COBIT

1
COBIT
Un estándar global
2
COBIT sus antecedentes

• La comunidad de profesionales relacionados con TI
  mostró preocupación por la falta de una guía
  estándar sobre control en TI, que sirviera para
  diferentes grupos de interés
• La ISACF, como órgano que agrupa a profesionales
  de distintas áreas de actuación interesadas en el
  control de TI se dió a la tarea de desarrollar un
  cuerpo comun de conocimientos sobre la materia
• ISACF Information Systems Audit and Control
  Foundation

3
COBIT sus antecedentes

• Integra y concilia normas y reglamentaciones
  existentes
• Estándares técnicos de
• ISO, EDIFACT
• Códigos de conducta
• Consejo Europeo, OECD
• Criterios de calificación para sistemas y
  procesos
• ITSEC, ISO 9000-3, TCSEC
• Estándares profesionales
• COSO, GAO, IFAC, IIA, ISACA, AICPA, etc

4
COBIT sus antecedentes

• Integra y concilia normas y reglamentaciones
  existentes
• Prácticas y requerimientos de la Industria
• ESF-4
• Requerimientos gubernamentales
• IBAG, NIST, DTI
• Requerimientos específicos de nuevas tendencias
• E-banking, EDI, Comercio Electrónico

5
COBIT su definición
C Control OB OBjectives I
for Information T and Related Technology
6
COBIT su definición

• COBIT es en realidad un acrónimo formado por las
  siglas derivadas de Control Objectives for
  Information and Related Technology (objetivos de
  control para la información y las tecnologías
  relacionadas).

7
COBIT su definición

• Ahora COBIT es
• Governance indica que el Cobit también incluye
  directrices gerenciales
• Control and
• Audit for
• Information and
• Related Technology

8
COBIT su misión

• Investigar, desarrollar, publicar y promover un
  conjunto internacional, autorizado y actual de
  objetivos de control en tecnología de información
  generalmente aceptados para el uso cotidiano de
  gerentes de empresa y auditores.

9
COBIT sus usuarios

• La alta gerencia puede fundamentar decisiones
  sobre inversiones en TI y el rendimiento de las
  mismas
• Los usuarios de TI pueden obtener una garantía
  sobre la seguridad y el control de productos
  adquiridos en forma externa
• Los auditores pueden fundamentar sus opiniones
  sobre el control en TI y su impacto en la empresa
• Los responsables de TI pueden identificar los
  controles que requieren establecer en su área

10
COBIT sus características

• Orientación al negocio
• Alineación con estándares y regulaciones de
  jure y de facto
• Basado en una revisión critica de tareas y
  actividades en tecnología de información.
• Alineamiento con estándares de control y
  auditoría COSO, IFAC, IIA, ISACA, AICPA

11
COBIT Marco referencial

• Orientado a los controles
• Alineando objetivos de control específicos con
  estándares, regulaciones y prácticas existentes
  en la Organización
• Utilizado por la Administración, los Auditores y
  los usuarios

12
COBIT los productos

• Resumen ejecutivo ? Para la Alta Gerencia
• Marco referencial (framework) ? Para los gerentes
  de Sistemas y Auditores de Sistemas
• Objetivos de control ? Para la Gerencia media
• Guías de auditoría ? Para los Auditores de
  Sistemas
• Directrices Gereciales ? Para la alta Dirección

13
COBIT
Estructura
14
COBIT Resumen ejecutivo

• El resumen ejecutivo es un documento dirigido a
  la alta gerencia, que presenta los antecedentes y
  la estructura básica de COBIT. Hace un
  descripción general de los procesos, los recursos
  y los criterios de información que determinan la
  columna vertebral de COBIT.

15
COBIT Marco referencial

• El marco referencial incluye la introducción
  presentada en el resumen ejecutivo, presentando
  las guías de navegación que orientan al lector
  en la exploración del material de COBIT.
• El Marco Referencial hace una presentación más
  detallada de los objetivos de control de alto
  nivel para los cuatro dominios.

16
COBIT Objetivos de Control

• Los objetivos de control integran en su contenido
  el material del resumen ejecutivo y del marco
  referencial. Adicionalmente, presenta objetivos
  de control detallados para cada objetivo de alto
  nivel.

17
COBIT Guías de Auditoría

• Las guías de auditóría también incorporan el
  resumen ejecutivo y el marco referencial.
• Hacen una presentación del proceso generalmente
  aceptado de auditoría (obtener entendimiento,
  evaluar los controles, evaluar el cumplimiento y
  comprobar los riesgos).
• Algunas son Guías genéricas que identifican
  varias tareas que se realizan en el análisis de
  cualquier proceso dentro de un objetivo de
  control
• Otras son tareas orientadas a procesos
  específicos para proveer a la Gerencia la
  seguridad que los controles funcionan

18
COBIT Directrices Gerenciales

• Dirigidas a la Alta gerencia
• Genéricas y orientadas a la acción con el
  propósito de responder las siguientes preguntas
• Qué tan lejos debemos ir y el costo estará
  justificado por el beneficio?
• Cuáles son los indicadores de mejor
  rendimiento?
• Cuáles son los factores Críticos de Éxito?
• Cuales son los riesgos de no lograr nuestros
  objetivos?
• Qué hacen otros?
• Cómo nos podemos medir y comparar?

19
La Gerencia necesita COBIT

• Tomar decisiones relacionadas con la inversión en
  TI
• Balancear los riesgos y los controles de las
  inversiones en TI
• Llevar a cabo un benchmark para establecer el
  adecuado ambiente de tecnología vipersonas y
  futuro

20
Los usuarios necesitan COBIT

• Obtener garantía del retorno de inversión sobre
  la seguridad, los controles y los productos y
  servicios que ellos adquieren interna y
  externamente.

21
Los Auditores necesitan COBIT

• Soportar ante la Gerencia la opinión sobre los
  controles internos.
• Preguntarse y responder cuáles son los
  controles mínimos necesarios?

22
Principios de la Infraestructura
I N F O R M A C I O N
E VENTOS
Datos
Sistemas de Aplicación
TECNOLOGIA
mensaje entrada
servicio salida
INSTALACIONES
PERSONAS

• PERSONAS
• OBJETOS

23
Marco referencial
PROCESOS DE NEGOCIO
Criterios

• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad

INFORMACION
RECURSOS DE TI
Concuerdan ?

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• personas

?
24
En resumen ..
PROCESOS DE NEGOCIO
Criterios

• efectividad
• eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad

COBIT
INFORMACION
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• personas

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
PRESTACION DE SERVICIOS Y SOPORTE
25
Procesos de TI y sus dominios
Definición de un Plan Estratégico de Tecnología
de Información Definición de la Arquitectura de
Información Determinación de la dirección
tecnológica Definición de la Organización y de
las Relaciones de TI Manejo de la Inversión en
Tecnología de Información Comunicación de la
dirección y aspiraciones de la gerencia Administra
ción de Recursos Humanos Aseguramiento del
Cumplimiento de Requerimientos Externos Evaluación
de Riesgos Administración de proyectos Administra
ción de Calidad
Monitoreo del procesos Obtención de aseguramiento
independiente
RECURSOS DE TI

• datos
• sistemas de aplicación
• tecnología
• instalaciones
• personas

PLANEACON Y ORGANIZACION
MONITOREO
ADQUISICION E IMPLEMENTACION
Definición de Niveles de Servicio Administración
de Servicios prestados por Terceros Administración
de Desempeño y Capacidad Aseguramiento de
Servicio Continuo Garantizar la Seguridad de
Sistemas Identificación y Asignación de
Costos Educación y Entrenamiento de
Usuarios Apoyo y Asistencia a los Clientes de
Tecnología de Información Administración de la
Configuración Administración de Problemas e
Incidentes Administración de Datos Administración
de Instalaciones Administración de Operaciones
PRESTACION DE SERVICIOS Y SOPORTE
Identificación de Soluciones Adquisición y
Mantenimiento de Software de Aplicación Adquisició
n y Mantenimiento de Arquitectura de
Tecnología Desarrollo y Mantenimiento de
Procedimientos relacionados con Tecnología de
Información Instalación y Acreditación de
Sistemas Administración de Cambios
26
El Cubo de COBIT
Relaciones vs componentes
27
Estructura de COBIT
28
Ayudas de Navegación
29
Como se relacionan
Recursos de TI
Procesos de trabajo
Requerimientos de negocio

• Datos
• Sistemas de Información
• Tecnología
• Instalaciones
• Recursos humanos

• Planeación y organización
• Adquisición e implementación
• Prestación de servicios y soporte
• Monitoreo

• Efectividad
• Eficiencia
• Confidencialidad
• Integridad
• Disponibilidad
• Cumplimiento
• Confiabilidad de la información

30
(No Transcript)
31
Recursos de TI

• Datos Incluye a los objetos de información en su
  sentido más amplio, considerando información
  interna y externa, estructurada y no
  estructurada, gráficas, sonidos, etc.
• Sistemas Este concepto se entiende como los
  sistemas de información (aplicaciones) que
  integran tanto procedimientos manuales como
  procedimientos programados (basados en
  tecnología)
• Tecnología Incluye hardware (equipos), sistemas
  operativos, sistemas de administración de bases
  de datos, de redes y de telecomunicaciones,
  multimedia, etc.
• Instalaciones Incluye los recursos necesarios
  para alojar y dar soporte a los sistemas de
  información.
• Recursos humanos Este concepto incluye
  habilidades, conciencia y productividad del
  personal para planear, adquirir, prestar
  servicios, proporcionar soporte y monitorear los
  sistemas y servicios de información.

32
Procesos de TI
33
Dominios

• Planeación y Organización - Planning and
  organization -
• Adquisición e Implementación - Acquisition and
  implementation -
• Prestación de Servicios y Soporte - Delivery and
  support -
• Monitoreo - Monitoring -

34
Procesos

• Planeación y Organización
• Definir un Plan Estratégico de Tecnología de
  Información
• Definir la Arquitectura de Información
• Determinar la Dirección tecnológica
• Definir la Organización y las Relaciones con TI
• Administrar la Inversión en Tecnología de
  Información
• Comunicar la Dirección y aspiraciones de la
  gerencia
• Administrar Recursos Humanos
• Asegurar el Cumplimiento de Requerimientos
  Externos
• Evaluar Riesgos
• Administrar Proyectos
• Administrar Calidad

35
Procesos

• Adquisición e Implementación
• Identificar Soluciones
• Adquirir y Mantener Software de Aplicación
• Adquirir y Mantener la Arquitectura de Tecnología
• Desarrollar y Mantener Procedimientos
  relacionados con Tecnología de Información
• Instalar y Acreditar Sistemas
• Administrar Cambios

36
Procesos

• Prestación de Servicios y Soporte
• Definir Niveles de Servicio
• Administrar Servicios prestados por Terceros
• Administrar Desempeño y Capacidad
• Asegurar un Servicio Continuo
• Garantizar la Seguridad de Sistemas
• Identificar y Asignar Costos
• Educar y Entrenar a Usuarios
• Apoyar y Asesorar a los Clientes de Tecnología de
  Información
• Administrar la Configuración
• Administrar Problemas e Incidentes
• Administrar Datos
• Administrar Instalaciones
• Administrar Operaciones

37
Procesos

• Monitoreo
• Monitorear el proceso
• Obtener aseguramiento independiente

38
Objetivos de control

• 3. Prestación de servicio y soporte (dominio)
• DS.2 Administrar servicios de terceros
  (proceso)
• 2.3 Contratos con terceros (actividad o
  tarea).

Objetivo de control La gerencia debe definir
procedimientos específicos para asegurar que un
contrato formal sea definido y acordado para cada
relación de servicios con un proveedor.
39
Objetivos de Control

• Encadena los procesos a los Objetivos de Control
• Controles sobre los procesos de TI sobre el
  establecimiento de un Plan Estratégico de
  Sistemas
• Que satisfacen los requerimientos del negocio
  establecidos para lograr un balance óptimo entre
  las oportunidades de TI y los requerimientos del
  negocio así como asegurar su cumplimiento
• Teniendo en consideración la definición de los
  objetivos del negocio y las necesidades de TI

40
Requerimientos de negocio

• Efectividad Se refiere a que la información debe
  ser relevante y pertinente para los procesos de
  negocio así como ser proporcionada en forma
  oportuna, correcta, consistente y utilizable.
• Eficiencia Se refiere a proveer información
  mediante el empleo óptimo (la forma más
  productiva y económica) de recursos.
• Confidencialidad Se refiere a la protección de
  información sensitiva contra divulgación no
  autorizada.
• Integridad Se refiere a lo exacto y completo de
  la información así como a su validez de acuerdo a
  los valores y expectativas de la empresa

41
Requerimientos de negocio

• Disponibilidad Se refiere a la accesibilidad a
  la información cuando sea requerida por los
  procesos de negocio ahora y en el futuro. También
  se relaciona con la salvaguarda de los recursos
  necesarios y las capacidades asociadas a los
  mimos.
• Cumplimiento Se refiere al cumplimiento de
  leyes, regulaciones y compromisos contractuales a
  los cuales esta comprometida la empresa ej.
  criterios de negocio impuestos en forma externa
• Confiabilidad de la información Se refiere a
  proveer la información apropiada para que la
  administración maneje la empresa y cumpla con sus
  responsabilidades en cuanto a reportes
  financieros y cumplimiento de normas.

42
Como se relacionan los elementos
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
Incluyen controles que permiten satisfacer los
objetivos de negocio. En caso de que dichos
controles no sean efectivos los requerimientos de
negocio se verán afectados
43
Muchas Gracias