Professional Documents
Culture Documents
DEFINICIN DE COBIT
MISIN COBIT
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.
VISIN COBIT
Ser el modelo de control para la TI.
organizacin para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prcticas normalmente aceptadas.
USUARIOS COBIT
La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible.
Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente.
Los Responsables de TI: Para identificar los controles que requieren en sus reas.
Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.
Se encargan de
DISEO DESARROLLO FOMENTO MANTENIMIENTO ADMINISTRACION
D E
INFORMACION
PRINCIPIOS COBIT
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO
PROCESOS DE TI
RECURSOS DE TI
Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada. Se refiere a la exactitud y completitud de la informacin, as como su validez, en concordancia con los valores y expectativas del negocio.
Eficiencia
Confidencialidad
Integridad
Cumplimiento
Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio.
Confiabilidad
Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestin.
RECURSOS DE TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
RECURSOS DE TI
Seguridad de la informacin Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11)
Seguridad fsica
(1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento
(5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administracin de libreras (7) Editores en lnea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrnico de datos
Dominios Procesos
Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
DOMINIOS DE TI
Planeacin y Organizacin
Adquisicin e implementacin
Seguimiento o monitoreo
DOMINIOS DE TI
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir de la manera ms adecuada con el logro de los objetivos del negocio.
Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
PROCESOS DE TI
Planeacin y Organizacin 1. 2. 3. 4. 5. 6. 7. 8. 9. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Administrar la Calidad Evaluacin y Administracin de Riesgos
PROCESOS DE TI
Planeacin y Organizacin 1. Definir un plan estratgico de TI
Que satisface el requisito de negocio para Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional
Toma en consideracin Definicin de los objetivos de negocio y necesidades para las TI Inventario de soluciones tecnolgicas e infraestructura actual Cambios organizativos Estudio de viabilidad oportuno Existencia de evaluaciones de sistemas
PROCESOS DE TI
Planeacin y Organizacin 2. Definir la arquitectura de informacin
Que satisface el requisito de negocio para Una mejor organizacin de los sistemas de informacin Toma en consideracin Documentacin Diccionario de datos Reglas sintcticas de datos Propiedad de datos y clasificacin crtica
PROCESOS DE TI
Planeacin y Organizacin 3. Determinar la direccin tecnolgica
Que satisface el requisito de negocio para Tomar ventaja de la tecnologa disponible y emergente Toma en consideracin Adecuacin y evolucin de la capacidad de la infraestructura actual Monitorizacin de los desarrollos tecnolgicos Contingencias Planes de adquisicin
PROCESOS DE TI
Planeacin y Organizacin 4. Definir la organizacin y relaciones de la Funcin TI
Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideracin Comit de direccin Consejo de nivel de responsabilidad Propiedad, custodia Supervisin Segregacin de obligaciones Roles y responsabilidades Descripciones del trabajo Provisin de niveles Clave personal
PROCESOS DE TI
Planeacin y Organizacin 5. Administrar la inversin en TI
Que satisface el requisito de negocio para Garantizar la consolidacin y controlar el gasto de los recursos financieros
Toma en consideracin Consolidacin de alternativas Control del gasto efectivo Justificacin de los costes Justificacin de los beneficios
PROCESOS DE TI
Planeacin y Organizacin 6. Comunicacin de la directrices Gerenciales
Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideracin Cdigo de conducta/tica Directrices de tecnologa Conformidad Comisin de calidad Polticas de seguridad Polticas de control interno
PROCESOS DE TI
Planeacin y Organizacin 7. Administracin del Recurso Humano
Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI
Toma en consideracin Refuerzo y promocin Requisitos de calidad Entrenamiento Construccin del conocimiento Evaluacin de la ejecucin objetiva y medible
PROCESOS DE TI
Planeacin y Organizacin 8. Administracin de Calidad
Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideracin Plan de estructura de la calidad Estndares y prcticas de calidad Metodologa del ciclo de vida del desarrollo del sistemas Estndares de desarrollo y de adquisicin Medicin, monitoreo y revisin de la calidad
PROCESOS DE TI
Planeacin y Organizacin 9. Evaluacin de Riesgos
Que satisface el requisito de negocio para De asegurar la realizacin de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI
Toma en consideracin Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.) Alcance: global o sistemas especficos Evaluacin de riesgos hasta la fecha Metodologa de anlisis de riesgos Medidas de riesgo cuantitativas y/o cualitativas Plan de accin de riesgos
PROCESOS DE TI
PLANEARYORGANIZAR
PO9 Evaluar y administrar los riesgos de TI
Abarca las siguientes: # Evaluacin de riesgos # Tratamiento del riesgo # Gestin de la toma de decisiones # Nueva evaluacin de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la informacin en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos
PROCESOS DE TI
Planeacin y Organizacin 10. Administracin de Proyectos
Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideracin Marco de trabajo para la administracin de programas de inversin en TI Marco de trabajo para la administracin de proyectos Interrupcin de tareas Distribucin de responsabilidades Proyecto y fase de aprobacin Costes y presupuesto del personal Planes de seguridad de la calidad y mtodos Recursos del proyecto
DOMINIOS DE TI
Adquisicin e Implementacin
Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos sistemas. Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?
PROCESOS DE TI
Adquisicin e Implementacin
1. Identificacin de soluciones Automatizada 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Facilitar la Operacin y el uso 5. Adquirir recursos de TI 6. Administrar Cambios 7. Instalar y acreditar soluciones y cambios
PROCESOS DE TI
Adquisicin e Implementacin
PROCESOS DE TI
Adquisicin e Implementacin
PROCESOS DE TI
Adquisicin e Implementacin
Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI Toma en consideracin Asentamiento de la tecnologa Mantenimiento del hardware preventivo Seguridad del sistema software, instalacin, mantenimiento y cambio de controles
PROCESOS DE TI
Adquisicin e Implementacin
PROCESOS DE TI
Adquisicin e Implementacin
5. Adquirir recursos de TI
Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio. Toma en consideracin Control de adquisicin Administracin de contratos con proveedores Seleccin de proveedores Adquisicin de software Adquisicin de recursos de desarrollo Adquisicin de infraestructura, instalaciones y servicios relacionados
PROCESOS DE TI
Adquisicin e Implementacin
6. Administrar cambios
Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio.
Toma en consideracin Estndares y procedimientos para cambios Evaluacin de impacto, priorizacin y autorizacin Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentacin del cambio
PROCESOS DE TI
ADQUIRIR E IMPLANTAR
AI06 Administrar cambios
5.2 Suministro: El proceso de suministro contiene las actividades y tareas del proveedor: Actividades Inicio Preparacin de respuesta Contrato Planificacin Ejecucin y control Revisin y evaluacin Entrega y finalizacin
PROCESOS DE TI
Adquisicin e Implementacin
DOMINIOS DE TI
Prestacin de Servicios y Soporte
Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin.
Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
PROCESOS DE TI
Prestacin de Servicio y Soporte
1. 2. 3. 4. 5. 6. 7. 8. 9. Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin
10. Administracin de problemas e incidentes 11. Administracin de datos 12. Administracin de Instalaciones (Ambiente Fsico) 13. Administracin de Operaciones
PROCESOS DE TI
Prestacin de Servicio y Soporte
1. Definicin del nivel de servicio
Que satisface el requisito de negocio para Asegurar la alineacin de los servicios claves de TI con la estrategia del negocio Toma en consideracin Definicin de servicios Definicin de responsabilidades Garantas de integridad Monitoreo y reporte del cumplimento de los niveles de servicio Revisin de los acuerdos de niveles de servicio y de los contratos
PROCESOS DE TI
Prestacin de Servicio y Soporte
2. Administracin del servicio de terceros
Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes estn definidas de forma clara, adheridas y continuar satisfaciendo los requisitos Toma en consideracin Identificacin de las relaciones con todos los proveedores Administracin de las relaciones con los proveedores Administracin de riesgos del proveedor Monitoreo del desempeo del proveedor
PROCESOS DE TI
Prestacin de Servicio y Soporte
3. Administracin de la capacidad y el desempeo Que satisface el requisito de negocio para Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Toma en consideracin Disponibilidad y cumplimiento de los requisitos Capacidad y desempeo actual Capacidad y desempeo futuros Disponibilidad de recursos TI Monitoreo y reporte
PROCESOS DE TI
Prestacin de Servicio y Soporte
Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estn disponibles y asegurar un impacto de negocio mnimo en caso de una ruptura mayor Toma en consideracin Clasificacin crtica Plan de continuidad documentado Recursos crticos de TI Mantenimiento, Pruebas, Entrenamiento y Distribucin del plan de continuidad de TI
PROCESOS DE TI
Prestacin de Servicio y Soporte
5. Garantizar la seguridad del sistema
Que satisface el requisito de negocio para Salvaguardar la informacin contra el uso no autorizado, descubrimiento o modificacin, dao o prdida Toma en consideracin Autorizacin Autenticidad Acceso Uso de proteccin e identificacin Gestin de clave criptogrfica Deteccin y prevencin de virus Cortafuegos
PROCESOS DE TI
Prestacin de Servicio y Soporte
6. Identificacin y asignacin de costos
Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI
Toma en consideracin Recursos identificables y medibles Modelacin de costos y cargos Imponer valores
PROCESOS DE TI
Prestacin de Servicio y Soporte
7. Capacitacin de usuarios
Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnologa y que son conscientes de los riesgos y responsabilidades en las que estn involucrados Toma en consideracin Plan de estudios de entrenamiento Campaas de conocimiento Tcnicas de conocimiento
PROCESOS DE TI
Prestacin de Servicio y Soporte
8. Soporte a los clientes de TI
Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideracin Cuestiones del cliente y respuestas al problema Monitorizacin de cuestiones y aclaraciones Anlisis de tendencias e informacin
PROCESOS DE TI
Prestacin de Servicio y Soporte
9. Administracin de la configuracin Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proveer de un fundamento para una gestin de cambio firme Toma en consideracin Medios de registro Gestin del cambio de configuracin Chequeo del software no autorizado Controles de almacenamiento de software
PROCESOS DE TI
Prestacin de Servicio y Soporte
10. Administracin de problemas e incidentes
Que satisface el requisito de negocio para Asegurar que los problemas e incidentes sern resueltos, e investigando la causa para prevenir una nueva aparicin de estos Toma en consideracin Reglas suficientes de auditora de problemas y soluciones Resolucin oportuna de problemas anunciados Informes de incidentes
PROCESOS DE TI
Prestacin de Servicio y Soporte
11. Administracin de datos Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y vlidos durante su introduccin, actualizacin y almacenamiento Toma en consideracin Diseo del modelo Controles de entrada Controles de proceso Controles de salida Almacenamiento multimedia y gestin de copias de seguridad Autenticidad e integridad
PROCESOS DE TI
Prestacin de Servicio y Soporte
12. Administracin de Instalaciones (Ambiente Fsico)
Que satisface el requisito de negocio para Proveer de un medio fsico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideracin Identificacin de la situacin Seguridad fsica Salud y seguridad del personal Proteccin de amenazas del entorno
PROCESOS DE TI
Prestacin de Servicio y Soporte
13. Administracin de Operaciones
Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideracin Manual de procedimiento de operaciones Documentacin del proceso puesto en marcha Gestin de servicios de la red Planificacin del trabajo y el personal
DOMINIOS DE TI
Monitoreo/Seguimiento
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.
Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
PROCESOS DE TI
Monitoreo / Seguimiento
1. Monitorear y Evaluar el desempeo de TI 2. Monitorear y Evaluar el control interno 3. Garantizar el cumplimiento regulatorio 4. Proporcionar gobierno de TI
PROCESOS DE TI
Monitoreo / Seguimiento
PROCESOS DE TI
Monitoreo / Seguimiento
Toma en consideracin Monitorear el marco de trabajo de control interno Revisiones de Auditora Auto-evaluacin de control Control interno para terceros Acciones correctivas
Deficiencia en el diseo de la estructura del control interno Diseo inadecuado de la estructura del control interno en general. - Ausencia de una adecuada segregacin de funciones, acorde con los objetivos de control establecidos. - Falta de revisin y aprobacin adecuada de las transacciones, plizas contables o reportes emitidos. Fallas en el suministro de informacin completa y correcta de acuerdo con los objetivos de la entidad, como consecuencia de omisiones en la aplicacin de los procedimientos de control. - Violacin intencional de los controles establecidos, por parte de personal de alto nivel jerrquico. - Fallas en la proteccin de los activos, contra prdidas, daos o uso indebido de los mismos.
PROCESOS DE TI
Monitoreo / Seguimiento
Que satisface el requisito de negocio para Cumplir las leyes y regulaciones. Toma en consideracin Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluacin del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Reportes integrados
PROCESOS DE TI
Monitoreo / Seguimiento
4. Proporcionar gobierno de TI
Que satisface el requisito de negocio para La integracin de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideracin Establecer un marco de trabajo de gobierno para TI Alineamiento estratgico Entrega de valor Administracin de recursos Administracin de riesgos Medicin del desempeo
RESUMEN
Y CONCLUSIONES
1. 2. 3. 4.
Monitorear y Evaluar el desempeo de TI Monitorear y Evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI
CobiT
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Administrar la Calidad Evaluacin y Administracin de Riesgos Administracin de Proyectos
Seguimiento
Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeacin y Organizacin
Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones (Ambiente Fsico) Administracin de Operaciones
Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano
1. 2. 3. 4. 5. 6. 7.
Adquisicin e Implementacin
Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Facilitar la Operacin y el uso Adquirir recursos de TI Administrar Cambios Instalar y acreditar soluciones y cambios
BIBLIOGRAFIA
COBIT 4.0 (PDF). Planificacin y Gestin de Sistemas de Informacin. TRABAJO DE TEORA. Roberto Sobrinos Snchez. 19 de Mayo de 1999. COBIT: Herramienta de IT Governance. Fernando Ferrer Olivares, CISA - Presidente ISACA Colombia. Administracin de Riesgos de TI. Fernando Izquierdo Duarte, CISA - Ingeniero de Sistemas.
ANY QUESTION?