El paquete completo de COBIT consiste en:

Tamaño: px

Comenzar la demostración a partir de la página:

Download "El paquete completo de COBIT consiste en:"

Monica Soto González
hace 6 años
Vistas:

2 Qué es COBIT? Es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute) COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización La primera edición de COBIT data de 1996

3 El paquete completo de COBIT consiste en: Executive Summary (Resumen Ejecutivo) que provee una completa noción y entendimiento de los conceptos y principios claves de COBIT. Framework (Marco de referencia) explica como los procesos IT producen información que el negocio necesita para alcanzar sus objetivos. Control Objectives (Objetivos de Control) Aquí se incluyen los enunciados de los resultados deseados o propósitos a alcanzarse. Management Guidelines (Lineamientos Gerenciales) ayuda a determinar las etapas y níveles de control y compararlos contra estandares coorporativos. IT Assurance Guide (Guía de Aseguramiento IT) provee las herramientas para asegurar los controles en toda forma necesaria, desde su diseño hasta sus resultados.

4 Características Orientado al negocio Alineado con estándares y regulaciones de facto Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

5 A quiénes está dirigido? La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas.

6 Alcances y Objetivos Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información) Para Sistemas de Información de la Organización Fundamentado en una estructura de control de las TI Basado en los Objetivos de Control de ISACF

7 La misión de COBIT Es Investigar, Desarrollar, Publicar y promocionar Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.

8 Principio Básico de COBIT

9 CRITERIOS DE INFORMACIÓN DE COBIT La efectividad que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. La confidencialidad La integridad La disponibilidad La confiabilidad proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno. El cumplimiento acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

10 Definir las Metas de TI y la Arquitectura Empresarial para TI

11 RECURSOS DE TI Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

12 Procesos TI

13 Dominios COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios. o Planear y Organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). o Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. o Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. o Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.

14 Los 4 dominios interrelacionados

15 PLANEAR Y ORGANIZAR (PO) Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.

16 ADQUIRIR E IMPLEMENTAR (AI) Para realizar la estrategia TI, se deben identificar, desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.

17 ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

18 MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

19 A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa. Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuales son sus actividades clave y entregables principales, y quién es el responsable de ellas.

20 Procesos PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos

21 Procesos ADQUIRIR E IMPLEMENTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnologica AI4 Facilitar la operacion y uso AI5 Adquirir recursos TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

22 Procesos ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones

23 Procesos MONITOREAR Y EVALUAR ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI

25 Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

26 El Modelo del Marco de Trabajo de COBIT

27 Cubo COBIT

Documentos relacionados

obit Objetivos de Control para la Información y Tecnologías Relacionadas

obit Objetivos de Control para la Información y Tecnologías Relacionadas ANTECEDENTES CObIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad