fff
TRANSCRIPT
ESTANDAR COBIT-
Ing. Gina Paola Maestre G.
Control Objectives for Information and
related Technology- COBIT
Estándar COBIT
Que es COBIT?
Herramienta innovadora para el gobierno o
administración de TI que ayuda a la gerencia a
comprender y administrar los riesgos
asociados con la tecnología de información.
Estándar generalmente aplicable y aceptado
para la práctica del control de TI
Misión CoBIT
Investigar, desarrollar, publicar y promover un
conjunto de objetivos de control en TI, con
autoridad, actualizados, de carácter
internacional y aceptados generalmente para
el uso cotidiano de gerentes de empresas y
auditores.
Usuarios
Usuario Propósito
Administración Busca contribuir en la realización de balances entre las
inversiones de control y los riesgos presentados en relación
con las TI
Usuarios Con el fin de garantizar la seguridad y la utilización de
controles en los servicios de TI presentados por la
organización
Auditores de
Sistemas
Brinda soporte de los juicios dados a la administración sobre
los controles establecidos
Recursos de TI
Datos Incluye objetos de información en su sentido más amplio, considerando
información interna y externa, estructurada y no estructurada, grafica,
sonidos , etc.
Aplicaciones Se entiende como los sistemas de información que integran tanto
procedimientos manuales como automatizados
Tecnología Incluye hardware, sistemas operativos, sistemas administradores de
BD, de redes y telecomunicaciones
Instalaciones Recursos necesarios para alojar y dar soporte a los Sistemas de Inf.
Personal Conocimiento, habilidades conciencia y productividad del personal para
planear adquirir, prestar servicios, proporcionar soporte y monitorear
sistemas y servicios de información.
Requerimientos de Información
Requerimiento Definición
Efectividad Se refiere a que la información sea relevante y pertinente
para el proceso del negocio, así como cumplir con una
entrega correcta y consistente
Eficiencia Proveer información mediante el empleo óptimo (la forma
más productiva y económica)
Confidencialidad Protección dada a la información sensible de divulgacion
no autorizada
Integridad La información debe ser exacta y completa , así como su
validez de acuerdo a las expectativas de la empresa
Requerimientos de Información
Requerimiento Definición
Disponibilidad La información debe estar disponible cuando es requerida
y la protección de los recursos y capacidades asociadas
Cumplimiento Cumplimiento de las leyes, regulaciones, compromisos
contractuales a los que esta sujeto la empresa
Confiablidad Sistemas de información que proveen la información
adecuada para uso operativo y para ejercer las
responsabilidades de reportes financieros y cumplimiento
Control:
Objetivo de Control: definición del resultado
o propósito que se desea alcanzar
implementando procedimientos de control
específicos dentro de una actividad de TI.
Modelo Cobit
Gráficos en pantalla panorámica
Cobit define
34 objetivos
de control
teniendo en
cuenta 3
niveles:
Dominios
Procesos
Actividades
Agrupamiento natural de
procesos, frecuentemente reunidos en
dominios de responsabilidad en una
estructura organizacional
Una serie de actividades reunidas en
puntos naturales de control
Acciones necesarias para lograr un
resultado cuantificable. Las
actividades tienen un ciclo de vida,
mientras que las tareas son
discretas.
Dominios
CUBO COBIT
PLANEAR Y ORGANIZAR (PO)
• ¿Están alineadas las estrategias de
TI y del negocio?
• ¿La empresa está alcanzando un
uso óptimo de sus recursos?
• ¿Entienden todas las personas
dentro de la organización los
objetivos de TI?
• ¿Se entienden y administran los
riesgos de TI?
• ¿Es apropiada la calidad de los
sistemas de TI para las necesidades
del negocio?
Este dominio cubre las estrategias ylas tácticas, y tiene que ver conidentificar la manera en que TIpuede contribuir de la mejormanera al logro de los objetivosdel negocio.
Además, la realización de la visiónestratégica requiere serplaneada, comunicada yadministrada desde diferentesperspectivas. Finalmente, sedebe implementar una estructuraorganizacional y una estructuratecnológica apropiada
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
ADQUIRIR E IMPLEMENTAR
(AI)
• ¿Es probable que los nuevos
proyectos generan soluciones que
satisfagan las necesidades del
negocio?
• ¿Es probable que los nuevos
proyectos sean entregados a tiempo
y dentro del presupuesto?
• ¿Trabajarán adecuadamente los
nuevos sistemas una vez sean
implementados?
• ¿Los cambios no afectarán a las
operaciones actuales del negocio?
Para llevar a cabo laestrategia de TI, lassoluciones de TI necesitan seridentificadas, desarrolladas oadquiridas así comoimplementadas e integradasen los procesos del negocio.Además, el cambio y elmantenimiento de lossistemas existentes estácubierto por este dominio paragarantizar que las solucionessigan satisfaciendo losobjetivos del negocio
ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
ENTREGAR Y DAR SOPORTE
(DS)
• ¿Se están entregando los servicios
de TI de acuerdo con las prioridades
del negocio?
• ¿Están optimizados los costos de
TI?
• ¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
• ¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
MONITOREAR Y EVALUAR
(ME)
• ¿Se mide el desempeño de TI para
detectar los problemas antes de que
sea demasiado tarde?
• ¿La Gerencia garantiza que los
controles internos son efectivos y
eficientes?
• ¿Puede vincularse el desempeño
de lo que TI ha realizado con las
metas del negocio?
• ¿Se miden y reportan los
riesgos, el control, el cumplimiento y
el desempeño?
Todos los procesos de TIdeben evaluarse de formaregular en el tiempo encuanto a su calidad ycumplimiento de losrequerimientos de control.
Este dominio abarca laadministración deldesempeño, el monitoreodel control interno, elcumplimiento regulatorio yla aplicación del gobierno.
MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeño
de TI
ME2 Monitorear y Evaluar el Control
Interno
ME3 Garantizar el Cumplimiento
Regulatorio
ME4 Proporcionar Gobierno de TI