AUDI TORI ADESI STEMASDEI NFORMACI N COBIT Control Objetives for information and related technologiesQu es COBIT? ControlObjetivesforinformationandrelated technologies(ObjetivosdeControlparaInformacinyTecnologasRelacionadas),esunaguademejores prcticaspresentadocomomarcodereferencia, dirigidaalcontrolysupervisindetecnologadela informacin. Principales Caractersticas de COBIT Enfocado al negocio Orientado a los procesos Basado en los controles Guiado por la medicin COBIT El gobierno de TI es responsabilidad de los ejecutivos, delconsejodedirectoresyconstadeliderazgo, estructurasyprocesosorganizacionalesque garantizanqueTIenlaempresasostieneyextiende las estrategias y objetivos organizacionales. COBIT ParaqueTItengaxi toensati sf acerl os requerimientosdelnegocio,ladireccindebe implementar un sistema de control interno o un marco detrabajo.ElmarcodetrabajodecontrolCOBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio OrganizandolasactividadesdeTIenunmodelodeprocesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados COBIT !LosObjetivosdeControlparalaInformacinyla Tecnologarelacionada(COBIT)brindanbuenas prcticasatravsdeunmarcodetrabajodedominiosy procesos,ypresentalasactividadesenunaestructura manejable y lgica.!LasbuenasprcticasdeCOBITrepresentanelconsenso de los expertos.!Estn enfocadas fuertemente en el control y menos en la ejecucin.!Estasprcticasayudarnaoptimizarlasinversiones habilitadasporTI,asegurarnlaentregadelservicioy brindarnunamedidacontralacualjuzgarcuandolas cosas no vayan bien.El gobierno corporativoProveer direccin estratgica Asegurar que los objetivos son logrados Establecer una adecuada administracin de riesgos Verificar que los recursos de la empresa son utilizados responsablemente La alta gerencia necesita que TI: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y acte de acuerdo a ellasQuin necesita COBIT? Interesados dentro de la empresa que tienen inters en generar valor de las inversiones en TI. Aquellos que toman decisiones de inversiones Aquellos que deciden respecto a los requerimientos Aquellos que utilizan los servicios de TI Interesados internos y externos que proporcionan servicios de TI: Aquellos que administran la organizacin y los procesos de TI Aquellos que desarrollan capacidades Aquellos que operan los servicios Interesadosinternosyexternosconresponsabilidadesdecontrol/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo Aquellos que realizan funciones de cumplimiento Aquellos que requieren o proporcionan servicios de aseguramientoCOBIT: ENFOCADO AL NEGOCIO PRINCIPIO BSICO COBIT: ENFOCADO AL NEGOCIO CRITERIOS DE INFORMACIN DECOBIT La informacin debe cumplir los siguientes requisitos de negocio y utilizados como Criterios de control: La efectividadRelevante y pertinente. Oportuna, correcta, consistente y utilizable La eficienciaGenerada optimizando los recursos La confidencialidadProteccin contra revelacin no autorizada La integridad Precisin y completitud de la informacin. Validez La disponibilidadDisponible cuando sea requerida. El cumplimiento Acatarleyes, reglamentos y acuerdos contractuales.La confiabilidad Informacin apropiada. COBIT: ENFOCADO AL NEGOCIO Gestin de recursos TI PROCESO TI INFRAESTRUCTURA Y RRHH Comprende el hardware,software, instalaciones, redes , etc. APLICACIONES Incluyen sistemas de usuario automatizados como procedimientos manuales que procesan informacin. INFORMACIN Son los datos en todas sus formas, de entrada, procesados, generados. ENTREGA EJECUTA NECESITA Dominios de COBIT COBIT: ORIENTADO A PROCESOS COBIT: ORIENTADO A PROCESOS PLANEAR Y ORGANIZAR (PO) Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.PLANEAR Y ORGANIZAR (PO)Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia:! Estn alineadas las estrategias de TI y del negocio?! La empresa est alcanzando un uso ptimo de sus recursos?! Entienden todas las personas dentro de la organizacin los objetivos de TI?! Se entienden y administran los riesgos de TI?! Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?PLANEAR Y ORGANIZAR (PO)P02 Definir la arquitectura de informacinP03 Determinar la direccin tecnolgica P04 Definir procesos, organizacin y relaciones de TI. P05 Administrar la inversin en TI P06 Comunicar las aspiraciones y la direccin de la gerencia. P07 Administrar recursos humanos Ti P08 Administrar calidad P09 Evaluar y administrar riesgos de TI P10 Administrar proyectos COBIT: ORIENTADO A PROCESOS ADQUIRIR E IMPLEMENTAR (AI)!Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.ADQUIRIR E IMPLEMENTAR (AI)!Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia:! Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?! Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?! Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?! Los cambios no afectarn a las operaciones actuales del negocio? ADQUIRIR E IMPLEMENTAR (AI)AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el software aplicativo AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Facilitar la operacin y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7Instalar y acreditar soluciones y cambios COBIT: ORIENTADO A PROCESOS ENTREGAR Y DAR SOPORTE (DS)!Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos.ENTREGAR Y DAR SOPORTE (DS)Por lo general cubre las siguientes preguntas de la gerencia:! Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio?! Estn optimizados los costos de TI?! Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?! Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?!Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos.ENTREGAR Y DAR SOPORTE (DS)DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Administrar desempeo y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes ENTREGAR Y DAR SOPORTE (DS)DS9 Administrar la configuracinDS10 Administrar problemas DS11 Administrar los datos DS12 Administrar el ambiente fsico DS13 Administrar las operaciones COBIT: ORIENTADO A PROCESOS MONITOREAR Y EVALUAR (ME)!Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.MONITOREAR Y EVALUAR (ME)!Por lo general abarca las siguientes preguntas de la gerencia:! Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde?! La Gerencia garantiza que los controles internos son efectivos y eficientes?! Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio?! Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?ENTREGAR Y DAR SOPORTE (DS)ME1 Monitorear y evaluar el desempeo de TI ME2 Monitorerar y evaluar el control interno ME3 Garantizar cumplimiento regulatorio ME4 Proporcionar gobierno de TI COBIT: BASADO EN CONTROLES !COBIT define objetivos de control para los 34 procesos,as como para el proceso general y los controles de aplicacin. COBIT: BASADO EN CONTROLES Estos objetivosde control de TI proporcionan un conjunto de requerimientos que debe considerar la gerencia para un control efectivo de cada proceso de TI. !Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo. !Consisten en polticas, procedimientos,prcticas y estructuras organizacionales. !Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn. COBIT: BASADO EN CONTROLES La gerencia debe tomar decisiones sobre los objetivos de control: Seleccionando aquellos aplicables Decidir aquellos que deben implementarse Elegir como implementarlos (frecuencia, extensin, automatizacin, etc) Aceptar el riesgo de no implementar aquellos que podran aplicar. COBIT: IMPULSADO POR LA MEDICIN MODELO GENRICO DE MADUREZ COBIT: IMPULSADO POR LA MEDICIN Marco de trabajo de COBIT Fuente !Tomado de COBIT 4.1 en espaol.