META-MODELO COBIT 5

Cuando estaba pensando en escribir sobre COBIT, no sabía si colocarlo en mi Blog de arquitectura empresarial o colocarlo aquí. Decido colocarlo aquí, porque quiero de la misma forma visual, establecer una propuesta de meta-modelo para este framework de T.I. y establecer también un pequeño comparativo de como unirlo con otros que son usados en diferente tipos de industria de las diferentes economía que pueden ser de gran utilidad para todos y un ejemplo de uso de base para trabajo colaborativo con otros profesionales.


META-MODELO COBIT 5

Visualicemos el siguiente meta-modelo posible para COBIT:

Hasta ahora, nada extraño. Este sería el meta-modelo que yo puedo plasmar incluyendo elementos como el plan estratégico que direcciona los requerimientos principales del Framework que son la realización de beneficios, optimización del riesgo y de los recursos y que todo esto debe generar el gobierno corporativo para una compañía.

Continuando con la cascada de metas, entregar valor que es lo que pretende estos requerimientos principales y de ahí se desprenden las metas de negocio, las metas de T.I. y las metas de los procesos habilitadores. Por su parte los procesos habilitadores me tienen que brindar una capacidad deseada que también la indica el plan estratégico corporativo.

Las metas de negocio, de T.I., y de los procesos tienen una métricas que deben estar retroalimentando al proceso habilitador. Finalmente este proceso debe tener actividades, prácticas de proceso y responsables de la ejecución de este proceso.

Ahora bien Tecnologías de información no es un mundo aislado de la compañía y la operación diaria de una empresa hace que deba cumplir con otro tipo de estándares empresariales diferentes a los propios. Aquí pueden venir frameworks y estándares como ISO, ITIL, COSO, SOX, BCM entre otros.

A continuación quiero proponer mi propio meta-modelo de Business Continuity Management y como podría inter-operar con COBIT siendo este en esencia un plan.


META-MODELO COBIT – BCM

Decido usar este porque las compañías en la medida que crecen y su operación se vuelve cada vez mas critica se hace necesario no sólo tener esquemas de contingencia a nivel de infraestructura tecnológica y plataformas de hardware y software. El DRP (sus siglas en inglés, Disaster Recovery Plan), normalmente solo contiene solo la parte de tecnologías de información. El DRP, es una parte importante del BCM y quiero usar algo parecido al estándar BS 25999-2 del BCI (British Continuity Institute) para unir el BCM con COBIT.

Los componentes de un BCM esenciales son:

LAS PERSONAS: son quienes trabajan en la organización, toman decisiones, soportan los procesos, operan maquinas. En este aspecto es importante tener en cuenta que si bajo los problemas organizacionales, profesionales, estos individuos presentaran un buen rendimiento.

LOS PROCESOS: diversidad de estos existen en la organización, algunos más importantes que otros, incluso al nivel de detener el proceso productivo completo. Hay que identificar cada uno de ellos para determinar su impacto.

LA TÉCNOLOGIA: está presente en todo los lugares de la organización desde la oficina, en el área de producción, área de distribución y las comunicaciones entre equipos . No se trata solo de el uso de los sistemas informáticos, También los sistemas de control y procesos, comunicación telefónica. La importancia se nota cuando falla y prescinde de ella.

COMUNIDAD O SOCIEDAD: este punto no aparece en forma definida en las clasificaciones encontradas pero se ha considerado importante ponerla aquí porque hay dos puntos desde donde se puede enfocar el impacto; los Clientes son los que adquieren o utilizan nuestros servicios además va directamente relacionado con lo que se refiere a reputación y marca. Esto es especialmente importante cuando los incidentes son internos de la organización, accidentes, contaminación, en general incidentes que afecten a la comunidad.

Basado en estos componentes principales vamos hacer un meta-modelo particular de un BCM:

A continuación una explicación del meta-modelo de este plan. EL requerimiento de BCM, surge a raíz de preocupaciones por parte de los stakeholders sobre las fallas que pueden surgir en el negocio y la perdida de disponibilidad. Pero Para cumplir el requerimiento de negocio, debo cumplir el standard a cabalidad, la ley, normas, reglas, políticas entre otros. Para llevar a cabo es necesario crear un Programa de Continuidad de Negocio que debe contener las actividades clave:

  • Inicio y gestión del proyecto.
  • Evaluación y control del riesgo. 
  • Análisis de impacto del negocio (BIA). 
  • Desarrollo de estrategias para la continuidad del negocio. 
  • Respuesta ante emergencias. 
  • Desarrollo e implementación del BCM. 
  • Programa de concientización y capacitación. 
  • Mantenimiento y ejercicio del BCM. 
  • Comunicación de crisis. 
  • Coordinación con Autoridades públicas.

La ejecución de estas actividades debe entregar los siguientes resultados, quien finalmente VALOR para la compañía que es que busca COBIT:

  • Administrar la continuidad del negocio.
  • Resistencia del negocio ante interrupciones.
  • Protege y asegura la imagen de la empresa.
  • Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios. 
  • Aumenta la disponibilidad del negocio.

Los Ciudadanos empresariales, las personas, los otros procesos de negocio, la tecnología existente en general en la empresa son los que harán posible el cumplimiento del plan de continuidad de negocio como partes activas del mismo, tanto para su implementación como para su mantenimiento y ciclo de vida.

La unión de COBIT y BCM, fue realizado mediante las actividades que deben ejecutarse en un proceso habilitador de COBIT. Los procesos de COBIT que ayudan a cumplir este requerimiento y estas metas empresariales relacionadas con la continuidad de negocio son APO012 principalmente; APO013 y BAI04 en menor medida.

Si desea saber cómo implementar COBIT 5 contácteme aquí.