View
236
Download
0
Category
Preview:
Citation preview
¿Qué es COBIT?
Es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute)
COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización
La primera edición de COBIT data de 1996
El paquete completo de COBIT consiste en: Executive Summary (Resumen Ejecutivo) que provee una
completa noción y entendimiento de los conceptos y principios claves de COBIT.
Framework (Marco de referencia) explica como los procesos IT producen información que el negocio necesita para alcanzar sus objetivos.
Control Objectives (Objetivos de Control) Aquí se incluyen los enunciados de los resultados deseados o propósitos a alcanzarse.
Management Guidelines (Lineamientos Gerenciales) ayuda a determinar las etapas y níveles de control y compararlos contra estandares coorporativos.
IT Assurance Guide (Guía de Aseguramiento IT) provee las herramientas para asegurar los controles en toda forma necesaria, desde su diseño hasta sus resultados.
Características Orientado al negocio
Alineado con estándares y regulaciones “de facto”
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
¿A quiénes está dirigido?
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
Alcances y Objetivos Estándares generalmente aplicados y aceptados para las
buenas prácticas de control en TI (Tecnologías de la Información)
Para Sistemas de Información de la Organización
Fundamentado en una estructura de control de las TI
Basado en los Objetivos de Control de ISACF
La misión de COBIT Es Investigar, Desarrollar, Publicar y promocionar
Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.
CRITERIOS DE INFORMACIÓN DE COBIT
La efectividad que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.
La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.
La confidencialidad La integridad La disponibilidad La confiabilidad proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
El cumplimiento acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.
RECURSOS DE TI Las aplicaciones incluyen tanto sistemas de usuario automatizados
como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada,
procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
Dominios COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.
o Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
o Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.
o Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.
o Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.
PLANEAR Y ORGANIZAR (PO) Este dominio cubre estrategia y táctica, y se relaciona
con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.
ADQUIRIR E IMPLEMENTAR (AI) Para realizar la estrategia TI, se deben identificar,
desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.
ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.
MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuales son sus actividades clave y entregables principales, y quién es el responsable de ellas.
Procesos PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Procesos ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnologica
AI4 Facilitar la operacion y uso
AI5 Adquirir recursos TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Procesos ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones
Procesos MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
Control se define como las políticas, procedimientos, prácticas
y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.
Recommended