Cobit: Objetivos de control para la información y TI
1. COBIT
Administración de TI
Integrantes:
Aragón Valladolid, Javier
Calixto Salazar, Martín
UNI - FIIS
2012 - I
2. DEFINICIÓN DE COBIT
OBJETIVOS DE CONTROL PARA LA
INFORMACION Y LA TECNOLOGIA
RELACIONADA
3. QUÉ ES COBIT?
• COBIT es el marco aceptado internacionalmente como
una buena práctica para el control de la información, TI
y los riesgos que conllevan.
• COBIT se utiliza para implementar el gobierno de TI y
mejorar los controles de TI. Contiene objetivos de
control, directivas de aseguramiento, medidas de
desempeño y resultados, factores críticos de éxito y
modelos de madurez para ayudar a las organizaciones a
satisfacer con éxito los desafíos de los negocios.
4. QUÉ ES COBIT?
• COBIT es un framework (infraestructura digital) de
Gobierno de TI y un conjunto de herramientas de soporte
para el gobierno de T.I. que les permite a los gerentes cubrir
la brecha entre los requerimientos de control, los aspectos
técnicos y riesgos de negocio.
• COBIT hace posible el desarrollo de una política clara y las
buenas prácticas para los controles de T.I. a través de las
organizaciones.
• COBIT enfatiza en la conformidad a regulaciones, ayuda a las
organizaciones a incrementar el valor alcanzado desde la TI,
permite el alineamiento y simplifica la implementación de la
estructura COBIT.
5. MISIÓN COBIT
Investigar, desarrollar, publicar y promover un conjunto de
objetivos de control para tecnología de información, que
sea internacional y este actualizado para uso cotidiano de
gerentes, auditores y usuarios.
VISIÓN COBIT
Ser el modelo de control para la TI.
6. Regla de Oro de COBIT
Para proveer la información que requiere la
organización para lograr sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos,
agrupados de forma adecuada y ejecutados acorde a
prácticas normalmente aceptadas.
7. USUARIOS COBIT
• La Gerencia: Apoyo a decisiones de inversión en TI y control sobre su
desempeño, balanceo del riesgo y el control de la inversión en un
ambiente a menudo impredecible.
• Los Usuarios Finales: Obtienen una garantía sobre el control y seguridad
de los productos que adquieren interna y externamente.
• Los Auditores: :Soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control
mínimo requerido.
• Los Responsables de TI: Para identificar los controles que requieren en
sus áreas.
• Organismos estatales de control: Para saber que es lo mínimo que
pueden exigir.
8. Principios COBIT
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
9. REQUERIMIENTO DE INFORMACIÓN
Se refiere a la información que es
relevante para el negocio y que debe
Efectividad
ser entregada de manera correcta,
oportuna, consistente y usable.
Se refiere a la provisión de información
Eficiencia a través del óptimo (más productivo y
económico) uso de los recursos.
Relativa a la protección de la
Confidencialidad información sensitiva de su revelación
no autorizada.
Se refiere a la exactitud y completitud
de la información, así como su validez,
Integridad
en concordancia con los valores y
expectativas del negocio.
10. REQUERIMIENTO DE INFORMACIÓN
Se refiere a que la información debe estar
disponible cuando es requerida por los
Disponibilidad procesos del negocio ahora y en el futuro.
Involucra la salvaguarda de los recursos y
sus capacidades asociadas.
Se refiere a cumplir con aquellas leyes,
regulaciones y acuerdos contractuales, a
Cumplimiento
los que están sujetos los procesos del
negocio.
Se refiere a la provisión de la información
apropiada a la alta gerencia, para operar
Confiabilidad la entidad y para ejercer sus
responsabilidades financieras y de cumplir
con los reportes de su gestión.
11. RECURSOS DE TI
Datos: Todos los objetos de información. Considera información interna y
externa, estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Entendido como los sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: Incluye hardware y software básico, sistemas operativos,
sistemas de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de información.
Recurso Humano: Por la habilidad, conciencia y productividad del personal
para planear, adquirir, prestar servicios, dar soporte y monitorear los
sistemas de Información.
13. PROCESOS DE TI – LOS 3 NIVELES
Agrupación natural de
Dominios procesos, normalmente
corresponden a una
responsabilidad organizacional
Procesos
Conjuntos de actividades
unidas con delimitación o
cortes de control.
Actividades
o tareas Acciones requeridas para
lograr un resultado medible.
Las Actividades tienen un ciclo
de vida mientras que las tareas
son discretas.
14. RECURSOS DE TI IDENTIFICADOS EN COBIT
• Para resumir, los recursos de
TI son manejados por
procesos de TI para lograr
metas de TI que respondan
a los requerimientos del
negocio.
• Este es el principio básico
del marco de trabajo
COBIT, como se ilustra en el
CUBO COBIT
15. DOMINIOS DE TI
• Para gobernar efectivamente TI, es importante
determinar las actividades y los riesgos que
requieren ser administrados. Normalmente se
ordenan dentro de dominios de responsabilidad
de plan, construir, ejecutar y Monitorear. COBIT
define las actividades de TI en un modelo de 34
procesos genéricos agrupados en 4 dominios.
16. MARCO DE TRABAJO GENERAL DEL COBIT
4.
3.
2.
1.
1. Definir un plan estratégico de TI
Proporcionar gobierno de TI
Garantizar el cumplimiento regulatorio
Monitorear y Evaluar el control interno
Monitorear y Evaluar el desempeño de TI
2. Definir la arquitectura de información
3. Determinar la dirección tecnológica
CobiT
4. Definir la organización y relaciones de la
Función TI
5. Administrar la inversión en TI
6. Comunicación de la directrices Gerenciales
7. Administración del Recurso Humano
8. Administrar la Calidad
9. Evaluación y Administración de Riesgos
10. Administración de Proyectos
Seguimiento Req. Información
Efectividad, Eficiencia, Pla
Confidencialidad, Integridad, Org neaci
Disponibilidad, aniz ón y
Cumplimiento, Confiabilidad ació
n
1. Definición del nivel de servicio
2. Administración del servicio de terceros
Recursos de TI
7.
6.
5.
4.
3.
2.
1.
3. Administración de la capacidad y el desempeño
4. Asegurar el servicio continuo
Datos, Aplicaciones
Adquisición e
5. Garantizar la seguridad del sistema
Tecnología, Instalaciones, Implementación
Instalar y acreditar soluciones y cambios
Administrar Cambios
Adquirir recursos de TI
Facilitar la Operación y el uso
Adquisición y mantenimiento de arquitect
Adquisición y mantenimiento de SW aplic
Identificación de soluciones
6. Identificación y asignación de costos
7. Capacitación de usuarios Recurso Humano
8. Soporte a los clientes de TI
9. Administración de la configuración
10. Administración de problemas e incidentes
11. Administración de datos
12. Administración de Instalaciones (Ambiente Físico)
13. Administración de Operaciones
Prestación de
Servicio y
Soporte
17. DOMINIOS DE TI
Planeación y Organización
Se vincula con la identificación de la forma en que la tecnología de
información puede contribuir de la manera más adecuada con el logro de los
objetivos del negocio.
• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está
alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas
dentro de la organización los objetivos de TI? • ¿Se entienden y administran los
riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
18. Planeación y
Organización
1. Definir un plan estratégico de TI
Que satisface el requisito de negocio para
Hallar un balance óptimo de oportunidades de tecnología de la información y los
requisitos de negocio así como también asegurar su realización adicional
Toma en consideración
• Definición de los objetivos de negocio y necesidades para las TI
• Inventario de soluciones tecnológicas e infraestructura actual
• Cambios organizativos
• Estudio de viabilidad oportuno
• Existencia de evaluaciones de sistemas
2. Definir la arquitectura de información
Que satisface el requisito de negocio para
Una mejor organización de los sistemas de información
Toma en consideración
• Documentación
• Diccionario de datos
• Reglas sintácticas de datos
• Propiedad de datos y clasificación crítica
19. 3. Determinar la dirección tecnológica
Que satisface el requisito de negocio para
Tomar ventaja de la tecnología disponible y emergente
Toma en consideración
• Adecuación y evolución de la capacidad de la infraestructura actual
• Monitorización de los desarrollos tecnológicos
• Contingencias
• Planes de adquisición
4. Definir la organización y relaciones de la Función TI
Que satisface el requisito de negocio para
Entregar los servicios de las TI
Toma en consideración
• Comité de dirección
• Consejo de nivel de responsabilidad
• Propiedad, custodia
• Supervisión
• Segregación de obligaciones
• Roles y responsabilidades
• Descripciones del trabajo
• Provisión de niveles
• Clave personal
20. Planeación y
Organización
5. Administrar la inversión en TI
Que satisface el requisito de negocio para
Garantizar la consolidación y controlar el gasto de los recursos financieros
Toma en consideración
• Consolidación de alternativas
• Control del gasto efectivo
• Justificación de los costes
• Justificación de los beneficios
6. Comunicación de la directrices Gerenciales
Que satisface el requisito de negocio para
Garantizar el conocimiento del usuario y entendimiento de esos fines
Toma en consideración
• Código de conducta/ética
• Directrices de tecnología
• Conformidad
• Comisión de calidad
• Políticas de seguridad
• Políticas de control interno
21. Planeación y
Organización
7. Administración del Recurso Humano
Que satisface el requisito de negocio para
Maximizar las contribuciones del personal a los procesos de TI
Toma en consideración
• Refuerzo y promoción
• Requisitos de calidad
• Entrenamiento
• Construcción del conocimiento
• Evaluación de la ejecución objetiva y medible
8. Administración de Calidad
Que satisface el requisito de negocio para
La mejora continua y medible de la calidad de los servicios prestados por TI
Toma en consideración
• Plan de estructura de la calidad
• Estándares y prácticas de calidad
• Metodología del ciclo de vida del desarrollo del sistemas
• Estándares de desarrollo y de adquisición
• Medición, monitoreo y revisión de la calidad
22. 9. Evaluación de Riesgos
Que satisface el requisito de negocio para
De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el
suministro de los servicios de TI
Toma en consideración
• Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.)
• Alcance: global o sistemas específicos
• Metodología de análisis de riesgos
• Medidas de riesgo cuantitativas y/o cualitativas
• Plan de acción de riesgos
10. Administración de Proyectos
Que satisface el requisito de negocio para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y
calidad acordados.
Toma en consideración
• Marco de trabajo para la administración de programas de inversión en TI
• Marco de trabajo para la administración de proyectos
• Distribución de responsabilidades
• Proyecto y fase de aprobación
• Costes y presupuesto del personal
• Planes de seguridad de la calidad y métodos
•Recursos del proyecto
23. DOMINIOS DE TI
Adquisición e Implementación
Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos
sistemas.
• ¿Los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio? • ¿Los nuevos proyectos son
entregados a tiempo y dentro del presupuesto? • ¿Trabajarán
adecuadamente los nuevos sistemas una vez sean
implementados? • ¿Los cambios afectarán las operaciones
actuales del negocio?
24. 1. Identificación de soluciones Automatizadas
Que satisface el requisito de negocio para
Asegurar la mejor aproximación para satisfacer los requisitos del usuario
Toma en consideración
• Definición de la información de requisitos
• Estudios factibles (costes, beneficios, alternativas, etc.)
• Requisitos de usuario
• Arquitectura de la información
• Seguridad del coste-efectivo
• Contratación externa
2. Adquisición y mantenimiento de SW aplicativo
Que satisface el requisito de negocio para
Suministrar funciones automáticas que soporten de forma efectiva los procesos de
negocio
Toma en consideración
•Requisitos de usuario
•Diseño detallado
•Archivo, gasto, proceso y requisitos externos
•Interfaz de la máquina-usuario
•Controles de aplicación y requisitos de seguridad
•Documentación
25. Adquisición e
Implementación
3. Adquisición y mantenimiento de arquitectura TI
Que satisface el requisito de negocio para
Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI
Toma en consideración
• Asentamiento de la tecnología
• Mantenimiento del hardware preventivo
• Seguridad del sistema software, instalación, mantenimiento y cambio de controles
4. Facilitar la operación y el uso
Que satisface el requisito de negocio para
Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y
de forma transparente integrar las soluciones de aplicación y tecnología dentro de los
procesos del negocio.
Toma en consideración
• Plan para soluciones de operación
• Transferencia de conocimiento a la gerencia del negocio
• Transferencia de conocimiento a usuarios finales
• Transferencia de conocimiento al personal de operaciones y soporte
26. 5. Adquirir recursos de TI
Que satisface el requisito de negocio para
Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio.
Toma en consideración
• Control de adquisición
• Administración de contratos con proveedores
• Selección de proveedores
• Adquisición de software
• Adquisición de recursos de desarrollo
• Adquisición de infraestructura, instalaciones y servicios relacionados
6. Administrar cambios
Que satisface el requisito de negocio para
Responder a los requerimientos del negocio de acuerdo con la estrategia de
negocio.
Toma en consideración
•Estándares y procedimientos para cambios
•Evaluación de impacto, priorización y autorización
•Cambios de emergencia
•Seguimiento y reporte del estatus de cambio
•Cierre y documentación del cambio
27. Adquisición e
Implementación
7. Instalar y acreditar soluciones y cambios
Que satisface el requisito de negocio para
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes
después de la instalación
Toma en consideración
•Entrenamiento
•Plan de prueba
•Plan de implantación
•Ambiente de prueba
•Conversión de sistema y datos
•Distribución del sistema
28. DOMINIOS DE TI
Prestación de Servicios y Soporte
Prestación efectiva de los servicios requeridos, comprenden desde las
operaciones tradicionales sobre aspectos de seguridad y continuidad
hasta capacitación.
•¿Se están entregando los servicios de TI de acuerdo con las prioridades
del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza
de trabajo de utilizar los sistemas de TI de manera productiva y segura?
•¿Están implantadas de forma adecuada la confidencialidad, la
integridad y la disponibilidad?
29. Prestación de Servicio y
Soporte
1. Definición del nivel de servicio
Que satisface el requisito de negocio para
Asegurar la alineación de los servicios claves de TI con la estrategia del negocio
Toma en consideración
• Definición de servicios
• Definición de responsabilidades
• Garantías de integridad
• Monitoreo y reporte del cumplimento de los niveles de servicio
• Revisión de los acuerdos de niveles de servicio y de los contratos
2. Administración del servicio de terceros
Que satisface el requisito de negocio para
Asegurar que las reglas y las responsabilidades de terceras partes están definidas de
forma clara, adheridas y continuar satisfaciendo los requisitos
Toma en consideración
• Identificación de las relaciones con todos los proveedores
• Administración de las relaciones con los proveedores
• Administración de riesgos del proveedor
• Monitoreo del desempeño del proveedor
30. Prestación de Servicio y
Soporte
3. Administración de la capacidad y el desempeño
Que satisface el requisito de negocio para
Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en
respuesta a las necesidades del negocio.
Toma en consideración
• Disponibilidad y cumplimiento de los requisitos
• Capacidad y desempeño actual
• Capacidad y desempeño futuros
• Disponibilidad de recursos TI
• Monitoreo y reporte
4. Asegurar el servicio continuo
Que satisface el requisito de negocio para
Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de
negocio mínimo en caso de una ruptura mayor
Toma en consideración
• Clasificación crítica
• Plan de continuidad documentado
• Recursos críticos de TI
• Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI
31. Prestación de Servicio y
Soporte
5. Garantizar la seguridad del sistema
Que satisface el requisito de negocio para
Salvaguardar la información contra el uso no autorizado, descubrimiento o
modificación, daño o pérdida
Toma en consideración
• Autorización
• Autenticidad
• Acceso
• Uso de protección e identificación
• Gestión de clave criptográfica
• Detección y prevención de virus
• Cortafuegos
6. Identificación y asignación de costos
Que satisface el requisito de negocio para
Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI
Toma en consideración
• Recursos identificables y medibles
• Modelación de costos y cargos
• Imponer valores
32. Prestación de Servicio y
Soporte
7. Capacitación de usuarios
Que satisface el requisito de negocio para
Asegurar que los usuarios son eficientes en el uso de la tecnología y que son
conscientes de los riesgos y responsabilidades en las que están involucrados
Toma en consideración
• Plan de estudios de entrenamiento
• Campañas de conocimiento
• Técnicas de conocimiento
8. Soporte a los clientes de TI
Que satisface el requisito de negocio para
Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de
las consultas de los usuarios finales, incidentes y preguntas.
Toma en consideración
• Cuestiones del cliente y respuestas al problema
• Monitorización de cuestiones y aclaraciones
• Análisis de tendencias e información
33. Prestación de Servicio y
Soporte
9. Administración de la configuración
Que satisface el requisito de negocio para
Considerar todos los componentes de TI, prevenir alteraciones no autorizadas,
verificar la existencia física y proveer de un fundamento para una gestión de cambio
firme
Toma en consideración
• Medios de registro
• Gestión del cambio de configuración
• Chequeo del software no autorizado
• Controles de almacenamiento de software
10. Administración de problemas e incidentes
Que satisface el requisito de negocio para
Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para
prevenir una nueva aparición de estos
Toma en consideración
• Reglas suficientes de auditoría de problemas y soluciones
• Resolución oportuna de problemas anunciados
• Informes de incidentes
34. Prestación de Servicio y
Soporte
11. Administración de datos
Que satisface el requisito de negocio para
Asegurar que los datos permanecen completos, correctos y válidos durante su
introducción, actualización y almacenamiento
Toma en consideración
• Diseño del modelo
• Controles de entrada
• Controles de proceso
• Controles de salida
• Almacenamiento multimedia y gestión de copias de seguridad
• Autenticidad e integridad
1
Que satisface el requisito de negocio para
Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las
personas contra riesgos naturales y riesgos provocados por el hombre
Toma en consideración
• Identificación de la situación
• Seguridad física
• Salud y seguridad del personal
• Protección de amenazas del entorno
35. Prestación de Servicio y
Soporte
13. Administración de Operaciones
Que satisface el requisito de negocio para
Asegurar que las funciones importantes soportadas de las TI son realizadas
regularmente y de una forma ordenada
Toma en consideración
• Manual de procedimiento de operaciones
• Documentación del proceso puesto en marcha
• Gestión de servicios de la red
• Planificación del trabajo y el personal
36. DOMINIOS DE TI
Monitoreo/Seguimiento
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.
•¿Se mide el desempeño de TI para detectar los problemas antes de que
sea demasiado tarde? •¿La Gerencia garantiza que los controles
internos son efectivos y eficientes? •¿Puede vincularse el desempeño de
lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan
los riesgos, el control, el cumplimiento y el desempeño?
37. Monitoreo /
Seguimiento
1. Monitorear y Evaluar el desempeño de TI
Que satisface el requisito de negocio para
Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles
de servicio de TI de acuerdo con los requisitos de gobierno.
Toma en consideración
•Método de monitoreo
•Evaluación del desempeño
•Reportes al consejo directivo y a ejecutivos
•Acciones correctivas
2. Monitorear y evaluar el control interno
Que satisface el requisito de negocio para
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados
con TI.
Toma en consideración
•Monitorear el marco de trabajo de control interno
•Revisiones de Auditoría
•Auto-evaluación de control
•Control interno para terceros
•Acciones correctivas
38. Monitoreo /
Seguimiento
3. Garantizar el cumplimiento regulatorio
Que satisface el requisito de negocio para
Cumplir las leyes y regulaciones.
Toma en consideración
•Identificar las leyes y regulaciones con impacto potencial sobre TI
•Optimizar la respuesta a requerimientos regulatorios
•Evaluación del cumplimiento con requerimientos regulatorios
•Aseguramiento positivo del cumplimiento
•Reportes integrados
4. Proporcionar gobierno de TI
Que satisface el requisito de negocio para
La integración de un gobierno de TI con objetivos de gobierno corporativo y el
cumplimiento con las leyes y regulaciones
Toma en consideración
•Establecer un marco de trabajo de gobierno para TI
•Alineamiento estratégico
•Entrega de valor
•Administración de recursos
•Administración de riesgos
•Medición del desempeño