SlideShare una empresa de Scribd logo

Cobit

Descargar como PPTX, PDF
K
Karencientis
1 de 57
COBIT Objetivos de Control para tecnología de la información y relacionada Elaborado por: Ayala Padilla Karen Bautista Márquez Elizabeth Echevarri Maldonado Stephania Franco Bernal Elda Santos Ocaña Carla Profesora: M. en A. Irma Hernández Balderas Fundamentos de Gestión de Servicios deTI Junio 2013
RESUMEN EJECUTIVO ¿COBIT? ¿Qué es eso? Información y Tecnología como capital más valioso de una organización. CobiT brinda buenas prácticas a través de un marco de trabajo de 34 procesos genéricos agrupados en 4 dominios y presenta las actividades en una estructura manejable y lógica “Buenas prácticas enfocadas más en el control y menos en la ejecución” El marco de trabajo de CobiT contribuye en los siguientes aspectos:  Estableciendo un vínculo con los requerimientos del negocio  Organizando las actividades de TI en un modelo de procesos  Identificando los principales recursos deTI  Definiendo los objetivos de control gerenciales
RESUMEN EJECUTIVO COBIT y las áreas del gobierno deTI COBIT da soporte al gobierno deTI al brindar un marco de trabajo que garantiza que:  •TI está alineada con el negocio  •TI capacita el negocio y maximiza los beneficios  • Los recursos deTI se usen de manera responsable  • Los riesgos deTI se administren apropiadamente Áreas focales del gobierno deTI
RESUMEN EJECUTIVO COBIT y las áreas del gobierno deTI • Alineación estratégica: se enfoca en garantizar el vínculo entre los planes de negocio y de TI; definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. • Entrega de valor: ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia. • Administración de recursos: inversión y administración adecuada de los recursos críticos de TI:, aplicaciones, información, infraestructura y personas. • Administración de riesgos: conciencia de los riesgos por parte de los altos ejecutivos de la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, inclusión de las responsabilidades de administración de riesgos. • Medición del desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio
RESUMEN EJECUTIVO Una interrelación Todos los componentes de COBIT se interrelacionan, ofreciendo soporte para las necesidades de gobierno, de administración, de control y de auditoría de los distintos interesados.
MARCO DE TRABAJO ¿Porquéunmarco de trabajo? Porque con la información suministrada por lasTI debe ser posible:  Garantizar el logro de objetivos empresariales  Tener suficiente flexibilidad para aprender y adaptarse  Contar con un manejo juicioso de los riesgos que se enfrentan  Reconocer de forma apropiada las oportunidades y actuar de acuerdo a ellas Además, las empresas exitosas entienden sus riesgos y aprovechan los beneficios de lasTI para:  Alinear la estrategia deTI con la estrategia del negocio  Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa  Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas  Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos  Medir el desempeño deTI
MARCO DE TRABAJO ¿Porquéunmarco de trabajo? “El gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración deTI y sirven como facilitadores para establecer el gobierno deTI” Las mejores prácticas deTI se han vuelto significativas debido a diversos factores:  Preocupación por el creciente nivel de gasto enTI  Selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios  Riesgos crecientemente complejos de laTI como la seguridad de redes  Necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia
MARCO DE TRABAJO ¿Aquién va dirigido? “Un marco de referencia de gobierno y de control requiere servir a interesados internos y externos, cada uno con necesidades específicas” Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones enTI:  Aquellos que tomen decisiones de inversiones  Aquellos que deciden respecto a los requerimientos  Aquellos que utilicen los servicios deTI Interesados internos y externos que proporcionen servicios deTI:  Aquellos que administren la organización y los procesos deTI  Aquellos que desarrollen capacidades  Aquellos que operen los servicios Interesados internos y externos con responsabilidades de control/riesgo:  Aquellos con responsabilidades de seguridad, privacidad y/o riesgo  Aquellos que realicen funciones de cumplimiento  Aquellos que requieran o proporcionen servicios de aseguramiento
MARCO DE TRABAJO ¿Para qué? Un marco de referencia para el gobierno y el control de TI deben satisfacer las siguientes especifica ciones generales Brindar un enfoque de negocios que permita la alineación entre los objetivos de negocio y deTI. Proporcionar un lenguaje común, con un juego de términos y definiciones comprensibles para todos los Interesados. Ser consistente con las mejores prácticas y estándares deTI aceptados
MARCO DE TRABAJO Principio básico de CobiT “Proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.”
MARCO DE TRABAJO 7CRITERIOS DE INFORMACIÓN DE COBIT  La efectividad: información relevante y pertinente a los procesos del negocio, proporcionada de forma oportuna, correcta, consistente y utilizable.  La eficiencia: información generada optimizando los recursos (más productivo y económico).  La confidencialidad: protección de información sensitiva contra revelación no autorizada.  La integridad: precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.  La disponibilidad: información disponible cuando sea requerida por los procesos del negocio.  Cumplimiento: acatar aquellas leyes y reglamentos empresariales.  Confiabilidad: información apropiada para que la gerencia administre la entidad
MARCO DE TRABAJO Recursos deTI Los recursos deTI identificados en COBIT son: Aplicaciones Información PersonasInfraestructura
MARCO DE TRABAJO ProcesosOrientados El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que cada uno en la empresa visualice y administre las actividades deTI. PLANEARY ORGANIZAR (PO) MONITOREARY EVALUAR (ME) ENTREGARY DAR SOPORTE (DS) ADQUIRIR E IMPLEMENTAR (AI)
MARCO DE TRABAJO COBIT: procesos basadosen controles Cuando un proceso se ajusta a un objetivo, estándar o norma, se comparará de forma constante la información de control y se actuará con el fin de mejorar, mantener o corregir dicho proceso. MODELO DE CONTROL
MARCO DE TRABAJO ¿Qué tan lejos debemos ir? Midiendo el desempeño: Modelos de Madurez Representación gráfica de los modelos de madurez
MARCO DE TRABAJO Resumiendo:Cubo COBIT Los recursos deTI son manejados por procesos deTI para lograr metas que respondan a los requerimientos del negocio.
Primer dominio: PLANEARY ORGANIZAR (PO) PLANEACIONY ORGANIZACION PO1 Definir un plan Estratégico PO2 Definir la Arquitectura de Información. PO3 Determinar la Dirección tecnológica PO4 Definir los procesos Organización y relaciones DeTI PO5 Administrar los Recursos deTI PO6 Comunicar las Aspiraciones y la dirección De la gerencia PO7 Administrar los Recurso humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos deTI PO10 Administrar Proyectos
Primer dominio: PLANEARY ORGANIZAR (PO) PO1: Definir un plan estratégicodeTI PLAN ESTRATÉGICO DETI Es necesaria para Gestionar y dirigir todos los Recursos deTI en línea con la estrategia y prioridades del negocio.  Administración del valor deTI  Alineación deTI con el negocio  Evaluación del desempeño y la capacidad actual.  Plan estratégico  Planes tácticos  Administración del portafolio de  TI Definición Objetivos Táctica: Método o sistema para ejecutar o conseguir algo. Estrategia: Arte, traza para dirigir un asunto.
Primer dominio: PLANEARY ORGANIZAR (PO) PO1: Definir un plan estratégicodeTI MODELO DE MADUREZ PO1 Cuando se conoce la necesidad de una planeación estratégica. Cuando ocurren respuestas a las solicitudes de la información. Cuando se sigue un enfoque que garantiza la facilidad de la planeación. Se define con responsabilidades de alto nivel. Se toma en cuenta el establecimiento de las metas del negocio. Inicial Repetible Definido Administrado Optimizado
Primer dominio: PLANEARY ORGANIZAR (PO) PO2 Definir la arquitectura de la información OBJETIVOS Administración de integridad Modelo de arquitectura de información empresarial Esquema de clasificación de datos Diccionario de datos empresariales
Primer dominio: PLANEARY ORGANIZAR (PO) PO2 Definir la arquitectura de la información MODELO DE MADUREZ PO2 Cuando se reconoce la necesidad de una arquitectura de información Cuando existen procedimientos similares que siguen los individuos. Se acepta la responsabilidad en la aplicación en la cual se comunicara Se otorga el soporte completo al desarrollo de implantación por medio de técnicas. El personal de TI tiene la experiencia y habilidades necesarias para desarrollar Inicial Repetible Definido Administrado Optimizado
Primer dominio: PLANEARY ORGANIZAR (PO) PO3- Determinar la dirección tecnológica Creación de un plan de infraestructura tecnológica Actualizar  Arquitectura de Sistemas  Dirección tecnológica.  Planes de adquisición.  Estándares.  Estrategias de migración.  Contingencias Comité de Arquitectura. Establecer y administrar lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
Primer dominio: PLANEARY ORGANIZAR (PO) PO3- Determinar la dirección tecnológica Objetivos de Control  Plan de infraestructura tecnológica.  Monitoreo de tendencias y regulaciones futuras.  Estándares tecnológicos.  Consejo de arquitectura deTI  Planeación de la dirección tecnológica
Primer dominio: PLANEARY ORGANIZAR (PO) PO4-Definirlos Procesos, Organizacióny relacionesTI PO4 Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno Se enfoca en el establecimiento de estructuras organizacionales deTI transparentes, flexibles y responsables y en la definición e implementación de procesos deTI. Se logra con el establecimiento de un cuerpo y una estructura organizacional apropiada. La definición de roles y responsabilidades Se mide a través del número de procesos de negocio que no reciben soporte de TI y que deberían de recibirlo.
Primer dominio: PLANEARY ORGANIZAR (PO) PO5: Administrarla inversiónenTI PO5 Establece y mantiene un marco de trabajo Para administrar los programas de inversion enTI  El pronóstico de presupuestos  Definición de criterios formales  Medición del valor del negocio A través de Objetivos de Control  Marco de trabajo para la administracion financiera  Prioridades dentro del presupuesto deTI  Proceso presupuestal  Administración de costos deTI  Administracion de beneficios
Primer dominio: PLANEARY ORGANIZAR (PO) PO6,PO7,PO8 PO6.COMUNICAR LAS ASPIRACIONESY LA DIRECCION DE LA GERENCIA Objetivos de control  Ambiente de politicas y de control  Riesgo corporativo  Administration de politicas paraTI  Implantación de políticas deTI  Comunicación de los objetivos PO7 ADMINISTRAR LOS RECURSOS HUMANOS DETI Objetivos de control  Reclutamiento y Retención  Asignación de Roles  Dependencia sobre individuos  Evaluación del Desempeño  Cambios y Terminación del trabajo  Procedimientos de investigación del personal PO8 ADMINISTRAR LA CALIDAD Objetivos de Control  Sistema de Administración de Calidad  Estándares y practices de calidad  Estándares de desarrollo y adquisición  Enfoque en el cliente deTI  Mejora Continua  Medición, monitoreo y control de calidad
Primer dominio: PLANEARY ORGANIZAR (PO) PO9,PO10 PO9. EVALUARY ADMINISTRAR LOS RIESGOS DETI Objetivos de Control  Marco deTrabajo de administración de riesgos.  Identificación de eventos.  Respuesta a los riesgos  Mantenimiento y monitoreo. PO10 ADMINISTRACIÓN DE PROYECTOS Objetivos de Control  Coordinación de todos los proyectos y programas deTI que se han establecido.  Incluir un Plan Maestro de recursos, asegurar y garantizar la calidad y definición de un plan formal.  Garantiza a laAdministración de los posibles Riesgos del Proyecto
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) ADQUIRIR E IMPLANTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software AI3 Adquirir y mantener infraestructura AI4 Facilitar operación y uso AI5 Adquirir recursos deTI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI1: Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen eficazmente. ¿Para qué? Actividades:  AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio  AI1.2 Reporte de análisis de riesgos  AI1.3Estudio de factibilidad y formulación de cursos de acción alternativos  AI1.4 Requerimientos, decisión de factibilidad y aprobación
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI2:Adquirir y mantenersoftware Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. ¿Para qué? Actividades:  AI2.1 Diseño de alto nivel  AI2.2 Diseño detallado  AI2.3 Control y posibilidad de auditar las aplicaciones  AI2.4 Seguridad y disponibilidad de las aplicaciones  AI2.5 Configuración e implementación de software adquirido  AI2.6 Actualizaciones de sistemas  AI2.7 Desarrollo de software  AI2.8 Aseguramiento de la calidad  AI2.9 Administración de los requerimientos  AI2.10 Mantenimiento de software
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI3:Adquirirymantener infraestructura tecnológica ¿Para qué? Para proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones. Actividades  AI3.1 Plan de adquisición de infraestructura tecnológica  AI3.2 Protección y disponibilidad del recurso de infraestructura  AI3.3 Mantenimiento de la infraestructura  AI3.4 Ambiente de prueba de factibilidad
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI4: Facilitar la operación y el uso Este proceso requiere la generación de documentación y manuales para usuarios de TI, y proporcionar entrenamiento para garantizar el uso y la operación correcta de las aplicaciones y la infraestructura Actividades:  AI4.1 Plan para soluciones de operación  AI4.2 Transferencia de conocimiento a la gerencia del negocio  AI4.3 Transferencia de conocimiento a usuarios finales  AI4.4 Transferencia de conocimiento a personal de operaciones y soporte
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI5:Adquirir recursos deTI Se deben suministrar recursos de TI. Esto requiere la definición y ejecución de los procedimientos de adquisición, elección de proveedores, etc. El hacerlo así, garantiza que la organización tenga todos los recursos necesarios de forma oportuna y rentable. Actividades:  AI5.1 Control de adquisición  AI5.2 Administración de contratos con proveedores  AI5.3 Selección de proveedores  AI5.4 Adquisición de recursos deTI
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI6:Administrar cambios Todos los cambios, incluyendo el mantenimiento de emergencias y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben ser registrados, evaluado y autorizados. Esto garantiza la reducción de riesgos negativos para la organización. Actividades:  AI6.1 Estándares y procedimientos para cambios  AI6.2 Evaluación de impacto  AI6.3 Cambios de emergencia  AI6.4 Seguimiento y reporte de estado de cambio  AI6.5 Cierre y documentación del cambio
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI7:Instalary acreditar soluciones y cambios Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo termina. Esto requiere pruebas adecuadas. Se debe planear la liberación y transición al ambiente de producción. Actividades  AI7.1 Entrenamiento  AI7.2 Plan de prueba  AI7.3 Plan de implementación  AI7.4 Ambiente de prueba  AI7.5 Conversión de sistemas y datos  AI7.6 Pruebas de cambios  AI7.7 Prueba de aceptación final  AI7.8 Promoción a producción  AI7.9 Revisión posterior a implantación
Tercer dominio: ENTREGARY DAR SOPORTE (DS) Entregar y dar soporte DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11Administrar los datos DS12 Administrar el ambiente físico DS13Administrar las operaciones
Tercer dominio: ENTREGARY DAR SOPORTE (DS) Ds1:definir y administrarniveles de servicio Este domino se refiere a la comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. También incluye el monitoreo y la notificación oportuna a los participantes sobre el cumplimiento de los niveles de servicio. Actividades:  DS1.1 Marco de trabajo de la administración de los niveles de servicio  DS1.2 Definición de servicios  DS1.3 Acuerdo de niveles de servicio  DS1.4 Acuerdos de niveles de operación  DS1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio  DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS2:Administrar los servicios de terceros Clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Actividades:  DS2.1 Identificación de todas las relaciones con proveedores  DS2.2 Gestión de relaciones con proveedores  DS2.3 Administración de riesgos del proveedor  DS2.4 Monitoreo del desempeño del proveedor
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS3:Administración de desempeño y capacidad Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. Actividades:  DS3.1 Planeación del desempeño y la capacidad  DS3.2 Capacidad y desempeño actual  DS3.3 Capacidad y desempeño futuros  DS3.4 Disponibilidad de recursos deTI  DS3.5 Monitoreo y reporte
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS4:Garantizar la continuidaddelservicio Desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios deTI. Actividades:  DS4.1 Marco de trabajo de continuidad deTI  DS4.2 Planes de continuidad deTI  DS4.3 Recursos críticos deTI  DS4.4 Mantenimiento del plan de continuidad deTI  DS4.5 Pruebas del plan de continuidad deTI
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS5:Garantizarla seguridadde los sistemas Salvaguardar la información contra uso no autorizado, divulgación, modificación, daño o pérdida. Actividades:  DS5.1 Administración de la seguridad deTI  DS5.2 Plan de seguridad deTI  DS5.3 Administración de identidad  DS5.4 Administración de cuentas de usuario  DS5.5 Pruebas, vigilancia y monitoreo. Actividades:  DS5.6 Definición de incidente de seguridad  DS5.7 Protección de la tecnología de seguridad  DS5.8 Administración de las llaves criptográficas  DS5.9 Detección de software malicioso  DS5.10 Seguridad de la red
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS6:Identificar y asignarcostos Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Permite al negocio tomar decisiones más informadas respectos al uso de los servicios deTI. Actividades:  DS6.1 Definición de servicios  DS6.2 Contabilización deTI  DS6.3 Modelación de costos y cargos  DS6.4 Mantenimiento del modelo de costos
Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS7:Educar y entrenara los usuarios Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados Actividades: DS7.1 Identificación de necesidades de entrenamiento y educación DS7.2 Impartición de entrenamiento y educación DS7.3 Evaluación del entrenamiento recibido
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS8:Administrar la mesa de servicio y los incidentes Asegurar que se responda de manera oportuna y efectiva a las consultas y problemas de los usuarios deTI Actividades:  DS8.1 Mesa de servicios  DS8.2 Registro de consultas de clientes  DS8.3 Escalamiento de incidentes  DS8.4 Cierre de incidentes  DS8.5 Análisis de tendencias
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS9:Administración de configuración Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios Actividades:  DS9.1 Repositorio y línea base de configuración  DS9.2 Identificación y mantenimiento de elementos de configuración  DS9.3 Revisión de integridad de la configuración
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS10:Administración de problemas Este proceso incluye la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de los mismos. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. Actividades:  DS10.1 Identificación y clasificación de problemas  DS10.2 Rastreo y resolución de problemas  DS10.3 Cierre de problemas  DS10.4 Integración de las administraciones de cambios, configuración y problemas
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS11:Administración de datos Asegurar que los datos estén completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento Actividades:  DS11.1 Requerimientos del negocio para la administración de datos  DS11.2 Acuerdos de almacenamiento y conservación  DS11.3 Administración de librerías de medios  DS11.4 Eliminación  DS11.5 Respaldo y restauración  DS11.6 Requerimientos de seguridad para la administración de datos
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS12:Administración del ambiente físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (polvo, fuego, calor excesivo) o fallas humanas. Actividades:  DS12.1 Selección y diseño del centro de datos  DS12.2 Medidas de seguridad física  DS12.3 Acceso físico  DS12.4 Protección contra factores ambientales  DS12.5 Administración de instalaciones físicas
Tercer dominio: ENTREGARY DARSOPORTE (DS) DS13:Administración de operaciones Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware Actividades:  DS13.1 Procedimientos e instrucciones de operación  DS13.2 Programación de tareas  DS13.3 Monitoreo de la infraestructura  DS13.4 Documentos sensitivos y dispositivos de salida  DS13.5 Mantenimiento preventivo de hardware
Cuarto dominio: Monitorear y Evaluar (ME) Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control ¿Se mide el desempeño deTI para detectar los problemas antes de que sea demasiado tarde? ¿La gerencia garantiza que los controles internos son efectivos y eficientes? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Cuarto dominio: Monitorear y Evaluar (ME) Actividades Monitorear y Evaluar ME1 Monitorear y Evaluar el desempeño deTI ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno deTI ME2 Monitorear y Evaluar el control interno
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel desempeño deTI Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio deTI de acuerdo con los requisitos de gobierno. Actividades: Acciones correctivas Evaluación del desempeño Reportes al consejo directivo Enfoque del monitoreo
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel control interno Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados  ME2.1 Monitoreo del marco de trabajo de control interno  ME2.2 Revisiones de auditoria  ME2.3 Excepciones de control  ME2.4Auto evaluación del control  ME2.5Aseguramiento del control interno  ME2.6 Control interno para terceros  ME2.7Acciones correctivas
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel control interno Las “situaciones a informar” son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, y que a su juicio afectan negativamente a la organización. Por ejemplo:  Ausencia de adecuada segregación de funciones  Falta de revisión y aprobación de transacciones  Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la organización  Violación intencional de los controles establecidos  Fallas en la protección de los activos
Cuarto dominio: Monitorear y Evaluar (ME) ME3:Garantizarel cumplimiento regulatorio Cumplir las leyes y regulaciones deTI. ME3.1: Identificar las leyes y regulaciones con impacto potencial enTI ME3.2Optimizar la respuesta a requerimientos regulatorios ME3.3 Evaluación del cumplimiento con requerimientos regulatorios ME3.4Aseguramiento positivo del cumplimiento ME3.5 Reportes integrados
Cuarto dominio: Monitorear y Evaluar (ME) ME4: Proporcionar gobiernodeTI La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones  Establecer un marco de trabajo de gobierno para TI  Alineamiento estratégico  Entrega de valor  Administración de recursos  Administración de riesgos  Medición del desempeño
¿Dudas?

Recomendados

Taller de auditoria
Taller de auditoriaTaller de auditoria
Taller de auditoriaAlberto Arredondo Infante
 
Strategies for Effective Hardware and Software Asset Management
Strategies for Effective Hardware and Software Asset ManagementStrategies for Effective Hardware and Software Asset Management
Strategies for Effective Hardware and Software Asset ManagementCA Technologies
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
SOX- IT Perspective
SOX- IT PerspectiveSOX- IT Perspective
SOX- IT PerspectiveNeelabh Srivastava
 
IT Control Objectives for SOX
IT Control Objectives for SOXIT Control Objectives for SOX
IT Control Objectives for SOXMahesh Patwardhan
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.pptHasnolAhmad2
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Cobit 5 for information security
Cobit 5 for information securityCobit 5 for information security
Cobit 5 for information securityElkanouni Mohamed
 

Recomendados

Taller de auditoria
Taller de auditoriaTaller de auditoria
Taller de auditoriaAlberto Arredondo Infante
 
Strategies for Effective Hardware and Software Asset Management
Strategies for Effective Hardware and Software Asset ManagementStrategies for Effective Hardware and Software Asset Management
Strategies for Effective Hardware and Software Asset ManagementCA Technologies
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
SOX- IT Perspective
SOX- IT PerspectiveSOX- IT Perspective
SOX- IT PerspectiveNeelabh Srivastava
 
IT Control Objectives for SOX
IT Control Objectives for SOXIT Control Objectives for SOX
IT Control Objectives for SOXMahesh Patwardhan
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.pptHasnolAhmad2
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Cobit 5 for information security
Cobit 5 for information securityCobit 5 for information security
Cobit 5 for information securityElkanouni Mohamed
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Complianceseanpizzy
 
Aplicación COBIT
Aplicación COBITAplicación COBIT
Aplicación COBITCarlos Chavez Monzón
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Isms
IsmsIsms
Ismspenetration Tester
 
Gestión de Talento Humano
Gestión de Talento HumanoGestión de Talento Humano
Gestión de Talento HumanoMarkShaem
 
Control de administracion de empresas
Control de administracion de empresasControl de administracion de empresas
Control de administracion de empresasVitelolo Lopez
 
Cobit 5 used in an information security review
Cobit 5 used in an information security reviewCobit 5 used in an information security review
Cobit 5 used in an information security reviewJohnbarchie
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & complianceHR Globe Consulting
 
auditoria administrativa
auditoria administrativaauditoria administrativa
auditoria administrativayoisy pilar
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Auditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna finalAuditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna finalByron Lopez
 
It governance
It governanceIt governance
It governanceLusungu Mkandawire CISA,CISM,CGEIT,CPF,PRINCE2
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaYakuza Rodriguez
 
IT Governance - COBIT Perspective
IT Governance - COBIT PerspectiveIT Governance - COBIT Perspective
IT Governance - COBIT PerspectiveSayyed Zakir Ali Rizwe
 
Capítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría AdministrativaCapítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría AdministrativaAndrea Flores
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...Muhammad Bahrudin
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsKarthikeyan Dhayalan
 
PO5 Y PO6 DE COBIT
PO5 Y PO6 DE COBITPO5 Y PO6 DE COBIT
PO5 Y PO6 DE COBITHenry Cordova
 
Cobit 4.1 - DS2
Cobit 4.1 - DS2Cobit 4.1 - DS2
Cobit 4.1 - DS2Juliana Maria Lopes
 
Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012Ciro Bonilla
 

Más contenido relacionado

La actualidad más candente

Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Complianceseanpizzy
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Gestión de Talento Humano
Gestión de Talento HumanoGestión de Talento Humano
Gestión de Talento HumanoMarkShaem
 
Control de administracion de empresas
Control de administracion de empresasControl de administracion de empresas
Control de administracion de empresasVitelolo Lopez
 
Cobit 5 used in an information security review
Cobit 5 used in an information security reviewCobit 5 used in an information security review
Cobit 5 used in an information security reviewJohnbarchie
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & complianceHR Globe Consulting
 
auditoria administrativa
auditoria administrativaauditoria administrativa
auditoria administrativayoisy pilar
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Auditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna finalAuditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna finalByron Lopez
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TIFabián Descalzo
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaYakuza Rodriguez
 
Capítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría AdministrativaCapítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría AdministrativaAndrea Flores
 
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...Muhammad Bahrudin
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsKarthikeyan Dhayalan
 

La actualidad más candente (20)

Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Compliance
 
Aplicación COBIT
Aplicación COBITAplicación COBIT
Aplicación COBIT
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Isms
IsmsIsms
Isms
 
Gestión de Talento Humano
Gestión de Talento HumanoGestión de Talento Humano
Gestión de Talento Humano
 
Control de administracion de empresas
Control de administracion de empresasControl de administracion de empresas
Control de administracion de empresas
 
Cobit 5 used in an information security review
Cobit 5 used in an information security reviewCobit 5 used in an information security review
Cobit 5 used in an information security review
 
Grc governance, risk management & compliance
Grc governance, risk management & complianceGrc governance, risk management & compliance
Grc governance, risk management & compliance
 
auditoria administrativa
auditoria administrativaauditoria administrativa
auditoria administrativa
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Auditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna finalAuditoria Interna 1 presentacion completa interna final
Auditoria Interna 1 presentacion completa interna final
 
It governance
It governanceIt governance
It governance
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 
Metodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de AuditoríaMetodología para el Desarrollo e Implantación de Auditoría
Metodología para el Desarrollo e Implantación de Auditoría
 
IT Governance - COBIT Perspective
IT Governance - COBIT PerspectiveIT Governance - COBIT Perspective
IT Governance - COBIT Perspective
 
Capítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría AdministrativaCapítulo 3. Metodología de la Auditoría Administrativa
Capítulo 3. Metodología de la Auditoría Administrativa
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
Manajemen Keamanan Informasi Berbasis Standar di Lembaga Informasi: Pengenala...
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
 
PO5 Y PO6 DE COBIT
PO5 Y PO6 DE COBITPO5 Y PO6 DE COBIT
PO5 Y PO6 DE COBIT
 

Destacado

Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012Ciro Bonilla
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobittorres_0110
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBITluz milagros
 
Perfil del auditor
Perfil del auditorPerfil del auditor
Perfil del auditoranalucia1987
 
Perfil de un auditor interno de calidad
Perfil de un auditor interno de calidadPerfil de un auditor interno de calidad
Perfil de un auditor interno de calidadTatiana Lopez
 

Destacado (10)

Cobit 4.1 - DS2
Cobit 4.1 - DS2Cobit 4.1 - DS2
Cobit 4.1 - DS2
 
Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012Resume ejecutivo cobit 5 02 01-2012
Resume ejecutivo cobit 5 02 01-2012
 
Cobit
CobitCobit
Cobit
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobit
 
Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1
 
DIAPOSITIVAS COBIT
DIAPOSITIVAS COBITDIAPOSITIVAS COBIT
DIAPOSITIVAS COBIT
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
Perfil del auditor
Perfil del auditorPerfil del auditor
Perfil del auditor
 
Perfil de un auditor interno de calidad
Perfil de un auditor interno de calidadPerfil de un auditor interno de calidad
Perfil de un auditor interno de calidad
 
Resume CobiT 5
Resume CobiT 5 Resume CobiT 5
Resume CobiT 5
 

Similar a Cobit

Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Vero Gonzalez
 
Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811faau09
 
auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITepenate
 
Emm fhr reporte
Emm fhr reporteEmm fhr reporte
Emm fhr reporteITSM
 
Emm fhr reporte
Emm fhr reporteEmm fhr reporte
Emm fhr reporteITSM
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 

Similar a Cobit (20)

Grupo 2.pptx
Grupo 2.pptxGrupo 2.pptx
Grupo 2.pptx
 
Cobit
CobitCobit
Cobit
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
 
Cuestionario cobit
Cuestionario cobitCuestionario cobit
Cuestionario cobit
 
Itsm
ItsmItsm
Itsm
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1Instituto tecnológico superior de la montañ1
Instituto tecnológico superior de la montañ1
 
CsOBIT.ppt
CsOBIT.pptCsOBIT.ppt
CsOBIT.ppt
 
Cuestionario cobit
Cuestionario cobitCuestionario cobit
Cuestionario cobit
 
Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811
 
COBIT.ppt
COBIT.pptCOBIT.ppt
COBIT.ppt
 
auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBIT
 
Emm fhr reporte
Emm fhr reporteEmm fhr reporte
Emm fhr reporte
 
It portfolio management
It portfolio managementIt portfolio management
It portfolio management
 
Emm fhr reporte
Emm fhr reporteEmm fhr reporte
Emm fhr reporte
 
COBIT
COBITCOBIT
COBIT
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBIT
 
Cobit
CobitCobit
Cobit
 

Cobit

  • 1. COBIT Objetivos de Control para tecnología de la información y relacionada Elaborado por: Ayala Padilla Karen Bautista Márquez Elizabeth Echevarri Maldonado Stephania Franco Bernal Elda Santos Ocaña Carla Profesora: M. en A. Irma Hernández Balderas Fundamentos de Gestión de Servicios deTI Junio 2013
  • 2. RESUMEN EJECUTIVO ¿COBIT? ¿Qué es eso? Información y Tecnología como capital más valioso de una organización. CobiT brinda buenas prácticas a través de un marco de trabajo de 34 procesos genéricos agrupados en 4 dominios y presenta las actividades en una estructura manejable y lógica “Buenas prácticas enfocadas más en el control y menos en la ejecución” El marco de trabajo de CobiT contribuye en los siguientes aspectos:  Estableciendo un vínculo con los requerimientos del negocio  Organizando las actividades de TI en un modelo de procesos  Identificando los principales recursos deTI  Definiendo los objetivos de control gerenciales
  • 3. RESUMEN EJECUTIVO COBIT y las áreas del gobierno deTI COBIT da soporte al gobierno deTI al brindar un marco de trabajo que garantiza que:  •TI está alineada con el negocio  •TI capacita el negocio y maximiza los beneficios  • Los recursos deTI se usen de manera responsable  • Los riesgos deTI se administren apropiadamente Áreas focales del gobierno deTI
  • 4. RESUMEN EJECUTIVO COBIT y las áreas del gobierno deTI • Alineación estratégica: se enfoca en garantizar el vínculo entre los planes de negocio y de TI; definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. • Entrega de valor: ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia. • Administración de recursos: inversión y administración adecuada de los recursos críticos de TI:, aplicaciones, información, infraestructura y personas. • Administración de riesgos: conciencia de los riesgos por parte de los altos ejecutivos de la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, inclusión de las responsabilidades de administración de riesgos. • Medición del desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio
  • 5. RESUMEN EJECUTIVO Una interrelación Todos los componentes de COBIT se interrelacionan, ofreciendo soporte para las necesidades de gobierno, de administración, de control y de auditoría de los distintos interesados.
  • 6. MARCO DE TRABAJO ¿Porquéunmarco de trabajo? Porque con la información suministrada por lasTI debe ser posible:  Garantizar el logro de objetivos empresariales  Tener suficiente flexibilidad para aprender y adaptarse  Contar con un manejo juicioso de los riesgos que se enfrentan  Reconocer de forma apropiada las oportunidades y actuar de acuerdo a ellas Además, las empresas exitosas entienden sus riesgos y aprovechan los beneficios de lasTI para:  Alinear la estrategia deTI con la estrategia del negocio  Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa  Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas  Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos  Medir el desempeño deTI
  • 7. MARCO DE TRABAJO ¿Porquéunmarco de trabajo? “El gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración deTI y sirven como facilitadores para establecer el gobierno deTI” Las mejores prácticas deTI se han vuelto significativas debido a diversos factores:  Preocupación por el creciente nivel de gasto enTI  Selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios  Riesgos crecientemente complejos de laTI como la seguridad de redes  Necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia
  • 8. MARCO DE TRABAJO ¿Aquién va dirigido? “Un marco de referencia de gobierno y de control requiere servir a interesados internos y externos, cada uno con necesidades específicas” Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones enTI:  Aquellos que tomen decisiones de inversiones  Aquellos que deciden respecto a los requerimientos  Aquellos que utilicen los servicios deTI Interesados internos y externos que proporcionen servicios deTI:  Aquellos que administren la organización y los procesos deTI  Aquellos que desarrollen capacidades  Aquellos que operen los servicios Interesados internos y externos con responsabilidades de control/riesgo:  Aquellos con responsabilidades de seguridad, privacidad y/o riesgo  Aquellos que realicen funciones de cumplimiento  Aquellos que requieran o proporcionen servicios de aseguramiento
  • 9. MARCO DE TRABAJO ¿Para qué? Un marco de referencia para el gobierno y el control de TI deben satisfacer las siguientes especifica ciones generales Brindar un enfoque de negocios que permita la alineación entre los objetivos de negocio y deTI. Proporcionar un lenguaje común, con un juego de términos y definiciones comprensibles para todos los Interesados. Ser consistente con las mejores prácticas y estándares deTI aceptados
  • 10. MARCO DE TRABAJO Principio básico de CobiT “Proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.”
  • 11. MARCO DE TRABAJO 7CRITERIOS DE INFORMACIÓN DE COBIT  La efectividad: información relevante y pertinente a los procesos del negocio, proporcionada de forma oportuna, correcta, consistente y utilizable.  La eficiencia: información generada optimizando los recursos (más productivo y económico).  La confidencialidad: protección de información sensitiva contra revelación no autorizada.  La integridad: precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.  La disponibilidad: información disponible cuando sea requerida por los procesos del negocio.  Cumplimiento: acatar aquellas leyes y reglamentos empresariales.  Confiabilidad: información apropiada para que la gerencia administre la entidad
  • 12. MARCO DE TRABAJO Recursos deTI Los recursos deTI identificados en COBIT son: Aplicaciones Información PersonasInfraestructura
  • 13. MARCO DE TRABAJO ProcesosOrientados El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que cada uno en la empresa visualice y administre las actividades deTI. PLANEARY ORGANIZAR (PO) MONITOREARY EVALUAR (ME) ENTREGARY DAR SOPORTE (DS) ADQUIRIR E IMPLEMENTAR (AI)
  • 14. MARCO DE TRABAJO COBIT: procesos basadosen controles Cuando un proceso se ajusta a un objetivo, estándar o norma, se comparará de forma constante la información de control y se actuará con el fin de mejorar, mantener o corregir dicho proceso. MODELO DE CONTROL
  • 15. MARCO DE TRABAJO ¿Qué tan lejos debemos ir? Midiendo el desempeño: Modelos de Madurez Representación gráfica de los modelos de madurez
  • 16. MARCO DE TRABAJO Resumiendo:Cubo COBIT Los recursos deTI son manejados por procesos deTI para lograr metas que respondan a los requerimientos del negocio.
  • 17. Primer dominio: PLANEARY ORGANIZAR (PO) PLANEACIONY ORGANIZACION PO1 Definir un plan Estratégico PO2 Definir la Arquitectura de Información. PO3 Determinar la Dirección tecnológica PO4 Definir los procesos Organización y relaciones DeTI PO5 Administrar los Recursos deTI PO6 Comunicar las Aspiraciones y la dirección De la gerencia PO7 Administrar los Recurso humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos deTI PO10 Administrar Proyectos
  • 18. Primer dominio: PLANEARY ORGANIZAR (PO) PO1: Definir un plan estratégicodeTI PLAN ESTRATÉGICO DETI Es necesaria para Gestionar y dirigir todos los Recursos deTI en línea con la estrategia y prioridades del negocio.  Administración del valor deTI  Alineación deTI con el negocio  Evaluación del desempeño y la capacidad actual.  Plan estratégico  Planes tácticos  Administración del portafolio de  TI Definición Objetivos Táctica: Método o sistema para ejecutar o conseguir algo. Estrategia: Arte, traza para dirigir un asunto.
  • 19. Primer dominio: PLANEARY ORGANIZAR (PO) PO1: Definir un plan estratégicodeTI MODELO DE MADUREZ PO1 Cuando se conoce la necesidad de una planeación estratégica. Cuando ocurren respuestas a las solicitudes de la información. Cuando se sigue un enfoque que garantiza la facilidad de la planeación. Se define con responsabilidades de alto nivel. Se toma en cuenta el establecimiento de las metas del negocio. Inicial Repetible Definido Administrado Optimizado
  • 20. Primer dominio: PLANEARY ORGANIZAR (PO) PO2 Definir la arquitectura de la información OBJETIVOS Administración de integridad Modelo de arquitectura de información empresarial Esquema de clasificación de datos Diccionario de datos empresariales
  • 21. Primer dominio: PLANEARY ORGANIZAR (PO) PO2 Definir la arquitectura de la información MODELO DE MADUREZ PO2 Cuando se reconoce la necesidad de una arquitectura de información Cuando existen procedimientos similares que siguen los individuos. Se acepta la responsabilidad en la aplicación en la cual se comunicara Se otorga el soporte completo al desarrollo de implantación por medio de técnicas. El personal de TI tiene la experiencia y habilidades necesarias para desarrollar Inicial Repetible Definido Administrado Optimizado
  • 22. Primer dominio: PLANEARY ORGANIZAR (PO) PO3- Determinar la dirección tecnológica Creación de un plan de infraestructura tecnológica Actualizar  Arquitectura de Sistemas  Dirección tecnológica.  Planes de adquisición.  Estándares.  Estrategias de migración.  Contingencias Comité de Arquitectura. Establecer y administrar lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
  • 23. Primer dominio: PLANEARY ORGANIZAR (PO) PO3- Determinar la dirección tecnológica Objetivos de Control  Plan de infraestructura tecnológica.  Monitoreo de tendencias y regulaciones futuras.  Estándares tecnológicos.  Consejo de arquitectura deTI  Planeación de la dirección tecnológica
  • 24. Primer dominio: PLANEARY ORGANIZAR (PO) PO4-Definirlos Procesos, Organizacióny relacionesTI PO4 Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno Se enfoca en el establecimiento de estructuras organizacionales deTI transparentes, flexibles y responsables y en la definición e implementación de procesos deTI. Se logra con el establecimiento de un cuerpo y una estructura organizacional apropiada. La definición de roles y responsabilidades Se mide a través del número de procesos de negocio que no reciben soporte de TI y que deberían de recibirlo.
  • 25. Primer dominio: PLANEARY ORGANIZAR (PO) PO5: Administrarla inversiónenTI PO5 Establece y mantiene un marco de trabajo Para administrar los programas de inversion enTI  El pronóstico de presupuestos  Definición de criterios formales  Medición del valor del negocio A través de Objetivos de Control  Marco de trabajo para la administracion financiera  Prioridades dentro del presupuesto deTI  Proceso presupuestal  Administración de costos deTI  Administracion de beneficios
  • 26. Primer dominio: PLANEARY ORGANIZAR (PO) PO6,PO7,PO8 PO6.COMUNICAR LAS ASPIRACIONESY LA DIRECCION DE LA GERENCIA Objetivos de control  Ambiente de politicas y de control  Riesgo corporativo  Administration de politicas paraTI  Implantación de políticas deTI  Comunicación de los objetivos PO7 ADMINISTRAR LOS RECURSOS HUMANOS DETI Objetivos de control  Reclutamiento y Retención  Asignación de Roles  Dependencia sobre individuos  Evaluación del Desempeño  Cambios y Terminación del trabajo  Procedimientos de investigación del personal PO8 ADMINISTRAR LA CALIDAD Objetivos de Control  Sistema de Administración de Calidad  Estándares y practices de calidad  Estándares de desarrollo y adquisición  Enfoque en el cliente deTI  Mejora Continua  Medición, monitoreo y control de calidad
  • 27. Primer dominio: PLANEARY ORGANIZAR (PO) PO9,PO10 PO9. EVALUARY ADMINISTRAR LOS RIESGOS DETI Objetivos de Control  Marco deTrabajo de administración de riesgos.  Identificación de eventos.  Respuesta a los riesgos  Mantenimiento y monitoreo. PO10 ADMINISTRACIÓN DE PROYECTOS Objetivos de Control  Coordinación de todos los proyectos y programas deTI que se han establecido.  Incluir un Plan Maestro de recursos, asegurar y garantizar la calidad y definición de un plan formal.  Garantiza a laAdministración de los posibles Riesgos del Proyecto
  • 28. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) ADQUIRIR E IMPLANTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software AI3 Adquirir y mantener infraestructura AI4 Facilitar operación y uso AI5 Adquirir recursos deTI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
  • 29. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI1: Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen eficazmente. ¿Para qué? Actividades:  AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio  AI1.2 Reporte de análisis de riesgos  AI1.3Estudio de factibilidad y formulación de cursos de acción alternativos  AI1.4 Requerimientos, decisión de factibilidad y aprobación
  • 30. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI2:Adquirir y mantenersoftware Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. ¿Para qué? Actividades:  AI2.1 Diseño de alto nivel  AI2.2 Diseño detallado  AI2.3 Control y posibilidad de auditar las aplicaciones  AI2.4 Seguridad y disponibilidad de las aplicaciones  AI2.5 Configuración e implementación de software adquirido  AI2.6 Actualizaciones de sistemas  AI2.7 Desarrollo de software  AI2.8 Aseguramiento de la calidad  AI2.9 Administración de los requerimientos  AI2.10 Mantenimiento de software
  • 31. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI3:Adquirirymantener infraestructura tecnológica ¿Para qué? Para proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones. Actividades  AI3.1 Plan de adquisición de infraestructura tecnológica  AI3.2 Protección y disponibilidad del recurso de infraestructura  AI3.3 Mantenimiento de la infraestructura  AI3.4 Ambiente de prueba de factibilidad
  • 32. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI4: Facilitar la operación y el uso Este proceso requiere la generación de documentación y manuales para usuarios de TI, y proporcionar entrenamiento para garantizar el uso y la operación correcta de las aplicaciones y la infraestructura Actividades:  AI4.1 Plan para soluciones de operación  AI4.2 Transferencia de conocimiento a la gerencia del negocio  AI4.3 Transferencia de conocimiento a usuarios finales  AI4.4 Transferencia de conocimiento a personal de operaciones y soporte
  • 33. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI5:Adquirir recursos deTI Se deben suministrar recursos de TI. Esto requiere la definición y ejecución de los procedimientos de adquisición, elección de proveedores, etc. El hacerlo así, garantiza que la organización tenga todos los recursos necesarios de forma oportuna y rentable. Actividades:  AI5.1 Control de adquisición  AI5.2 Administración de contratos con proveedores  AI5.3 Selección de proveedores  AI5.4 Adquisición de recursos deTI
  • 34. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI6:Administrar cambios Todos los cambios, incluyendo el mantenimiento de emergencias y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben ser registrados, evaluado y autorizados. Esto garantiza la reducción de riesgos negativos para la organización. Actividades:  AI6.1 Estándares y procedimientos para cambios  AI6.2 Evaluación de impacto  AI6.3 Cambios de emergencia  AI6.4 Seguimiento y reporte de estado de cambio  AI6.5 Cierre y documentación del cambio
  • 35. Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) AI7:Instalary acreditar soluciones y cambios Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo termina. Esto requiere pruebas adecuadas. Se debe planear la liberación y transición al ambiente de producción. Actividades  AI7.1 Entrenamiento  AI7.2 Plan de prueba  AI7.3 Plan de implementación  AI7.4 Ambiente de prueba  AI7.5 Conversión de sistemas y datos  AI7.6 Pruebas de cambios  AI7.7 Prueba de aceptación final  AI7.8 Promoción a producción  AI7.9 Revisión posterior a implantación
  • 36. Tercer dominio: ENTREGARY DAR SOPORTE (DS) Entregar y dar soporte DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11Administrar los datos DS12 Administrar el ambiente físico DS13Administrar las operaciones
  • 37. Tercer dominio: ENTREGARY DAR SOPORTE (DS) Ds1:definir y administrarniveles de servicio Este domino se refiere a la comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. También incluye el monitoreo y la notificación oportuna a los participantes sobre el cumplimiento de los niveles de servicio. Actividades:  DS1.1 Marco de trabajo de la administración de los niveles de servicio  DS1.2 Definición de servicios  DS1.3 Acuerdo de niveles de servicio  DS1.4 Acuerdos de niveles de operación  DS1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio  DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos
  • 38. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS2:Administrar los servicios de terceros Clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Actividades:  DS2.1 Identificación de todas las relaciones con proveedores  DS2.2 Gestión de relaciones con proveedores  DS2.3 Administración de riesgos del proveedor  DS2.4 Monitoreo del desempeño del proveedor
  • 39. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS3:Administración de desempeño y capacidad Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. Actividades:  DS3.1 Planeación del desempeño y la capacidad  DS3.2 Capacidad y desempeño actual  DS3.3 Capacidad y desempeño futuros  DS3.4 Disponibilidad de recursos deTI  DS3.5 Monitoreo y reporte
  • 40. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS4:Garantizar la continuidaddelservicio Desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios deTI. Actividades:  DS4.1 Marco de trabajo de continuidad deTI  DS4.2 Planes de continuidad deTI  DS4.3 Recursos críticos deTI  DS4.4 Mantenimiento del plan de continuidad deTI  DS4.5 Pruebas del plan de continuidad deTI
  • 41. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS5:Garantizarla seguridadde los sistemas Salvaguardar la información contra uso no autorizado, divulgación, modificación, daño o pérdida. Actividades:  DS5.1 Administración de la seguridad deTI  DS5.2 Plan de seguridad deTI  DS5.3 Administración de identidad  DS5.4 Administración de cuentas de usuario  DS5.5 Pruebas, vigilancia y monitoreo. Actividades:  DS5.6 Definición de incidente de seguridad  DS5.7 Protección de la tecnología de seguridad  DS5.8 Administración de las llaves criptográficas  DS5.9 Detección de software malicioso  DS5.10 Seguridad de la red
  • 42. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS6:Identificar y asignarcostos Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Permite al negocio tomar decisiones más informadas respectos al uso de los servicios deTI. Actividades:  DS6.1 Definición de servicios  DS6.2 Contabilización deTI  DS6.3 Modelación de costos y cargos  DS6.4 Mantenimiento del modelo de costos
  • 43. Tercer dominio: ENTREGARY DAR SOPORTE (DS) DS7:Educar y entrenara los usuarios Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados Actividades: DS7.1 Identificación de necesidades de entrenamiento y educación DS7.2 Impartición de entrenamiento y educación DS7.3 Evaluación del entrenamiento recibido
  • 44. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS8:Administrar la mesa de servicio y los incidentes Asegurar que se responda de manera oportuna y efectiva a las consultas y problemas de los usuarios deTI Actividades:  DS8.1 Mesa de servicios  DS8.2 Registro de consultas de clientes  DS8.3 Escalamiento de incidentes  DS8.4 Cierre de incidentes  DS8.5 Análisis de tendencias
  • 45. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS9:Administración de configuración Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios Actividades:  DS9.1 Repositorio y línea base de configuración  DS9.2 Identificación y mantenimiento de elementos de configuración  DS9.3 Revisión de integridad de la configuración
  • 46. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS10:Administración de problemas Este proceso incluye la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de los mismos. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. Actividades:  DS10.1 Identificación y clasificación de problemas  DS10.2 Rastreo y resolución de problemas  DS10.3 Cierre de problemas  DS10.4 Integración de las administraciones de cambios, configuración y problemas
  • 47. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS11:Administración de datos Asegurar que los datos estén completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento Actividades:  DS11.1 Requerimientos del negocio para la administración de datos  DS11.2 Acuerdos de almacenamiento y conservación  DS11.3 Administración de librerías de medios  DS11.4 Eliminación  DS11.5 Respaldo y restauración  DS11.6 Requerimientos de seguridad para la administración de datos
  • 48. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS12:Administración del ambiente físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (polvo, fuego, calor excesivo) o fallas humanas. Actividades:  DS12.1 Selección y diseño del centro de datos  DS12.2 Medidas de seguridad física  DS12.3 Acceso físico  DS12.4 Protección contra factores ambientales  DS12.5 Administración de instalaciones físicas
  • 49. Tercer dominio: ENTREGARY DARSOPORTE (DS) DS13:Administración de operaciones Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware Actividades:  DS13.1 Procedimientos e instrucciones de operación  DS13.2 Programación de tareas  DS13.3 Monitoreo de la infraestructura  DS13.4 Documentos sensitivos y dispositivos de salida  DS13.5 Mantenimiento preventivo de hardware
  • 50. Cuarto dominio: Monitorear y Evaluar (ME) Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control ¿Se mide el desempeño deTI para detectar los problemas antes de que sea demasiado tarde? ¿La gerencia garantiza que los controles internos son efectivos y eficientes? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
  • 51. Cuarto dominio: Monitorear y Evaluar (ME) Actividades Monitorear y Evaluar ME1 Monitorear y Evaluar el desempeño deTI ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno deTI ME2 Monitorear y Evaluar el control interno
  • 52. Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel desempeño deTI Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio deTI de acuerdo con los requisitos de gobierno. Actividades: Acciones correctivas Evaluación del desempeño Reportes al consejo directivo Enfoque del monitoreo
  • 53. Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel control interno Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados  ME2.1 Monitoreo del marco de trabajo de control interno  ME2.2 Revisiones de auditoria  ME2.3 Excepciones de control  ME2.4Auto evaluación del control  ME2.5Aseguramiento del control interno  ME2.6 Control interno para terceros  ME2.7Acciones correctivas
  • 54. Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluarel control interno Las “situaciones a informar” son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, y que a su juicio afectan negativamente a la organización. Por ejemplo:  Ausencia de adecuada segregación de funciones  Falta de revisión y aprobación de transacciones  Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la organización  Violación intencional de los controles establecidos  Fallas en la protección de los activos
  • 55. Cuarto dominio: Monitorear y Evaluar (ME) ME3:Garantizarel cumplimiento regulatorio Cumplir las leyes y regulaciones deTI. ME3.1: Identificar las leyes y regulaciones con impacto potencial enTI ME3.2Optimizar la respuesta a requerimientos regulatorios ME3.3 Evaluación del cumplimiento con requerimientos regulatorios ME3.4Aseguramiento positivo del cumplimiento ME3.5 Reportes integrados
  • 56. Cuarto dominio: Monitorear y Evaluar (ME) ME4: Proporcionar gobiernodeTI La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones  Establecer un marco de trabajo de gobierno para TI  Alineamiento estratégico  Entrega de valor  Administración de recursos  Administración de riesgos  Medición del desempeño