PRINCIPIOS DE AUDITORIA DE SISTEMAS

DEFINICIN DE COBIT

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA

MISIN COBIT
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios.

VISIN COBIT
Ser el modelo de control para la TI.

REGLA DE ORO DE COBIT

Para proveer la informacin que requiere la

organizacin para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prcticas normalmente aceptadas.

USUARIOS COBIT

La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible.

Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente.

Los Auditores: :Soportar sus opiniones

sobre los controles de los proyectos de TI, su impacto en la

organizacin y determinar el control mnimo requerido.

Los Responsables de TI: Para identificar los controles que requieren en sus reas.

Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.

QUE SON LAS TI

(Tecnologas de Informtica)

Se encargan de
DISEO DESARROLLO FOMENTO MANTENIMIENTO ADMINISTRACION

D E

Por medio de SISTEMAS INFORMATICOS

INFORMACION

PRINCIPIOS COBIT
REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI

RECURSOS DE TI

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.

Requerimientos Financieros (COSO) Requerimientos de Seguridad

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Efectividad

Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada. Se refiere a la exactitud y completitud de la informacin, as como su validez, en concordancia con los valores y expectativas del negocio.

Eficiencia

Confidencialidad

Integridad

REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

Disponibilidad Se refiere a que la informacin debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Cumplimiento

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio.

Confiabilidad

Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestin.

RECURSOS DE TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

RECURSOS DE TI
Seguridad de la informacin Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11)

Seguridad fsica
(1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento

Equipo central ========================= Operacin del sistema (1),(2),(6),(7),(8),(9)

(5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administracin de libreras (7) Editores en lnea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrnico de datos

Sistema de comunicaciones (8),(11)

Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11)

PROCESOS DE TI - LOS 3 NIVELES

Agrupacin natural de procesos, normalmente corresponden a una responsabilidad organizacional

Dominios Procesos

Conjuntos de actividades unidas con delimitacin o cortes de control.

Actividades o tareas

Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

DOMINIOS DE TI
Planeacin y Organizacin

Adquisicin e implementacin

Prestacin de Servicios y Soporte

Seguimiento o monitoreo

DOMINIOS DE TI
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir de la manera ms adecuada con el logro de los objetivos del negocio.

Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

PROCESOS DE TI
Planeacin y Organizacin 1. 2. 3. 4. 5. 6. 7. 8. 9. Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Administrar la Calidad Evaluacin y Administracin de Riesgos

10. Administracin de Proyectos

PROCESOS DE TI
Planeacin y Organizacin 1. Definir un plan estratgico de TI

Que satisface el requisito de negocio para Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional

Toma en consideracin Definicin de los objetivos de negocio y necesidades para las TI Inventario de soluciones tecnolgicas e infraestructura actual Cambios organizativos Estudio de viabilidad oportuno Existencia de evaluaciones de sistemas

PROCESOS DE TI
Planeacin y Organizacin 2. Definir la arquitectura de informacin

Que satisface el requisito de negocio para Una mejor organizacin de los sistemas de informacin Toma en consideracin Documentacin Diccionario de datos Reglas sintcticas de datos Propiedad de datos y clasificacin crtica

PROCESOS DE TI
Planeacin y Organizacin 3. Determinar la direccin tecnolgica

Que satisface el requisito de negocio para Tomar ventaja de la tecnologa disponible y emergente Toma en consideracin Adecuacin y evolucin de la capacidad de la infraestructura actual Monitorizacin de los desarrollos tecnolgicos Contingencias Planes de adquisicin

PROCESOS DE TI
Planeacin y Organizacin 4. Definir la organizacin y relaciones de la Funcin TI
Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideracin Comit de direccin Consejo de nivel de responsabilidad Propiedad, custodia Supervisin Segregacin de obligaciones Roles y responsabilidades Descripciones del trabajo Provisin de niveles Clave personal

PROCESOS DE TI
Planeacin y Organizacin 5. Administrar la inversin en TI

Que satisface el requisito de negocio para Garantizar la consolidacin y controlar el gasto de los recursos financieros

Toma en consideracin Consolidacin de alternativas Control del gasto efectivo Justificacin de los costes Justificacin de los beneficios

PROCESOS DE TI
Planeacin y Organizacin 6. Comunicacin de la directrices Gerenciales

Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideracin Cdigo de conducta/tica Directrices de tecnologa Conformidad Comisin de calidad Polticas de seguridad Polticas de control interno

PROCESOS DE TI
Planeacin y Organizacin 7. Administracin del Recurso Humano

Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI

Toma en consideracin Refuerzo y promocin Requisitos de calidad Entrenamiento Construccin del conocimiento Evaluacin de la ejecucin objetiva y medible

PROCESOS DE TI
Planeacin y Organizacin 8. Administracin de Calidad

Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideracin Plan de estructura de la calidad Estndares y prcticas de calidad Metodologa del ciclo de vida del desarrollo del sistemas Estndares de desarrollo y de adquisicin Medicin, monitoreo y revisin de la calidad

PROCESOS DE TI
Planeacin y Organizacin 9. Evaluacin de Riesgos
Que satisface el requisito de negocio para De asegurar la realizacin de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI

Toma en consideracin Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.) Alcance: global o sistemas especficos Evaluacin de riesgos hasta la fecha Metodologa de anlisis de riesgos Medidas de riesgo cuantitativas y/o cualitativas Plan de accin de riesgos

PROCESOS DE TI
PLANEARYORGANIZAR
PO9 Evaluar y administrar los riesgos de TI

BS 7799 Security Standard

"BS 7799-3:2005 sistemas de gestin seguridad de la informacin. Directrices para la gestin de riesgos de seguridad de la informacin "

Abarca las siguientes: # Evaluacin de riesgos # Tratamiento del riesgo # Gestin de la toma de decisiones # Nueva evaluacin de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la informacin en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos

PROCESOS DE TI
Planeacin y Organizacin 10. Administracin de Proyectos
Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideracin Marco de trabajo para la administracin de programas de inversin en TI Marco de trabajo para la administracin de proyectos Interrupcin de tareas Distribucin de responsabilidades Proyecto y fase de aprobacin Costes y presupuesto del personal Planes de seguridad de la calidad y mtodos Recursos del proyecto

DOMINIOS DE TI
Adquisicin e Implementacin
 Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos sistemas. Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio?

PROCESOS DE TI
Adquisicin e Implementacin

1. Identificacin de soluciones Automatizada 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Facilitar la Operacin y el uso 5. Adquirir recursos de TI 6. Administrar Cambios 7. Instalar y acreditar soluciones y cambios

PROCESOS DE TI
Adquisicin e Implementacin

1. Identificacin de soluciones Automatizadas

Que satisface el requisito de negocio para Asegurar la mejor aproximacin para satisfacer los requisitos del usuario Toma en consideracin Definicin de la informacin de requisitos Estudios factibles (costes, beneficios, alternativas, etc.) Requisitos de usuario Arquitectura de la informacin Seguridad del coste-efectivo Contratacin externa

PROCESOS DE TI
Adquisicin e Implementacin

2. Adquisicin y mantenimiento de SW aplicativo

Que satisface el requisito de negocio para Suministrar funciones automticas que soporten de forma efectiva los procesos de negocio Toma en consideracin Requisitos de usuario Diseo de alto nivel Diseo detallado Archivo, gasto, proceso y requisitos externos Interfaz de la mquina-usuario Controles de aplicacin y requisitos de seguridad Documentacin

PROCESOS DE TI
Adquisicin e Implementacin

3. Adquisicin y mantenimiento de arquitectura TI

Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI Toma en consideracin Asentamiento de la tecnologa Mantenimiento del hardware preventivo Seguridad del sistema software, instalacin, mantenimiento y cambio de controles

PROCESOS DE TI
Adquisicin e Implementacin

4. Facilitar la operacin y el uso

Que satisface el requisito de negocio para Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio. Toma en consideracin Plan para soluciones de operacin Transferencia de conocimiento a la gerencia del negocio Transferencia de conocimiento a usuarios finales Transferencia de conocimiento al personal de operaciones y soporte

PROCESOS DE TI
Adquisicin e Implementacin

5. Adquirir recursos de TI
Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio. Toma en consideracin Control de adquisicin Administracin de contratos con proveedores Seleccin de proveedores Adquisicin de software Adquisicin de recursos de desarrollo Adquisicin de infraestructura, instalaciones y servicios relacionados

PROCESOS DE TI
Adquisicin e Implementacin

6. Administrar cambios
Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio.

Toma en consideracin Estndares y procedimientos para cambios Evaluacin de impacto, priorizacin y autorizacin Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentacin del cambio

PROCESOS DE TI
ADQUIRIR E IMPLANTAR
AI06 Administrar cambios

Iso/iec12207 5.2 Suministro 5.5 Mantenimiento 7.3 Mejoras

5.2 Suministro: El proceso de suministro contiene las actividades y tareas del proveedor: Actividades Inicio Preparacin de respuesta Contrato Planificacin Ejecucin y control Revisin y evaluacin Entrega y finalizacin

PROCESOS DE TI
Adquisicin e Implementacin

7. Instalar y acreditar soluciones y cambios

Que satisface el requisito de negocio para Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin Toma en consideracin Entrenamiento Plan de prueba Plan de implantacin Ambiente de prueba Conversin de sistema y datos Distribucin del sistema

DOMINIOS DE TI
Prestacin de Servicios y Soporte

Prestacin efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitacin.

Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

PROCESOS DE TI
Prestacin de Servicio y Soporte
1. 2. 3. 4. 5. 6. 7. 8. 9. Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin

10. Administracin de problemas e incidentes 11. Administracin de datos 12. Administracin de Instalaciones (Ambiente Fsico) 13. Administracin de Operaciones

PROCESOS DE TI
Prestacin de Servicio y Soporte
1. Definicin del nivel de servicio

Que satisface el requisito de negocio para Asegurar la alineacin de los servicios claves de TI con la estrategia del negocio Toma en consideracin Definicin de servicios Definicin de responsabilidades Garantas de integridad Monitoreo y reporte del cumplimento de los niveles de servicio Revisin de los acuerdos de niveles de servicio y de los contratos

ENTREGAR Y DA R SOPORTE Definir y administrar los niveles de servicio

SLA (Service Level Agreement) o Acuerdo de Nivel de Servicio es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad del servicio.
Si se utiliza correctamente debe: * Identificar y definir las necesidades del cliente * Proporcionar un marco para la comprensin * Simplificar cuestiones complejas * Reducir las zonas de conflicto * Alentar el dilogo en caso de litigio * Eliminar las expectativas poco realistas Concretamente, debe abarcar una amplia gama de cuestiones. Entre estos suelen ser los siguientes: Servicios a ser entregados Rendimiento, seguimiento y presentacin de informes Problema de gestin Cumplimiento legal y Resolucin de Conflictos Deberes y Responsabilidades del cliente Seguridad Derechos de propiedad intelectual y la informacin confidencial Terminacin

PROCESOS DE TI
Prestacin de Servicio y Soporte
2. Administracin del servicio de terceros

Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes estn definidas de forma clara, adheridas y continuar satisfaciendo los requisitos Toma en consideracin Identificacin de las relaciones con todos los proveedores Administracin de las relaciones con los proveedores Administracin de riesgos del proveedor Monitoreo del desempeo del proveedor

PROCESOS DE TI
Prestacin de Servicio y Soporte

3. Administracin de la capacidad y el desempeo Que satisface el requisito de negocio para Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Toma en consideracin Disponibilidad y cumplimiento de los requisitos Capacidad y desempeo actual Capacidad y desempeo futuros Disponibilidad de recursos TI Monitoreo y reporte

PROCESOS DE TI
Prestacin de Servicio y Soporte

4. Asegurar el servicio continuo

Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estn disponibles y asegurar un impacto de negocio mnimo en caso de una ruptura mayor Toma en consideracin Clasificacin crtica Plan de continuidad documentado Recursos crticos de TI Mantenimiento, Pruebas, Entrenamiento y Distribucin del plan de continuidad de TI

PROCESOS DE TI
Prestacin de Servicio y Soporte
5. Garantizar la seguridad del sistema

Que satisface el requisito de negocio para Salvaguardar la informacin contra el uso no autorizado, descubrimiento o modificacin, dao o prdida Toma en consideracin Autorizacin Autenticidad Acceso Uso de proteccin e identificacin Gestin de clave criptogrfica Deteccin y prevencin de virus Cortafuegos

PROCESOS DE TI
Prestacin de Servicio y Soporte
6. Identificacin y asignacin de costos

Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI

Toma en consideracin Recursos identificables y medibles Modelacin de costos y cargos Imponer valores

PROCESOS DE TI
Prestacin de Servicio y Soporte
7. Capacitacin de usuarios

Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnologa y que son conscientes de los riesgos y responsabilidades en las que estn involucrados Toma en consideracin Plan de estudios de entrenamiento Campaas de conocimiento Tcnicas de conocimiento

PROCESOS DE TI
Prestacin de Servicio y Soporte
8. Soporte a los clientes de TI

Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideracin Cuestiones del cliente y respuestas al problema Monitorizacin de cuestiones y aclaraciones Anlisis de tendencias e informacin

PROCESOS DE TI
Prestacin de Servicio y Soporte
9. Administracin de la configuracin Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proveer de un fundamento para una gestin de cambio firme Toma en consideracin Medios de registro Gestin del cambio de configuracin Chequeo del software no autorizado Controles de almacenamiento de software

PROCESOS DE TI
Prestacin de Servicio y Soporte
10. Administracin de problemas e incidentes

Que satisface el requisito de negocio para Asegurar que los problemas e incidentes sern resueltos, e investigando la causa para prevenir una nueva aparicin de estos Toma en consideracin Reglas suficientes de auditora de problemas y soluciones Resolucin oportuna de problemas anunciados Informes de incidentes

PROCESOS DE TI
Prestacin de Servicio y Soporte
11. Administracin de datos Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y vlidos durante su introduccin, actualizacin y almacenamiento Toma en consideracin Diseo del modelo Controles de entrada Controles de proceso Controles de salida Almacenamiento multimedia y gestin de copias de seguridad Autenticidad e integridad

PROCESOS DE TI
Prestacin de Servicio y Soporte
12. Administracin de Instalaciones (Ambiente Fsico)

Que satisface el requisito de negocio para Proveer de un medio fsico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideracin Identificacin de la situacin Seguridad fsica Salud y seguridad del personal Proteccin de amenazas del entorno

PROCESOS DE TI
Prestacin de Servicio y Soporte
13. Administracin de Operaciones

Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideracin Manual de procedimiento de operaciones Documentacin del proceso puesto en marcha Gestin de servicios de la red Planificacin del trabajo y el personal

DOMINIOS DE TI
Monitoreo/Seguimiento
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

PROCESOS DE TI
Monitoreo / Seguimiento

1. Monitorear y Evaluar el desempeo de TI 2. Monitorear y Evaluar el control interno 3. Garantizar el cumplimiento regulatorio 4. Proporcionar gobierno de TI

PROCESOS DE TI
Monitoreo / Seguimiento

1. Monitorear y Evaluar el desempeo de TI

Que satisface el requisito de negocio para Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. Toma en consideracin Mtodo de monitoreo Evaluacin del desempeo Reportes al consejo directivo y a ejecutivos Acciones correctivas

PROCESOS DE TI
Monitoreo / Seguimiento

2. Monitorear y evaluar el control interno

Que satisface el requisito de negocio para Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI.

Toma en consideracin Monitorear el marco de trabajo de control interno Revisiones de Auditora Auto-evaluacin de control Control interno para terceros Acciones correctivas

Monitorear y evaluar Monitorear y evaluar el control interno

control interno situaciones a informar Como ya se indic las "situaciones a informar", son asuntos que llaman la atencin del auditor, pues representan deficiencias importantes en el diseo y operacin de la estructura del control interno, que a su juicio podran afectar negativamente la capacidad de la organizacin.

Deficiencia en el diseo de la estructura del control interno Diseo inadecuado de la estructura del control interno en general. - Ausencia de una adecuada segregacin de funciones, acorde con los objetivos de control establecidos. - Falta de revisin y aprobacin adecuada de las transacciones, plizas contables o reportes emitidos. Fallas en el suministro de informacin completa y correcta de acuerdo con los objetivos de la entidad, como consecuencia de omisiones en la aplicacin de los procedimientos de control. - Violacin intencional de los controles establecidos, por parte de personal de alto nivel jerrquico. - Fallas en la proteccin de los activos, contra prdidas, daos o uso indebido de los mismos.

PROCESOS DE TI
Monitoreo / Seguimiento

3. Garantizar el cumplimiento regulatorio

Que satisface el requisito de negocio para Cumplir las leyes y regulaciones. Toma en consideracin Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluacin del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Reportes integrados

PROCESOS DE TI
Monitoreo / Seguimiento

4. Proporcionar gobierno de TI
Que satisface el requisito de negocio para La integracin de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideracin Establecer un marco de trabajo de gobierno para TI Alineamiento estratgico Entrega de valor Administracin de recursos Administracin de riesgos Medicin del desempeo

RESUMEN

Objetivos del Negocio

IT. Governance
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Y CONCLUSIONES

1. 2. 3. 4.

Monitorear y Evaluar el desempeo de TI Monitorear y Evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI

CobiT

Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de la Funcin TI Administrar la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Administrar la Calidad Evaluacin y Administracin de Riesgos Administracin de Proyectos

Seguimiento

Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeacin y Organizacin

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones (Ambiente Fsico) Administracin de Operaciones

Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano
1. 2. 3. 4. 5. 6. 7.

Adquisicin e Implementacin
Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Facilitar la Operacin y el uso Adquirir recursos de TI Administrar Cambios Instalar y acreditar soluciones y cambios

Prestacin de Servicio y Soporte

BIBLIOGRAFIA
COBIT 4.0 (PDF). Planificacin y Gestin de Sistemas de Informacin. TRABAJO DE TEORA. Roberto Sobrinos Snchez. 19 de Mayo de 1999. COBIT: Herramienta de IT Governance. Fernando Ferrer Olivares, CISA - Presidente ISACA Colombia. Administracin de Riesgos de TI. Fernando Izquierdo Duarte, CISA - Ingeniero de Sistemas.

ANY QUESTION?