2. Misión: “Para investigar, desarrollar, publicar y
promover un conjunto actualizado e internacional
de objetivos de control de Tecnología de la
Información generalmente aceptado, para su uso
diario por los administradores del negocio y los
auditores”.
Asociación de
Auditoría y Control
de Sistemas de
Información
(ISACATM
)
Fundación de
Auditoría y Control
de Sistemas de
Información
(ISACFTM
)
3. 4
Es el resultado de uno de los mayores
proyectos de investigacion completado y
publicado por la Organización Mundial de
Auditores de Sistemas de Informacion
(ISACF).
Es aplicable a un amplio rango de SI
que van desde el nivel de PC,
Mainframes e instalaciones Cliente-
Servidor.
COBIT
5. Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
COBIT: Gobierno de TI de las Empresas
(GEIT)
Evolución
del
Alcance
1996 1998 2000 2005/7 2012
Val IT 2.0
(2008)
Risk IT
(2009)
6. ¿Qué es Cobit?
⁻ COBIT es un marco de gobierno de las tecnologías de
información que proporciona una serie de herramientas
para que la gerencia pueda conectar los requerimientos de
control con los aspectos técnicos y los riesgos del negocio
⁻ COBIT permite el desarrollo de las políticas y buenas
prácticas para el control de las tecnologías en toda la
organización
⁻ COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a través de las
tecnologías, y permite su alineamiento con los objetivos
del negocio
⁻ Información disponible en: www.isaca.org/cobit
6
7. Compendio de mejores prácticas aceptadas
internacionalmente
Orientado al gerenciamiento de las tecnologías
Complementado con herramientas y capacitación
Gratuito
Respaldado por una comunidad de expertos
En evolución permanente
Mantenido por una organización sin
fines de lucro, con
reconocimiento internacional
Mapeado con otros estándares
Orientado a Procesos, sobre la base
de Dominios de Responsabilidad
8.
9.
10. El marco de referencia COBIT
Fusiona las
expectativas
con las
responsabilidades
de la dirección de TI
La necesidad de control de TI
* Directivos
* Usuarios
* Auditores
11.
12. Los usuarios necesitan COBIT para
12
Obtener confianza sobre la seguridad y controles de
Productos y servicios proporcionados por personal
interno y terceros
Los auditores de SI necesitan COBIT para
•Sustentar opiniones a la dirección sobre controles
internos
•Contestar a la pregunta:
¿Qué mínimos controles son necesarios?
13. 14
Cobit, brinda buenas práctica a través de un marco
de trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y lógica.
Las buenas prácticas de Cobit representan el
consenso de los expertos. Están enfocados
fuertemente en el control y menos en la ejecució
14. IT Governance. Es un término
que representa el sistema que
establece la alta gerencia para
asegurar el logro de los
objetivos de una organización.
Gobierno de TI
14
15. TI está alineado con el negocio
TI capacitael negocio y
maximiza los beneficios
Los recursos de TI se
usen de manera responsable
Los riesgos de TI se
administren apropiadamente
Cobit como soporte
15
16.
17. Gobierno
de TI
Administración
de Recursos
Alineamiento estratégico: Su enfoque
está dirigido a la relación entre el Negocio
y el Plan de TI; a la propuesta de valor
que debe entregar su definición, a la
mantención y validación.
Valor Agregado: Es el ciclo que permite
asegurar la entrega del valor propuesto,
asegurando que la TI proporcionará los
beneficios prometidos en la estrategia
Administración de Recursos: Se trata
de invertir en forma óptima y apropiada,
la administración de los recursos críticos
en TI: Aplicaciones, Información,
Infraestructura y las Personas.
Áreas de enfoque del Gobierno de TI
18. Gobierno
de TI
Administración
de Recursos
Administración del Riesgo: El
administrador debe tener conciencia del
riesgo empresarial, un claro
entendimiento del apetito de la empresa
por el riesgo, transparencia sobre el
significado de los riesgos empresariales, y
que debe incorporar la responsabilidad de
los riesgos empresariales en la
administración de la organización.
Medición de Resultados: rastrea y
monitorea la estrategia de
implementación, la terminación del
proyecto, el uso de los recursos.
Áreas de enfoque del Gobierno de TI
19. Los productos se han organizado en tres
niveles (figura 3) diseñados para dar
soporte a:
Administración y consejos ejecutivos
Administración del negocio y de TI
Profesionales en gobierno
aseguramiento, control y seguridad
20.
21.
22. Cobit, permite el desarrollo de
políticas claras y de buenas prácticas
para el control de TI a través de las
organizaciones.
Cobit, es un integrador de las mejores
prácticas de TI y el marco de
referencia general para el gobierno de
TI que ayuda a comprender y
administrar los riesgos.
23. Se basa en
proporcionar la información
el principio de
que la
empresa requiere para lograr sus
objetivos, la empresa necesita
administrar y controlar los recursos
de TI, usando un conjunto
estructurado de procesos que
ofrezcan los servicios requeridos de
información.
23
24. Por qué: La alta gerencia se da cuenta del
impacto significativo que la información puede tener en el
éxito de una empresa.
Garantizar el logro de objetivos?
Administrar los riesgos?
Crear relaciones y comunicaciones constructivas?
Identificar los recursos?.
24
25. Quién: Un marco de control requiere dar
respuestas en muchos niveles:
Interesados dentro de la empresa
que tengan un interés en generar
valor de las inversiones en TI;
Interesados que proporcionan
servicios de TI;
Interesados con responsabilidades
de control/riesgo.
26. Qué: debe satisfacer:
objetivos de
Alineación entre los
negocio y de TI;
Proporcionar un lenguaje común;
Orientación a procesosparadefinir
el alcance y el grado de cobertura;
Consistente con las mejores prácticas
y estándares de TI aceptados.
26
27. REQUERIMIENTOS
DE NEGOCIO
INFORMACION DE
LA EMPRESA
?
PROCESOS DE TI
Principio básico de Cobit
RECURSOS DE TI
COBIT
Que responde a
Maneja la investigación en
Que es utilizado por
Para entregar
28.
29.
30.
31. Controles
Los procesos requieren controles.
Control se define como
procedimientos, prácticas
las políticas,
y estructuras
organizacionales diseñadas para brindar una
seguridad razonable que los objetivos del
negocio se alcanzarán, y los eventos no
deseados serán prevenidos o detectados y
corregidos.
31
32. Objetivo de Control
Es una declaración del resultado o fin
que se desea lograr al implantar
procedimientos de control en una
actividad de TI en particular.
Los objetivos de control de Cobit son los
requerimientos mínimos para un control
efectivo de cada proceso de TI.
32
33.
34. IMCM
Una necesidad básica de toda empresa
es entender el estado de sus propios
sistemas de TI y decidir qué nivel de
Administración y control debe proporcionar la
empresa.
Qué se debe medir y cómo?
34
35. Una organización debe crear un modelo
directrices establecidas por
de proceso que se ajuste a las
la
integración del modelo de capacidad de
madurez (IMCM)
36.
37.
38.
39.
40. Las metas se definen de arriba hacia
abajo con base en las metas de negocio
que determinarán el número de metas
que soportará TI, las metas de TI
decidirán las diferentes necesidades de
las metas de proceso, y cada meta,
establecerá las metas de las actividades.
41. Procesos de TIC
- Los Tres Niveles
Dominios
Agrupación Natural de procesos,
normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
o tareas
Acciones requeridas para lograr un
resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
41
42. 43
satisfacer las necesidades
El marco de trabajo se creó para
de
gobernabilidad de TI. Está orientado a:
Negocios
Procesos
Basado en controles
Impulsado por mediciones
43. Orientado al negocio
Está diseñado para ser utilizado no solo
por proveedores de servicios, usuarios y
auditores de TI, sino también y
principalmente, como guía integral para
la gerencia y para los propietarios de los
procesos de negocio.
44
44. 45
Procesos orientados
Cobit define las actividades de TI en un
modelo genérico de procesos en 4
dominios:
Planear y Organizar
Adquirir e Implementar
Entregar y dar Soporte
Monitorear y Evaluar
45. Planear y Organizar (PO)
Cubre las estrategias y las tácticas, y
tiene que ver con identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del
negocio.
¿Están alineadas las estrategias de TI y
del negocio?
46
46. 47
¿La empresa está alcanzando un
uso óptimo de los recursos?
¿Entienden todas las personas,
los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI para
las necesidades del negocio?
47. Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas
así como la implementación e
integración en los procesos.
¿Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
47
48. ¿Los nuevos proyectos son
entregados a tiempo y dentro del
presupuesto?
¿Trabajarán adecuadamente los
nuevos sistemas una vez sean
implementados?
¿Los cambios afectarán las
operaciones actuales del negocio?
49. Cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del
servicio, la administración de la seguridad y
de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos.
¿Se están entregando los servicios de
TI de acuerdo a prioridades?
50. ¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma adecuada
la confidencialidad, la integridad y la
disponibilidad?
51
51. Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos
de control. Abarca la administración del
desempeño, el monitoreo del control interno,
cumplimiento regulatorio.
¿Se mide el desempeño de TI para
detectar los problemas antes de que
sea demasiado tarde?
52. ¿La gerencia garantiza que los controles
internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo que TI
ha realizado con las metas del negocio?
¿Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeño?
53. Relaciona
información
los requerimientos de
y de gobierno a los
objetivos de la función de servicio de TI.
El modelo de procesos Cobit permite
que las actividades de TI y los recursos
que los soportan sean administrados y
controlados basados en los objetivos de
control.
54.
55. Los recursos de TI son manejados por
procesos de TI para lograr las metas
de TI que respondan a los
requerimientos del negocio.
Este es el principio básico del marco
de trabajo Cobit
56. Figura 15 – El Cubo Cobit
PROCESOS
DE
TI
REQUERIMIENTOS DE
NEGOCIO
DOMINIOS
PROCESOS
ACTIVIDADES
APLICACIONE
S
INFORMACION
INFRAESTRUCTU
RA
PERSONAS
Figura 15 – El Cubo Cobit
57. En detalle, el marco de trabajo general
Cobit se muestra en el siguiente gráfico,
con el modelo de procesos de Cobit
compuesto de 4 dominios que contienen
34 procesos genéricos, administrando los
recursos de TI para proporcionar
información al negocio de acuerdo con los
requerimientos del negocio y del gobierno.
58. 59
Recursos de TI
Aplicaciones Información,
Infraestructura,Personas
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del
Negocio
Planear y
Organizar
PO1 Definir un plan estratégico de TI PO2
Definir la arquitectura de información PO3
Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos PO10
Administración de Proyectos
Adquirir e
Implantar
AI1 Identificar soluciones automatizadas AI2 Adquirir y
mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Monitorear Y
evaluar
ME1 Monitorear y evaluar el desempeño ME2
Monitorear y evaluar el control Interno ME3
Garantizar cumplimiimiento regulatorio ME4
Proporcionar gobierno de TI
Servicios y
Soporte
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas DS11
Administración de datos DS12 Administrar el
ambiente físico DS13 Administrar las
Operaciones
Objetivos del gobierno
59. Efectividad: La información debe ser relevante y pertinente para
los procesos del negocio y debe ser proporcionada en forma
oportuna, correcta, consistente y utilizable
Eficiencia: Se debe proveer información mediante el empleo
óptimo de los recursos (la forma más productiva y económica)
Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Refiere a lo exacto y completo de la información así
como a su validez de acuerdo con las expectativas de la empresa.
60. Disponibilidad: accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
61. Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
Información: Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
Infraestructura:Incluye los recursos necesarios para alojar y
dar soporte a los sistemas de información. incluye hardware y
software
Personas: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Información
.
62. Procesos de TIC
- Procesos
Adquirir e
Implantar
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Planear y
Organizar
PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos PO10
Administración de Proyectos
63. Procesos de TIC
- Procesos
Servicios y
Soporte
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los
sistemas DS6 Identificar y asignar
costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración DS10
Administrar los problemas DS11
Administración de datos DS12 Administrar el
ambiente físico DS13 Administrar las
Operaciones
Monitorear
y Evaluar
ME1 Monitorear y evaluar el desempeño ME2 Monitorear
y evaluar el control Interno ME3 Garantizar
cumplimimiento regulatorio ME4 Proporcionar gobierno
de TI
63
64. Cobit se basa en el análisis y armonización
de estándares y mejores practicas de TI
existentes y se adptan a principios de gobierno
generalmente aceptados
65. Está posicionado a un nivel alto,
impulsado por los requerimientos del
negocio, cubre el rango completo de
actividades de TI, y se concentra en
lo que se debe lograr en lugar de
cómo lograr un gobierno,
administración y control efectivos.
66. Funciona como un integrador de
prácticas de gobierno de TI y es de
interés para la dirección ejecutiva; para
la gerencia del negocio; para la gerencia
y gobierno de TI; para los profesionales
de aseguramiento y seguridad; así como
para los profesionales de auditoria y
control de TI. 67
67. Planear
y Organizar
Adquirir e
Implantar
Entrega y
Soporte
Monitoreo y
Evaluar
Gobierno
de TI
Administración
de Recursos
P=Primario; S=Secundario
Control sobre el Proceso de TI
Nombre del Proceso
Que satisface el requerimiento de negocios de TI para
Resumen de las metas de negocio másimportantes
Focalizándose en
Resumen de las metas de TI más importantes
Es conseguido por
Control claves
Y medido por
Indicadores claves (Métrica)
Modelo de Navegación CobiT