SlideShare una empresa de Scribd logo

Cobit: Objetivos de control para la información y TI

Descargar como PPT, PDF
L
lilianaaburto
1 de 39
COBIT Administración de TI Integrantes: Aragón Valladolid, Javier Calixto Salazar, Martín UNI - FIIS 2012 - I
DEFINICIÓN DE COBIT OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA
QUÉ ES COBIT? • COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. • COBIT se utiliza para implementar el gobierno de TI y mejorar los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios.
QUÉ ES COBIT? • COBIT es un framework (infraestructura digital) de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. • COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones. • COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
MISIÓN COBIT Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología de información, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios. VISIÓN COBIT Ser el modelo de control para la TI.
Regla de Oro de COBIT Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
USUARIOS COBIT • La Gerencia: Apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible. • Los Usuarios Finales: Obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente. • Los Auditores: :Soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: Para identificar los controles que requieren en sus áreas. • Organismos estatales de control: Para saber que es lo mínimo que pueden exigir.
Principios COBIT REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI
REQUERIMIENTO DE INFORMACIÓN Se refiere a la información que es relevante para el negocio y que debe Efectividad ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisión de información Eficiencia a través del óptimo (más productivo y económico) uso de los recursos. Relativa a la protección de la Confidencialidad información sensitiva de su revelación no autorizada. Se refiere a la exactitud y completitud de la información, así como su validez, Integridad en concordancia con los valores y expectativas del negocio.
REQUERIMIENTO DE INFORMACIÓN Se refiere a que la información debe estar disponible cuando es requerida por los Disponibilidad procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a Cumplimiento los que están sujetos los procesos del negocio. Se refiere a la provisión de la información apropiada a la alta gerencia, para operar Confiabilidad la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión.
RECURSOS DE TI Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
RECURSOS DE TI
PROCESOS DE TI – LOS 3 NIVELES Agrupación natural de Dominios procesos, normalmente corresponden a una responsabilidad organizacional Procesos Conjuntos de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
RECURSOS DE TI IDENTIFICADOS EN COBIT • Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. • Este es el principio básico del marco de trabajo COBIT, como se ilustra en el CUBO COBIT
DOMINIOS DE TI • Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios.
MARCO DE TRABAJO GENERAL DEL COBIT 4. 3. 2. 1. 1. Definir un plan estratégico de TI Proporcionar gobierno de TI Garantizar el cumplimiento regulatorio Monitorear y Evaluar el control interno Monitorear y Evaluar el desempeño de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica CobiT 4. Definir la organización y relaciones de la Función TI 5. Administrar la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Administrar la Calidad 9. Evaluación y Administración de Riesgos 10. Administración de Proyectos Seguimiento Req. Información Efectividad, Eficiencia, Pla Confidencialidad, Integridad, Org neaci Disponibilidad, aniz ón y Cumplimiento, Confiabilidad ació n 1. Definición del nivel de servicio 2. Administración del servicio de terceros Recursos de TI 7. 6. 5. 4. 3. 2. 1. 3. Administración de la capacidad y el desempeño 4. Asegurar el servicio continuo Datos, Aplicaciones Adquisición e 5. Garantizar la seguridad del sistema Tecnología, Instalaciones, Implementación Instalar y acreditar soluciones y cambios Administrar Cambios Adquirir recursos de TI Facilitar la Operación y el uso Adquisición y mantenimiento de arquitect Adquisición y mantenimiento de SW aplic Identificación de soluciones 6. Identificación y asignación de costos 7. Capacitación de usuarios Recurso Humano 8. Soporte a los clientes de TI 9. Administración de la configuración 10. Administración de problemas e incidentes 11. Administración de datos 12. Administración de Instalaciones (Ambiente Físico) 13. Administración de Operaciones Prestación de Servicio y Soporte
DOMINIOS DE TI Planeación y Organización Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio. • ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas dentro de la organización los objetivos de TI? • ¿Se entienden y administran los riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Planeación y Organización 1. Definir un plan estratégico de TI Que satisface el requisito de negocio para Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional Toma en consideración • Definición de los objetivos de negocio y necesidades para las TI • Inventario de soluciones tecnológicas e infraestructura actual • Cambios organizativos • Estudio de viabilidad oportuno • Existencia de evaluaciones de sistemas 2. Definir la arquitectura de información Que satisface el requisito de negocio para Una mejor organización de los sistemas de información Toma en consideración • Documentación • Diccionario de datos • Reglas sintácticas de datos • Propiedad de datos y clasificación crítica
3. Determinar la dirección tecnológica Que satisface el requisito de negocio para Tomar ventaja de la tecnología disponible y emergente Toma en consideración • Adecuación y evolución de la capacidad de la infraestructura actual • Monitorización de los desarrollos tecnológicos • Contingencias • Planes de adquisición 4. Definir la organización y relaciones de la Función TI Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideración • Comité de dirección • Consejo de nivel de responsabilidad • Propiedad, custodia • Supervisión • Segregación de obligaciones • Roles y responsabilidades • Descripciones del trabajo • Provisión de niveles • Clave personal
Planeación y Organización 5. Administrar la inversión en TI Que satisface el requisito de negocio para Garantizar la consolidación y controlar el gasto de los recursos financieros Toma en consideración • Consolidación de alternativas • Control del gasto efectivo • Justificación de los costes • Justificación de los beneficios 6. Comunicación de la directrices Gerenciales Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideración • Código de conducta/ética • Directrices de tecnología • Conformidad • Comisión de calidad • Políticas de seguridad • Políticas de control interno
Planeación y Organización 7. Administración del Recurso Humano Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideración • Refuerzo y promoción • Requisitos de calidad • Entrenamiento • Construcción del conocimiento • Evaluación de la ejecución objetiva y medible 8. Administración de Calidad Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideración • Plan de estructura de la calidad • Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas • Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad
9. Evaluación de Riesgos Que satisface el requisito de negocio para De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideración • Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.) • Alcance: global o sistemas específicos • Metodología de análisis de riesgos • Medidas de riesgo cuantitativas y/o cualitativas • Plan de acción de riesgos 10. Administración de Proyectos Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideración • Marco de trabajo para la administración de programas de inversión en TI • Marco de trabajo para la administración de proyectos • Distribución de responsabilidades • Proyecto y fase de aprobación • Costes y presupuesto del personal • Planes de seguridad de la calidad y métodos •Recursos del proyecto
DOMINIOS DE TI Adquisición e Implementación  Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. • ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? • ¿Los cambios afectarán las operaciones actuales del negocio?
1. Identificación de soluciones Automatizadas Que satisface el requisito de negocio para Asegurar la mejor aproximación para satisfacer los requisitos del usuario Toma en consideración • Definición de la información de requisitos • Estudios factibles (costes, beneficios, alternativas, etc.) • Requisitos de usuario • Arquitectura de la información • Seguridad del coste-efectivo • Contratación externa 2. Adquisición y mantenimiento de SW aplicativo Que satisface el requisito de negocio para Suministrar funciones automáticas que soporten de forma efectiva los procesos de negocio Toma en consideración •Requisitos de usuario •Diseño detallado •Archivo, gasto, proceso y requisitos externos •Interfaz de la máquina-usuario •Controles de aplicación y requisitos de seguridad •Documentación
Adquisición e Implementación 3. Adquisición y mantenimiento de arquitectura TI Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Toma en consideración • Asentamiento de la tecnología • Mantenimiento del hardware preventivo • Seguridad del sistema software, instalación, mantenimiento y cambio de controles 4. Facilitar la operación y el uso Que satisface el requisito de negocio para Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio. Toma en consideración • Plan para soluciones de operación • Transferencia de conocimiento a la gerencia del negocio • Transferencia de conocimiento a usuarios finales • Transferencia de conocimiento al personal de operaciones y soporte
5. Adquirir recursos de TI Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio. Toma en consideración • Control de adquisición • Administración de contratos con proveedores • Selección de proveedores • Adquisición de software • Adquisición de recursos de desarrollo • Adquisición de infraestructura, instalaciones y servicios relacionados 6. Administrar cambios Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio. Toma en consideración •Estándares y procedimientos para cambios •Evaluación de impacto, priorización y autorización •Cambios de emergencia •Seguimiento y reporte del estatus de cambio •Cierre y documentación del cambio
Adquisición e Implementación 7. Instalar y acreditar soluciones y cambios Que satisface el requisito de negocio para Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Toma en consideración •Entrenamiento •Plan de prueba •Plan de implantación •Ambiente de prueba •Conversión de sistema y datos •Distribución del sistema
DOMINIOS DE TI Prestación de Servicios y Soporte Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Prestación de Servicio y Soporte 1. Definición del nivel de servicio Que satisface el requisito de negocio para Asegurar la alineación de los servicios claves de TI con la estrategia del negocio Toma en consideración • Definición de servicios • Definición de responsabilidades • Garantías de integridad • Monitoreo y reporte del cumplimento de los niveles de servicio • Revisión de los acuerdos de niveles de servicio y de los contratos 2. Administración del servicio de terceros Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes están definidas de forma clara, adheridas y continuar satisfaciendo los requisitos Toma en consideración • Identificación de las relaciones con todos los proveedores • Administración de las relaciones con los proveedores • Administración de riesgos del proveedor • Monitoreo del desempeño del proveedor
Prestación de Servicio y Soporte 3. Administración de la capacidad y el desempeño Que satisface el requisito de negocio para Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Toma en consideración • Disponibilidad y cumplimiento de los requisitos • Capacidad y desempeño actual • Capacidad y desempeño futuros • Disponibilidad de recursos TI • Monitoreo y reporte 4. Asegurar el servicio continuo Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor Toma en consideración • Clasificación crítica • Plan de continuidad documentado • Recursos críticos de TI • Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI
Prestación de Servicio y Soporte 5. Garantizar la seguridad del sistema Que satisface el requisito de negocio para Salvaguardar la información contra el uso no autorizado, descubrimiento o modificación, daño o pérdida Toma en consideración • Autorización • Autenticidad • Acceso • Uso de protección e identificación • Gestión de clave criptográfica • Detección y prevención de virus • Cortafuegos 6. Identificación y asignación de costos Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI Toma en consideración • Recursos identificables y medibles • Modelación de costos y cargos • Imponer valores
Prestación de Servicio y Soporte 7. Capacitación de usuarios Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados Toma en consideración • Plan de estudios de entrenamiento • Campañas de conocimiento • Técnicas de conocimiento 8. Soporte a los clientes de TI Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideración • Cuestiones del cliente y respuestas al problema • Monitorización de cuestiones y aclaraciones • Análisis de tendencias e información
Prestación de Servicio y Soporte 9. Administración de la configuración Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una gestión de cambio firme Toma en consideración • Medios de registro • Gestión del cambio de configuración • Chequeo del software no autorizado • Controles de almacenamiento de software 10. Administración de problemas e incidentes Que satisface el requisito de negocio para Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para prevenir una nueva aparición de estos Toma en consideración • Reglas suficientes de auditoría de problemas y soluciones • Resolución oportuna de problemas anunciados • Informes de incidentes
Prestación de Servicio y Soporte 11. Administración de datos Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y válidos durante su introducción, actualización y almacenamiento Toma en consideración • Diseño del modelo • Controles de entrada • Controles de proceso • Controles de salida • Almacenamiento multimedia y gestión de copias de seguridad • Autenticidad e integridad 1 Que satisface el requisito de negocio para Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideración • Identificación de la situación • Seguridad física • Salud y seguridad del personal • Protección de amenazas del entorno
Prestación de Servicio y Soporte 13. Administración de Operaciones Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideración • Manual de procedimiento de operaciones • Documentación del proceso puesto en marcha • Gestión de servicios de la red • Planificación del trabajo y el personal
DOMINIOS DE TI Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Monitoreo / Seguimiento 1. Monitorear y Evaluar el desempeño de TI Que satisface el requisito de negocio para Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. Toma en consideración •Método de monitoreo •Evaluación del desempeño •Reportes al consejo directivo y a ejecutivos •Acciones correctivas 2. Monitorear y evaluar el control interno Que satisface el requisito de negocio para Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Toma en consideración •Monitorear el marco de trabajo de control interno •Revisiones de Auditoría •Auto-evaluación de control •Control interno para terceros •Acciones correctivas
Monitoreo / Seguimiento 3. Garantizar el cumplimiento regulatorio Que satisface el requisito de negocio para Cumplir las leyes y regulaciones. Toma en consideración •Identificar las leyes y regulaciones con impacto potencial sobre TI •Optimizar la respuesta a requerimientos regulatorios •Evaluación del cumplimiento con requerimientos regulatorios •Aseguramiento positivo del cumplimiento •Reportes integrados 4. Proporcionar gobierno de TI Que satisface el requisito de negocio para La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideración •Establecer un marco de trabajo de gobierno para TI •Alineamiento estratégico •Entrega de valor •Administración de recursos •Administración de riesgos •Medición del desempeño
GRACIAS…

Recomendados

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Cobit
CobitCobit
Cobitjesumayen
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 

Recomendados

Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Cobit
CobitCobit
Cobitjesumayen
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Estandar cobit
Estandar cobit Estandar cobit
Estandar cobit fabiancamargo25
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
calidad de los sistemas de informacion
calidad de los sistemas de informacioncalidad de los sistemas de informacion
calidad de los sistemas de informacionErika Vazquez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
ITIL
ITILITIL
ITILsystemprisoners
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAddin Palencia Morales
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
Cobit 5 informe
Cobit 5 informeCobit 5 informe
Cobit 5 informeYarina Yauri Villanueva
 
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERNORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERMiguel Cabrera
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del softwareINSTITUTO GEOGRAFICO DE VENEZUELA SIMÓN BOLÍVAR
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Cobit
CobitCobit
CobitIstvan Alvear
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBITCarlos Chavez Monzón
 

Más contenido relacionado

La actualidad más candente

Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Nanet Martinez
 
calidad de los sistemas de informacion
calidad de los sistemas de informacioncalidad de los sistemas de informacion
calidad de los sistemas de informacionErika Vazquez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500arnoldvq16
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAddin Palencia Morales
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERNORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERMiguel Cabrera
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 

La actualidad más candente (20)

Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Estandar cobit
Estandar cobit Estandar cobit
Estandar cobit
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
calidad de los sistemas de informacion
calidad de los sistemas de informacioncalidad de los sistemas de informacion
calidad de los sistemas de informacion
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500
 
ITIL
ITILITIL
ITIL
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moquegua
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Cobit 5 informe
Cobit 5 informeCobit 5 informe
Cobit 5 informe
 
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTERNORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
NORMAS Y ESTÁNDARES DE AUDITORIA DATA CENTER
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informática
 

Similar a Cobit: Objetivos de control para la información y TI

PLANIFICACION Y ORGANIZACION-DOMINIO
PLANIFICACION Y ORGANIZACION-DOMINIOPLANIFICACION Y ORGANIZACION-DOMINIO
PLANIFICACION Y ORGANIZACION-DOMINIOEmy Cajilema
 
Planificacion organizacion evelin_tabango
Planificacion organizacion evelin_tabangoPlanificacion organizacion evelin_tabango
Planificacion organizacion evelin_tabangoEVELINTABANGO
 
Auditoria Planificación y Organización
Auditoria Planificación y OrganizaciónAuditoria Planificación y Organización
Auditoria Planificación y Organizaciónkarycaiza1
 
Planificación y organización
Planificación y organizaciónPlanificación y organización
Planificación y organizaciónTania Ramos
 
El cobit yadira
El cobit yadiraEl cobit yadira
El cobit yadiraYADICP
 
Presentación de planificación y organización
Presentación de planificación y organizaciónPresentación de planificación y organización
Presentación de planificación y organizaciónCecibel12
 
Dominio Planificacion y Organizacion Beatriz Criollo
Dominio Planificacion y Organizacion Beatriz CriolloDominio Planificacion y Organizacion Beatriz Criollo
Dominio Planificacion y Organizacion Beatriz CriolloBeatrizCriolloC
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organizaciónEDUARKON
 

Similar a Cobit: Objetivos de control para la información y TI (20)

Cobit
CobitCobit
Cobit
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
 
PLANIFICACION Y ORGANIZACION-DOMINIO
PLANIFICACION Y ORGANIZACION-DOMINIOPLANIFICACION Y ORGANIZACION-DOMINIO
PLANIFICACION Y ORGANIZACION-DOMINIO
 
Cobit
CobitCobit
Cobit
 
Planificacion organizacion evelin_tabango
Planificacion organizacion evelin_tabangoPlanificacion organizacion evelin_tabango
Planificacion organizacion evelin_tabango
 
Auditoria Planificación y Organización
Auditoria Planificación y OrganizaciónAuditoria Planificación y Organización
Auditoria Planificación y Organización
 
Planificación y organización
Planificación y organizaciónPlanificación y organización
Planificación y organización
 
El cobit yadira
El cobit yadiraEl cobit yadira
El cobit yadira
 
Presentación de planificación y organización
Presentación de planificación y organizaciónPresentación de planificación y organización
Presentación de planificación y organización
 
CsOBIT.ppt
CsOBIT.pptCsOBIT.ppt
CsOBIT.ppt
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Cobit
CobitCobit
Cobit
 
Cobit 77
Cobit 77Cobit 77
Cobit 77
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Dominio Planificacion y Organizacion Beatriz Criollo
Dominio Planificacion y Organizacion Beatriz CriolloDominio Planificacion y Organizacion Beatriz Criollo
Dominio Planificacion y Organizacion Beatriz Criollo
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
 
Cobit
CobitCobit
Cobit
 
Cobit Sandra Panchi
Cobit Sandra Panchi Cobit Sandra Panchi
Cobit Sandra Panchi
 
fff
ffffff
fff
 
Cobit mapa mental
Cobit mapa mentalCobit mapa mental
Cobit mapa mental
 

Cobit: Objetivos de control para la información y TI

  • 1. COBIT Administración de TI Integrantes: Aragón Valladolid, Javier Calixto Salazar, Martín UNI - FIIS 2012 - I
  • 2. DEFINICIÓN DE COBIT OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA
  • 3. QUÉ ES COBIT? • COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. • COBIT se utiliza para implementar el gobierno de TI y mejorar los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios.
  • 4. QUÉ ES COBIT? • COBIT es un framework (infraestructura digital) de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. • COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones. • COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
  • 5. MISIÓN COBIT Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología de información, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios. VISIÓN COBIT Ser el modelo de control para la TI.
  • 6. Regla de Oro de COBIT Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
  • 7. USUARIOS COBIT • La Gerencia: Apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible. • Los Usuarios Finales: Obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente. • Los Auditores: :Soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: Para identificar los controles que requieren en sus áreas. • Organismos estatales de control: Para saber que es lo mínimo que pueden exigir.
  • 8. Principios COBIT REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI
  • 9. REQUERIMIENTO DE INFORMACIÓN Se refiere a la información que es relevante para el negocio y que debe Efectividad ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisión de información Eficiencia a través del óptimo (más productivo y económico) uso de los recursos. Relativa a la protección de la Confidencialidad información sensitiva de su revelación no autorizada. Se refiere a la exactitud y completitud de la información, así como su validez, Integridad en concordancia con los valores y expectativas del negocio.
  • 10. REQUERIMIENTO DE INFORMACIÓN Se refiere a que la información debe estar disponible cuando es requerida por los Disponibilidad procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a Cumplimiento los que están sujetos los procesos del negocio. Se refiere a la provisión de la información apropiada a la alta gerencia, para operar Confiabilidad la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión.
  • 11. RECURSOS DE TI Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
  • 13. PROCESOS DE TI – LOS 3 NIVELES Agrupación natural de Dominios procesos, normalmente corresponden a una responsabilidad organizacional Procesos Conjuntos de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
  • 14. RECURSOS DE TI IDENTIFICADOS EN COBIT • Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. • Este es el principio básico del marco de trabajo COBIT, como se ilustra en el CUBO COBIT
  • 15. DOMINIOS DE TI • Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. COBIT define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios.
  • 16. MARCO DE TRABAJO GENERAL DEL COBIT 4. 3. 2. 1. 1. Definir un plan estratégico de TI Proporcionar gobierno de TI Garantizar el cumplimiento regulatorio Monitorear y Evaluar el control interno Monitorear y Evaluar el desempeño de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica CobiT 4. Definir la organización y relaciones de la Función TI 5. Administrar la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Administrar la Calidad 9. Evaluación y Administración de Riesgos 10. Administración de Proyectos Seguimiento Req. Información Efectividad, Eficiencia, Pla Confidencialidad, Integridad, Org neaci Disponibilidad, aniz ón y Cumplimiento, Confiabilidad ació n 1. Definición del nivel de servicio 2. Administración del servicio de terceros Recursos de TI 7. 6. 5. 4. 3. 2. 1. 3. Administración de la capacidad y el desempeño 4. Asegurar el servicio continuo Datos, Aplicaciones Adquisición e 5. Garantizar la seguridad del sistema Tecnología, Instalaciones, Implementación Instalar y acreditar soluciones y cambios Administrar Cambios Adquirir recursos de TI Facilitar la Operación y el uso Adquisición y mantenimiento de arquitect Adquisición y mantenimiento de SW aplic Identificación de soluciones 6. Identificación y asignación de costos 7. Capacitación de usuarios Recurso Humano 8. Soporte a los clientes de TI 9. Administración de la configuración 10. Administración de problemas e incidentes 11. Administración de datos 12. Administración de Instalaciones (Ambiente Físico) 13. Administración de Operaciones Prestación de Servicio y Soporte
  • 17. DOMINIOS DE TI Planeación y Organización Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio. • ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas dentro de la organización los objetivos de TI? • ¿Se entienden y administran los riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
  • 18. Planeación y Organización 1. Definir un plan estratégico de TI Que satisface el requisito de negocio para Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional Toma en consideración • Definición de los objetivos de negocio y necesidades para las TI • Inventario de soluciones tecnológicas e infraestructura actual • Cambios organizativos • Estudio de viabilidad oportuno • Existencia de evaluaciones de sistemas 2. Definir la arquitectura de información Que satisface el requisito de negocio para Una mejor organización de los sistemas de información Toma en consideración • Documentación • Diccionario de datos • Reglas sintácticas de datos • Propiedad de datos y clasificación crítica
  • 19. 3. Determinar la dirección tecnológica Que satisface el requisito de negocio para Tomar ventaja de la tecnología disponible y emergente Toma en consideración • Adecuación y evolución de la capacidad de la infraestructura actual • Monitorización de los desarrollos tecnológicos • Contingencias • Planes de adquisición 4. Definir la organización y relaciones de la Función TI Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideración • Comité de dirección • Consejo de nivel de responsabilidad • Propiedad, custodia • Supervisión • Segregación de obligaciones • Roles y responsabilidades • Descripciones del trabajo • Provisión de niveles • Clave personal
  • 20. Planeación y Organización 5. Administrar la inversión en TI Que satisface el requisito de negocio para Garantizar la consolidación y controlar el gasto de los recursos financieros Toma en consideración • Consolidación de alternativas • Control del gasto efectivo • Justificación de los costes • Justificación de los beneficios 6. Comunicación de la directrices Gerenciales Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideración • Código de conducta/ética • Directrices de tecnología • Conformidad • Comisión de calidad • Políticas de seguridad • Políticas de control interno
  • 21. Planeación y Organización 7. Administración del Recurso Humano Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideración • Refuerzo y promoción • Requisitos de calidad • Entrenamiento • Construcción del conocimiento • Evaluación de la ejecución objetiva y medible 8. Administración de Calidad Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideración • Plan de estructura de la calidad • Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas • Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad
  • 22. 9. Evaluación de Riesgos Que satisface el requisito de negocio para De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideración • Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.) • Alcance: global o sistemas específicos • Metodología de análisis de riesgos • Medidas de riesgo cuantitativas y/o cualitativas • Plan de acción de riesgos 10. Administración de Proyectos Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideración • Marco de trabajo para la administración de programas de inversión en TI • Marco de trabajo para la administración de proyectos • Distribución de responsabilidades • Proyecto y fase de aprobación • Costes y presupuesto del personal • Planes de seguridad de la calidad y métodos •Recursos del proyecto
  • 23. DOMINIOS DE TI Adquisición e Implementación  Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. • ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? • ¿Los cambios afectarán las operaciones actuales del negocio?
  • 24. 1. Identificación de soluciones Automatizadas Que satisface el requisito de negocio para Asegurar la mejor aproximación para satisfacer los requisitos del usuario Toma en consideración • Definición de la información de requisitos • Estudios factibles (costes, beneficios, alternativas, etc.) • Requisitos de usuario • Arquitectura de la información • Seguridad del coste-efectivo • Contratación externa 2. Adquisición y mantenimiento de SW aplicativo Que satisface el requisito de negocio para Suministrar funciones automáticas que soporten de forma efectiva los procesos de negocio Toma en consideración •Requisitos de usuario •Diseño detallado •Archivo, gasto, proceso y requisitos externos •Interfaz de la máquina-usuario •Controles de aplicación y requisitos de seguridad •Documentación
  • 25. Adquisición e Implementación 3. Adquisición y mantenimiento de arquitectura TI Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Toma en consideración • Asentamiento de la tecnología • Mantenimiento del hardware preventivo • Seguridad del sistema software, instalación, mantenimiento y cambio de controles 4. Facilitar la operación y el uso Que satisface el requisito de negocio para Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio. Toma en consideración • Plan para soluciones de operación • Transferencia de conocimiento a la gerencia del negocio • Transferencia de conocimiento a usuarios finales • Transferencia de conocimiento al personal de operaciones y soporte
  • 26. 5. Adquirir recursos de TI Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio. Toma en consideración • Control de adquisición • Administración de contratos con proveedores • Selección de proveedores • Adquisición de software • Adquisición de recursos de desarrollo • Adquisición de infraestructura, instalaciones y servicios relacionados 6. Administrar cambios Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio. Toma en consideración •Estándares y procedimientos para cambios •Evaluación de impacto, priorización y autorización •Cambios de emergencia •Seguimiento y reporte del estatus de cambio •Cierre y documentación del cambio
  • 27. Adquisición e Implementación 7. Instalar y acreditar soluciones y cambios Que satisface el requisito de negocio para Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Toma en consideración •Entrenamiento •Plan de prueba •Plan de implantación •Ambiente de prueba •Conversión de sistema y datos •Distribución del sistema
  • 28. DOMINIOS DE TI Prestación de Servicios y Soporte Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
  • 29. Prestación de Servicio y Soporte 1. Definición del nivel de servicio Que satisface el requisito de negocio para Asegurar la alineación de los servicios claves de TI con la estrategia del negocio Toma en consideración • Definición de servicios • Definición de responsabilidades • Garantías de integridad • Monitoreo y reporte del cumplimento de los niveles de servicio • Revisión de los acuerdos de niveles de servicio y de los contratos 2. Administración del servicio de terceros Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes están definidas de forma clara, adheridas y continuar satisfaciendo los requisitos Toma en consideración • Identificación de las relaciones con todos los proveedores • Administración de las relaciones con los proveedores • Administración de riesgos del proveedor • Monitoreo del desempeño del proveedor
  • 30. Prestación de Servicio y Soporte 3. Administración de la capacidad y el desempeño Que satisface el requisito de negocio para Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Toma en consideración • Disponibilidad y cumplimiento de los requisitos • Capacidad y desempeño actual • Capacidad y desempeño futuros • Disponibilidad de recursos TI • Monitoreo y reporte 4. Asegurar el servicio continuo Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor Toma en consideración • Clasificación crítica • Plan de continuidad documentado • Recursos críticos de TI • Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI
  • 31. Prestación de Servicio y Soporte 5. Garantizar la seguridad del sistema Que satisface el requisito de negocio para Salvaguardar la información contra el uso no autorizado, descubrimiento o modificación, daño o pérdida Toma en consideración • Autorización • Autenticidad • Acceso • Uso de protección e identificación • Gestión de clave criptográfica • Detección y prevención de virus • Cortafuegos 6. Identificación y asignación de costos Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI Toma en consideración • Recursos identificables y medibles • Modelación de costos y cargos • Imponer valores
  • 32. Prestación de Servicio y Soporte 7. Capacitación de usuarios Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados Toma en consideración • Plan de estudios de entrenamiento • Campañas de conocimiento • Técnicas de conocimiento 8. Soporte a los clientes de TI Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideración • Cuestiones del cliente y respuestas al problema • Monitorización de cuestiones y aclaraciones • Análisis de tendencias e información
  • 33. Prestación de Servicio y Soporte 9. Administración de la configuración Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una gestión de cambio firme Toma en consideración • Medios de registro • Gestión del cambio de configuración • Chequeo del software no autorizado • Controles de almacenamiento de software 10. Administración de problemas e incidentes Que satisface el requisito de negocio para Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para prevenir una nueva aparición de estos Toma en consideración • Reglas suficientes de auditoría de problemas y soluciones • Resolución oportuna de problemas anunciados • Informes de incidentes
  • 34. Prestación de Servicio y Soporte 11. Administración de datos Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y válidos durante su introducción, actualización y almacenamiento Toma en consideración • Diseño del modelo • Controles de entrada • Controles de proceso • Controles de salida • Almacenamiento multimedia y gestión de copias de seguridad • Autenticidad e integridad 1 Que satisface el requisito de negocio para Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideración • Identificación de la situación • Seguridad física • Salud y seguridad del personal • Protección de amenazas del entorno
  • 35. Prestación de Servicio y Soporte 13. Administración de Operaciones Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideración • Manual de procedimiento de operaciones • Documentación del proceso puesto en marcha • Gestión de servicios de la red • Planificación del trabajo y el personal
  • 36. DOMINIOS DE TI Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
  • 37. Monitoreo / Seguimiento 1. Monitorear y Evaluar el desempeño de TI Que satisface el requisito de negocio para Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. Toma en consideración •Método de monitoreo •Evaluación del desempeño •Reportes al consejo directivo y a ejecutivos •Acciones correctivas 2. Monitorear y evaluar el control interno Que satisface el requisito de negocio para Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Toma en consideración •Monitorear el marco de trabajo de control interno •Revisiones de Auditoría •Auto-evaluación de control •Control interno para terceros •Acciones correctivas
  • 38. Monitoreo / Seguimiento 3. Garantizar el cumplimiento regulatorio Que satisface el requisito de negocio para Cumplir las leyes y regulaciones. Toma en consideración •Identificar las leyes y regulaciones con impacto potencial sobre TI •Optimizar la respuesta a requerimientos regulatorios •Evaluación del cumplimiento con requerimientos regulatorios •Aseguramiento positivo del cumplimiento •Reportes integrados 4. Proporcionar gobierno de TI Que satisface el requisito de negocio para La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideración •Establecer un marco de trabajo de gobierno para TI •Alineamiento estratégico •Entrega de valor •Administración de recursos •Administración de riesgos •Medición del desempeño