Este documento presenta un resumen del proyecto de implementación del marco COBIT en una empresa petrolera. El proyecto tiene como objetivo mejorar el gobierno de TI de la empresa mediante la evaluación y mejora del nivel de madurez de COBIT en dos fases. La primera fase identifica brechas, y la segunda implementa iniciativas como políticas de seguridad, gestión de riesgos, acuerdos de nivel de servicio y planes de recuperación ante desastres. El proyecto es llevado a cabo por un equipo de trabajo de una consultora
tics en la vida cotidiana prepa en linea modulo 1.pptx
Implementación COBIT marco gobierno TI empresa petrolera
1. Implementación del marco COBIT para
el gobierno de TI en una empresa
petrolera
Informe de suficiencia para optar por el
título de Ingeniero de Sistemas
Johana Pamela Cevallos Vera
UNI-FIIS
Enero 2012
2. Plan de trabajo
Antecedentes
COBIT
Proceso de toma de decisiones
Proyecto de implementación
Evaluación de resultados
3. Antecedentes
La Empresa
• SavPerú (*) es una empresa
creada en el año 2009,
formada por inversionistas de
Colombia y Corea del Sur.
• Su actividad productiva se
basa en la exploración y
producción de hidrocarburos.
• Actualmente, la empresa está
presentando un crecimiento (*) nombre ficticio de una
de sus operaciones en la empresa real.
exploración y perforación de
nuevos pozos petroleros.
9. Diagnóstico Estratégico
Misión
• Somos una empresa de exploración y
producción de hidrocarburos, con énfasis en la
operación costa afuera, que genera valor para
sus accionistas y contribuye al desarrollo del
Perú, con un talento humano de excelencia,
comprometido con su seguridad y el cuidado
del medio ambiente, construyendo relaciones
armoniosas y duraderas con nuestros grupos
de interés.
Visión al 2016
• Alcanzar una producción de 50,000 Barriles de
petróleo y gas por día, con excelencia en la
seguridad de sus procesos, la calidad de sus
trabajadores y contratistas, y reconocida por
ser social y ambientalmente responsable.
13. Objetivos Estratégicos de Tecnología de
Información
1. Establecer relaciones estratégicas con los proveedores
2. Contar con la infraestructura y servicios requeridos
por el negocio
3. Implementar políticas y prácticas de TI verde
4. Asegurar la disponibilidad y confiabilidad de la
información para el usuario
5. Operar con excelencia, administrar eficientemente los
costos de la gestión de la información(hardware,
software y comunicaciones)
6. Asegurar y Fortalecer un Sistema Integrado de Gestión
7. Adoptar estándares de TI e implementar mejores
prácticas.
15. COBIT
Gobierno de TI
• Actualmente en las organizaciones…
▫ Crecimiento en la complejidad de los ambientes de TI.
▫ Infraestructuras fragmentadas de TI.
▫ Ausencia de comunicación entre los gerentes de negocio y de TI.
▫ Frustración del usuario ante la implementación de soluciones empíricas.
▫ Percepción de costos de TI fuera de control.
• Gobierno de TI en esencia considera…
▫ Necesidad del aseguramiento del valor de TI.
▫ Administración de los riesgos asociados a TI.
▫ Incremento de requerimientos para controlar la información.
16. Gobierno de TI
(Fuente: COBIT 4.1)
COBIT está orientada a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de riesgos asociados con tecnología de
información y con tecnologías relacionadas.
17. COBIT
“Control Objectives for Information and
related Technology”.
• Misión:
▫ “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI
autorizado, actualizado, aceptado internacionalmente para la adopción por parte de
empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y
profesionales de aseguramiento”.
• Conformado por 34 objetivos de control de alto nivel en sus cuatro dominios.
• Objetivo: garantizar que…
▫ TI está alineada con el negocio.
▫ TI habilita al negocio y maximiza los beneficios.
▫ Los recursos de TI se usan de manera responsable.
▫ Los riesgos de TI se administran apropiadamente.
20. Beneficios de COBIT Modelos de madurez de
COBIT (Fuente: COBIT 4.1)
• Proveer un marco único reconocido a nivel mundial de las “mejores prácticas”
de control y seguridad de TI.
• Consolidar y armonizar estándares originados y desarrollados en diferentes
países.
• Concientizar a la comunidad sobre importancia del control y la auditoria de TI.
• Enlazar los objetivos y estrategias de los negocios con la estructura de control
de la TI, como factor crítico de éxito
• Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI.
21. Proceso de toma de decisiones
Planteamiento del problema
• La problemática asociada, se vincula con la
aplicación del objetivo estratégico priorizado:
“Adoptar estándares de TI e implementar
mejores prácticas”. La resolución de este
problema abarca la
▫ P1. Falta de alineamiento de los procedimientos resolución de los otros
de tecnología de información a estándares de dos problemas
seguridad de información y continuidad del planteados.
negocio.
▫ P2. Inexistencia de acuerdos de nivel de servicio Solución:
con proveedores de servicios estratégicos de “Implementación
tecnología de información. del marco COBIT
para el gobierno de
▫ P3. Inexistencia de procedimientos de TI”.
recuperación ante desastres y de continuidad de
las operaciones del negocio.
22. Alternativas de solución
A1. Implementación del marco COBIT con un
A2. Implementación del marco COBIT con un
equipo compuesto por personal de TI
equipo de una consultora externa local.
corporativo.
• Ventajas • Ventajas
• El personal de TI conoce los procesos del • El personal de la consultora externa conoce
negocio de hidrocarburos, y cómo son los procesos del negocio de hidrocarburos y
soportados mediante los sistemas y ha participado en implementaciones en otras
tecnologías de información. empresas del sector.
• El personal de TI ha tenido experiencia en la • El personal de la consultora externa posee
implementación de COBIT con éxito, en su vasta experiencia local e internacional en
empresa. proyectos de implementación de COBIT.
• Desventajas • Responsabilidad compartida con el personal
• Costos de alojamiento y viajes del personal de TI local del éxito del proyecto.
de TI durante el trascurso del proyecto. • Desventajas
• Responsabilidad directa del personal de TI • Costos de los honorarios del personal de la
local del éxito del proyecto. consultora externa.
• Potencial falta de comunicación entre el
personal de la consultora externa y el
personal de TI local, respecto a los objetivos
y avances del proyecto.
23. Metodología de solución: Juicio de
expertos
PESO
FACTOR OBSERVACIONES
100%
A. FACTOR ECONOMICO Parámetros de evaluación
Costo para el La empresa busca reducir el costo de cada una
A1 Proyecto de 0.2 de las fases del proyecto de implementación de
de las alternativas de
Implementación. COBIT. solución
B. FACTOR INSTITUCIONAL
Estandarización Es política corporativa el fomentar e invertir en
de procesos y proyectos de alineamiento de los procesos y
B1 0.2
sistemas de sistemas de información a estándares de
información. tecnología de información. PUNTAJE SIGNIFICADO
Políticas de la
Es política corporativa tercerizar servicios a 1 Muy Bajo
empresa de
B2 0.15 empresas consultoras con experiencia en el
tercerizar 2 Bajo
sector de hidrocarburos.
servicios.
3 Regular
C. FACTOR TECNOLOGICO
4 Alto
La empresa considera como objetivo estratégico
Implementación de TI implementar un ERP, para lo cual los 5 Muy Alto
C1 0.15
de un ERP. procedimientos deben ser estandarizados y
flexibles de adecuar para esta implementación.
Uso de La empresa considera, por un tema de
C2 tecnología de 0.1 competitividad, la adopción de tecnologías de Puntajes y
avanzada. avanzada. significados
D. FACTOR DE RIESGO
Experiencia de Debido a la baja adopción de COBIT en el para las
D1 Proyectos en el 0.2 mercado local, la empresa considera la alternativas
Mercado. experiencia como factor de riesgo.
24. Metodología de solución: Juicio de
expertos
• Ventajas de la metodología:
▫ Se basa en la experiencia y criterio para las estimaciones.
▫ Ajusta las estimaciones al personal asignado y las estimaciones
son hechas rápidamente y eficientemente.
▫ Considera todos los factores cuya influencia sobre la conducta es
ponderada.
• Desventajas de la metodología:
▫ Las estimaciones no son mejores que las experiencias de los
estimadores, pueden ser sesgadas, difíciles de racionalizar y no
son objetivamente repetibles.
▫ Por otra parte, si los expertos trabajan en grupo, puede ocurrir
que uno de ellos, por su especial forma de ser, arrastre a los
demás hacia su propia opinión o a sobrestimar los criterios que
él valora.
25. Selección de una alternativa de solución
C1. Implementación de
B1. Estandarización de
empresa de tercerizar
servicios.
Proyectos en el
A1. Costo para el
un ERP.
Mercado.
Implementación.
procesos y sistemas
Proyecto de
de información.
B2. Políticas de la
de avanzada.
C2. Uso de tecnología
D1. Experiencia de
Evaluación de las
TOTAL
alternativas de
solución
FACTORES
PESO X FACTOR 0.2 0.2 0.15 0.15 0.1 0.2 1
ALTERNATIVAS
A1. Implementación del marco
COBIT con un equipo compuesto
por personal de TI corporativo. 3 1 2 3 4 2 2.45
A2. Implementación del marco
COBIT con un equipo de una
consultora externa local. 3 5 4 4 3 4 3.85
Como se puede apreciar, la alternativa que fue elegida es la alternativa
A2: “Implementación del marco COBIT con un equipo de una consultora
externa local”.
26. Proyecto de Implementación
Objetivos y alcance del proyecto
• FASE 1: ANÁLISIS DE BRECHAS E IDENTIFICACIÓN DEL NIVEL
DE MADUREZ DE COBIT.
▫ Objetivo. Evaluar el nivel de madurez de los procesos
de tecnología de información según el marco de
control COBIT, y asistir a SavPerú en la preparación de
un Plan de Acción para cerrar las brechas identificadas.
▫ Alcance. La relación de procesos de tecnología de
información indicados en el marco de control COBIT.
27. Objetivos y alcance del proyecto
• FASE 2: MEJORA DEL NIVEL DE MADUREZ DE COBIT.
▫ Objetivo. Apoyar a SavPerú en la implementación de los
siguientes objetivos de control de COBIT, para lograr el nivel de
madurez 3.
Definir los procesos de TI, organización y relaciones (PO4)
Comunicar aspiraciones y dirección de la gerencia (PO6)
Evaluar y administrar riesgos de TI (PO9)
Administrar cambios (AI6)
Instalar y acreditar soluciones y cambios (AI7)
Administrar servicios de terceras partes (DS2)
Asegurar servicio continuo (DS4)
Asegurar seguridad en los sistemas (DS5)
Administrar mesa de ayuda e incidentes (DS8)
Administrar la configuración (DS9)
Monitorear y evaluar rendimiento de TI (ME1)
28. Objetivos y alcance del proyecto
• FASE 2: MEJORA DEL NIVEL DE MADUREZ DE COBIT.
▫ Alcance. Las ocho (08) iniciativas definidas por la alta gerencia.
Iniciativa 1: Implementación de un Comité de TI (IT Steering
Comitee).
Iniciativa 2: Actualización de la estructura organizacional de TI.
Iniciativa 3: Definición e implementación de indicadores claves de
desempeño (KPIs) para la unidad de TI.
Iniciativa 4: Definición e implementación de políticas, estándares y
procedimientos de TI.
Iniciativa 5: Comunicación y conciencia de seguridad de políticas,
estándares y procedimientos de TI.
Iniciativa 6: Definición e implementación del marco de riesgos de TI.
Iniciativa 7: Definición de las condiciones para el establecimiento de
acuerdos de niveles de servicio (SLAs).
Iniciativa 8: Revisión y ajuste del actual Plan de Recuperación ante
Desastres (DRP).
32. Fase 1 del proyecto COBIT
Entendimiento de la estrategia de TI
• Se analizaron el planeamiento estratégico de la empresa y el plan táctico de
TI.
• Se identificó la situación actual de la organización de TI en la empresa, así
como la infraestructura tecnológica existente.
Análisis de brechas con los dominios de COBIT
• Se realizó un análisis de brechas, para todos los dominios de control de
COBIT.
• Este análisis se efectuó mediante el uso de cuestionarios que conforman
parte de la metodología de la consultora.
Identificación del nivel de madurez de COBIT
• Luego del análisis de brechas, se identificó el nivel de madurez, para todos
los dominios de control de COBIT.
33. Situación actual de la organización de TI
Estructura inicial
de TI (Fuente: IT
Strategy
Understanding)
34. Ejemplo de cuestionario
Are definition and maintenance of business functional and technical requirements clearly identified
1
and specified? (QS)
No progress Some progress Good progress Fully achieved
Details
Proceso AI1:
2 Have a risk analysis report been documented considering business requirements? “Identificar
No progress Some progress Good progress Fully achieved soluciones
Details automatizadas”
3 Have feasibility study and formulation of alternative courses of action been developed? (QS)
No progress Some progress Good progress Fully achieved
Details
4 Have requirements and feasibility decision and approval been verified?
No progress Some progress Good progress Fully achieved
Details
Cuestionario de análisis de brechas para proceso AI1 (Fuente:
Metodología IS Governance, KPMG).
35. Identificación del nivel de madurez COBIT
Análisis de Brechas
Planear y Organizar
(Fuente: Maturity
Levels)
36. Identificación del nivel de madurez COBIT
Análisis de
Brechas Adquirir e
Implementar
(Fuente: Maturity
Levels)
37. Identificación del nivel de madurez COBIT
Análisis de Brechas
Entregar y Soportar
(Fuente: Maturity
Levels)
38. Identificación del nivel de madurez COBIT
Análisis de Brechas
Monitorear y Evaluar
(Fuente: Maturity
Levels)
39. Fase 2 del proyecto COBIT
• En base a los resultados, el equipo de trabajo propuso la
implementación de 8 iniciativas basadas en 11 procesos de COBIT
identificados como de mayor relevancia para el logro de los objetivos
estratégicos, de modo que el nivel de madurez se eleve.
40. Fase 2 del proyecto COBIT
Definición de las iniciativas TI a apoyar
• Se realizó el alineamiento de los procesos COBIT propuestos a implementarse, con
las iniciativas de TI establecidas por el equipo de trabajo, a las cuales apoyarían.
Desarrollo de las iniciativas TI
• Iniciativa 1: Implementación de un Comité de TI
• Iniciativa 2: Actualización de la estructura organizacional de TI
• Iniciativa 3: Definición e implementación de indicadores claves de desempeño
(KPIs) para la unidad de TI.
• Iniciativa 4: Definición e implementación de políticas, estándares y
procedimientos de TI.
• Iniciativa 5: Comunicación y conciencia de seguridad de políticas, estándares y
procedimientos de TI.
• Iniciativa 6: Definición e implementación del marco de riesgos de TI.
• Iniciativa 7: Definición de las condiciones para el establecimiento de acuerdos de
niveles de servicio (SLAs).
• Iniciativa 8: Revisión y ajuste del actual Plan de Recuperación ante Desastres
(DRP).
41. Impacto de las iniciativas COBIT
IT Initiatives
1. Implementation of an IT Steering Committee. 5. Communication and Security Awareness of policies
standards and procedures.
2. Update the IT organizational structure.
6. Definition and implementation of the IT risks framework.
3. Define and implement KPIs for the IT department.
7. Define the conditions for the definition of SLAs.
4. Definition and implementation of IT policies, standards
and procedures. 8. Review and adjustment of current DRP.
High
8
1
4
2
LEVEL OF EFFORT
5 3
6 7
Low High
IMPACT ON ORGANIZATION’s BUSINESS STRATEGY
43. Ejemplos de entregables
INFORMATION TECHNOLOGY DEPARTMENT
KPI list
N° Procedure KPI Frequency
Percent of user accounts created in the review
Account Management
1 period, which were not approved before their Weekly
Procedure
creation.
2
Incident Management Percent of first line resolutions based on total
Quarterly
Iniciativa 3:
Procedure number of request
Percent of deviations identified between the Definición e
IT Resource Management
3 configuration repository and actual asset Quarterly
Procedure
configurations.
implementación
4
IT Resource Management Percent of licences purchased and not
Procedure accounted for in the repository
Quarterly de indicadores
5
Change Management Percent of total change that are emergency
Quarterly claves de
Procedure fixes
Change Management
Percent of unsuccessful changes to the desempeño
6 infrastrcture due to inadequate change Quarterly
Procedure
especifications (KPIs) para la
7 Backup and Restore Procedure Percent of successful backup process execution
Management, detection and
Bimonthly
unidad de TI.
8 correction of malicious software Percent of equipments protected by antivirus. Semiannual
procedure
Management, detection and
Percent of incidents reported by malicious
9 correction of malicious software Annual
software.
procedure
44. Ejemplo de entregables
Iniciativa 5: Comunicación y conciencia de
seguridad de políticas, estándares y
procedimientos de TI.
45. Ejemplo de entregables
Iniciativa 7:
Definición de las
condiciones para el
establecimiento de
acuerdos de niveles
de servicio (SLAs).
46. Evaluación de resultados
Análisis de resultados esperados
PUNTAJE SIGNIFICADO
1 No cumple las expectativas
2 Cumple las expectativas con deficiencias Puntajes de calificación
3 Cumple las expectativas
4 Excede ligeramente las expectativas
Calificación Calificación
Iniciativas antes después
Iniciativa 1: Implementación de un Comité de TI (IT Steering
Comitee). 2 4
Iniciativa 2: Actualización de la estructura organizacional de TI. 3 4
Iniciativa 3: Definición e implementación de indicadores claves
Calificación de los
de desempeño (KPIs) para la unidad de TI. 1 4 entregables antes y
Iniciativa 4: Definición e implementación de políticas, estándares
y procedimientos de TI. 3 4 después del proyecto
Iniciativa 5: Comunicación y conciencia de seguridad de
políticas, estándares y procedimientos de TI. 2 4
de implementación
Iniciativa 6: Definición e implementación del marco de riesgos de de COBIT
TI. 2 4
Iniciativa 7: Definición de las condiciones para el establecimiento
de acuerdos de niveles de servicio (SLAs). 2 4
Iniciativa 8: Revisión y ajuste del actual Plan de Recuperación
ante Desastres (DRP). 3 4
47. % Tiempo Costo:
COSTOS DIRECTOS Dedicado Dolares/mes Cantidad Nº Meses TOTAL
Personal de SavPerú
Costos
Gerente de Sistemas 50% 3,000.00 1 12 18,000.00
Jefes de Sistemas 50% 2,000.00 2 12 24,000.00
Analistas de Sistemas 30% 1,800.00 4 12 25,920.00
estimados Usuarios líderes
Usuarios líderes 20% 2,000.00 10 6 24,000.00
Personal de Consultora
del proyecto Externa
Gerente de Proyecto 50% 3,000.00 1 12 18,000.00
Supervisor de Proyecto 50% 3,000.00 2 12 36,000.00
Equipo de Proyecto 100% 1,200.00 2 6 14,400.00
Equipamiento
Servidores 0 5 0
Instalaciones 100% 500 1 12 6,000.00
Licencias de software 0% 0 0 0
SUB TOTAL: 166,320.00
Costo
COSTOS INDIRECTOS Dolares/mes Cantidad TOTAL
Personal de Consultora
Externa
Viajes a Talara para
presentaciones (mensual) 800 2 2 3,200.00
Alojamiento en Talara
(mensual) 2,500.00 2 2 10,000.00
SUB TOTAL: 226,740.00
TOTAL GENERAL: $393,060.00
48. Beneficio
% de Calificación Calificación Mensual TOTAL
Iniciativas Mejora inicial final (USD) mensual
Iniciativa 1: Implementación de
un Comité de TI (IT Steering
Comitee). 140% 2 4 30,000.00 42,000.00
Análisis Iniciativa 2: Actualización de la
estructura organizacional de TI. 120% 3 4 30,000.00 36,000.00
Cuantitativo
Iniciativa 3: Definición e
implementación de indicadores
claves de desempeño (KPIs)
para la unidad de TI. 160% 1 4 50,000.00 80,000.00
Iniciativa 4: Definición e
implementación de políticas,
estándares y procedimientos de
TI. 120% 3 4 60,000.00 72,000.00
Iniciativa 5: Comunicación y
• La relación de conciencia de seguridad de
políticas, estándares y
beneficios a costos es procedimientos de TI. 140% 2 4 30,000.00 42,000.00
Iniciativa 6: Definición e
de USD 1.20 de retorno implementación del marco de
140% 2 4 40,000.00 56,000.00
por cada dólar gastado riesgos de TI.
Iniciativa 7: Definición de las
($472,000.00 / condiciones para el
$393,060.00). establecimiento de acuerdos de
niveles de servicio (SLAs). 140% 2 4 60,000.00 84,000.00
• Este sería un retorno
positivo Iniciativa 8: Revisión y ajuste
del actual Plan de Recuperación
ante Desastres (DRP). 120% 3 4 50,000.00 60,000.00
TOTAL GENERAL $472,000.00
49. Análisis cualitativo: Beneficios
Recuperación ante
Imagen Eficiencia
desastres
• Organización alineada • La utilización de • La adopción de las
a estándares procesos definidos buenas prácticas de
internacionales y que bajo estándares COBIT permite
busca agregar valor a mejoran la preparar mecanismos
sus productos. performance y el de contingencia que
• Líder en el sector tiempo de respuesta permitan una rápida
hidrocarburos debido para las unidades de recuperación ante
a la iniciativa de negocio . desastres, en caso
implementar un • Estos procesos ocurra un evento que
marco metodológico definidos soportarán paralice las
que recién está la implementación de operaciones del
adoptándose en el un sistema integrado negocio.
mercado local. (ERP), la cual es otro
objetivo estratégico
de la empresa.
50. Conclusiones
• El establecimiento de una metodología de implementación de
COBIT, considerando diversas fases y actividades, fue una
decisión acertada, debido a que el personal de TI de la
empresa, que no tenía experiencia ni formación en
implementaciones de COBIT, pudo alinearse a ella y aportar
en la ejecución de las iniciativas.
• La comunicación constante entre el personal del equipo de la
consultora externa, y del personal de TI de la empresa, fue
decisiva para la culminación exitosa del proyecto, así como la
apertura del personal de TI a escuchar y adoptar las
propuestas de mejora nacidas de la experiencia del personal
del equipo de la consultora externa.
51. Recomendaciones
• Se sugiere, en la fase de estabilización del presente
proyecto, capacitar al personal de TI de la empresa, en el
uso adecuado de los entregables preparados, de modo
que exista una transferencia de conocimiento para
posteriores actualizaciones o mejoras de dichos
entregables.
• Asimismo, se sugiere que cuando se efectúe la
implementación del ERP de acuerdo a lo expuesto por la
Alta Gerencia e indicado en el planeamiento estratégico,
se solicite el apoyo del personal de la consultora externa
para revisar la adaptación de los entregables preparados
a los cambios introducidos por dicho ERP.