos tipos de negocios, existen estándares y buenas prácticas específicos para it que deben seguirse por las compañías cuando se soportan en it, en donde cobit agrupa tales estándares y entrega un marco de referencia para su implementación y gestión.

una vez se identifican e implementan los principios relevantes de cobit para una compañía, se obtiene plena confianza en que todos los recursos de sistemas están siendo gestionados efectivamente.

DESVENTAJAS

§  “resulta un modelo ambicioso que requiere de profundidad en el estudio, que se enriquece constantemente y provee de guías de auditorias que por dificultades económicas y de gestión no hemos podido obtener.”

§  “no existe en la bibliografía resultados de la experiencia práctica de los países en la implementación de este modelo que lo hagan medible, sin embargo conocemos que se emplea pero no en la generalidad de los casos.”

TENDENCIAS DE COBIT

Es un comprendió de mejores practicas aceptadas internacional-mente, esta orientado al gerencia-miento de las tecnologías, es complementado con herramientas y capacitación. Es gratuito y respaldado por la alta comunidad de inexpertos con una alta evolución permanente.
Mantenido por una organización sin fines de lucro, con reconocimiento internacional y mapeado con otros estándares.
Orientado a Procesos, sobre la base de Dominios de responsabilidad.

PROCESOS DEL NEGOCIO Y CONTROLES DE TI A LOS QUE APOYA

Objetivos de negocio  Se fijan a nivel de dirección ejecutiva. Se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía. Los controles TI se guían por este conjunto de objetivos y políticas de alto nivel. 
Controles de negocio  a nivel de procesos de negocio. Son controles para actividades específicas del negocio. La mayoría de los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI  muchos de los controles a este nivel estén automatizados [controles de las aplicaciones]. P.e.: Integridad, precisión, validez, autorización, segregación de funciones… Otros controles como procedimientos manuales (autorización de transacciones, separación de funciones conciliaciones manuales...) [controles manuales]. 
Servicios TI  Proporcionados para soportar los procesos de negocio. Suelen estar compartidos por varios procesos de negocio. A estos servicios se también aplican controles [controles generales de TI]. P.e.: desarrollo de sistemas, administración de cambios, seguridad, operaciones del computador.

CASOS DE ÉXITO DE COBIT

Implementación de COBIT 4.0 en Scotiabank, Costa Rica

Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco grandes bancos de Canadá. Ha existido por más de 178 años y tiene presencia en más de 50 países, siendo el banco más "internacional" de los bancos canadienses por la cantidad de sucursales que tiene fuera del país, utilizando la red internacional de sucursales y oficinas en Latinoamérica, Canadá y Estados Unidos, el Caribe, Europa, Asia y el Pacífico.

En BNS se dio inicio con el proyecto de implementación de COBIT 4.0 con una encuesta internacional dirigida a los encargados de las direcciones de TI en BNS, para conocer si alguno de ellos aplica una normativa que implique la obligatoriedad de contar con procesos basados en el marco de referencia de COBIT en cualquiera de sus versiones; encontramos gran cantidad de “scotiabankers” con certificaciones de ISACA, pero ninguna otra sucursal manifestó poseer regulaciones semejantes a la costarricense, tales como el acuerdo SUGEF 14-09¹ aprobado por el Consejo Nacional de Supervisión del Sistema Financiero de Costa Rica (SUGEF), y tampoco existen otras sucursales que estén sujetas a lineamientos o directrices parecidos a los que rigen a los bancos en Costa Rica en el “reglamento sobre la gestión de la tecnología de información [TI]” incluido en el acuerdo SUGEF 14-09.

Antecedentes

El SUGEF, aprobó el “reglamento sobre la gestión de la TI”, aplicable para todas las entidades bancarias y financieras del país, a partir de 2009, estableciendo la obligatoriedad de implementar los 34 procesos de COBIT y alcanzar el tercer nivel de madurez en los próximos tres años.

El cumplimiento de este reglamento se realiza mediante la ejecución de auditorías externas independientes, lideradas por un profesional con certificación CISA plenamente vigente y enmarcándose en las guías de auditoría externa² y los criterios profesionales y éticos³ dictados por ISACA, tomando como requisito de aplicación obligatoria el estándar S7⁴de auditoría y aseguramiento de TI, además de la guía de auditoría y aseguramiento G20.⁵

Decisión Corporativa

Siendo la cultura del control uno de los principios de BNS, la TI se apoya en los canales existentes para difundir los controles implementados basados en la utilización de los servicios web y en la unidad de cumplimiento de temas regulatorios de TI (unidad encargada de la verificación del cumplimiento de regulaciones externas). Uno de los factores críticos del éxito en la implementación de un buen gobierno de TI, fue utilizar la actual estructura organizacional; para que planifique, organice, dirija, coordine, monitoree y tome las decisiones adecuadas y oportunas para aprovechar las ventajas, beneficios y oportunidades que se derivan de su utilización. Esto permitió que la unidad de cumplimiento se convirtiera en el único canal autorizado para recibir y entregar requerimientos de parte de los auditores ya fueran internos o externos.

Aunque la responsabilidad total para el buen gobierno de TI recae por definición en la junta directiva, se delegan funciones a las distintas unidades del banco; cuyo control, evaluación y rendimiento de cuentas sigue el esquema de autoridad y responsabilidad que mantiene vigente el banco.

Enfrentando el Reto

Para enfrentar el reto de la implementación de los procesos obligatorios siguiendo los términos y condiciones establecidos por el regulador local, en este caso el SUGEF, BNS diseñó un plan de ruta (plan diseñado para lograr cumplir en el menor tiempo posible los objetivos de control de COBIT 4.0) para la priorización de las medidas a seguir para cumplir con éxito el requerimiento. Este plan contempló en primer término, el involucramiento del comité de TI con la participación activa de la alta gerencia y los principales ejecutivos del banco.

En un segundo plano se verificó la adecuada implementación de los controles utilizando los documentos existentes y realizar la tarea de acondicionarlos, referenciarlos y realizar las homologaciones necesarias, para cumplir tanto con los controles detallados como con los requerimientos de los niveles de madurez de COBIT requeridos por el SUGEF, para cada uno de los procesos. Se asignaron dos funcionarios dedicados de tiempo completo al proyecto, para asegurar la continuidad y el seguimiento del plan de ruta.

Estrategia de Implementación

La estrategia de implementación definió con claridad los objetivos generales y específicos, que permitieran al equipo de TI alcanzar los objetivos de manera efectiva, eficiente y económica, así como de garantizar la disponibilidad de los recursos requeridos de acuerdo a las tareas programadas, la asignación de personal comprometido y capaz de ejecutar con excelencia las labores encomendadas y el seguimiento activo permanente del avance del proyecto por parte del comité de TI.

El plan analizó en su primera fase, 17 procesos que requieren cumplir con los niveles de madurez 2 y 3 de acuerdo con el proceso seleccionado.⁶ Los procesos incluidos fueron: PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3, DS4, DS5, DS9, DS10, DS11, DS12, y el ME2. En la segunda fase de implementación se analizaron los 17 procesos restantes que deben alcanzar el nivel de madurez 1 para posteriormente alcanzar de manera paulatina el nivel de madurez 3 en un máximo de 3 años a partir del año 2010.

Dentro del proceso se incluyeron capacitaciones en COBIT y de buen gobierno de TI, éstas se enfocaron a fortalecer los conocimientos del personal participante en la implementación.

Resultados Obtenidos

Entre los beneficios que BNS ha recibido al utilizar el marco conceptual de COBIT 4.0 se encuentran los siguientes:

• Fortalecimiento del alineamiento entre las estrategias de negocio y de TI, por medio de la coherencia entre dominios y procesos de COBIT
• Creación de procesos definidos con estructuras internacionalmente aceptadas, auditables, medibles y que integren las mejores prácticas de la industria bancaria
• Identificación de los controles claves que deben ser reforzados e implementados para asegurar un adecuado control interno para TI
• Procesos mejorados y más confiables que fortalecen la aplicación de las prácticas relacionadas con la gestión de los cinco elementos de control que constituyen el buen gobierno de TI

Lecciones Aprendidas

Esta primera experiencia relacionada con la implementación simultánea de varios procesos de alto nivel, muchos de los cuales son sumamente complejos y detallados; además de la necesidad de crear condiciones para que rindan los beneficios esperados, ha demandado un esfuerzo significativo por parte de la institución, pero con excelentes resultados.

El esfuerzo ha sido cuantioso en lo económico así como en la cantidad de tiempo dedicado por los líderes de procesos de BNS, el demandante y continuo seguimiento, monitoreo y control, como también el involucramiento constante de toda la organización, la junta directiva, la administración, las jefaturas y la dirección de TI.

A pesar de las dificultades y el riesgo que involucra la ejecución de un proyecto de estas dimensiones, la estrategia planteada con anticipación, el seguimiento y toma de decisiones oportunas y acertadas para retomar el rumbo han rendido los resultados esperados, que si bien apenas comienzan a emerger, seguramente generarán un banco más competitivo, ágil, con procesos fortalecidos, con mayor enfoque de negocio y con una cultura tecnológica envidiable.