Está en la página 1de 39

COBIT

Administración de TI
Integrantes: Aragón Valladolid, Javier Calixto Salazar, Martín UNI - FIIS 2012 - I

DEFINICIÓN DE COBIT

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA

QUÉ ES COBIT?
• COBIT es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. • COBIT se utiliza para implementar el gobierno de TI y mejorar los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios.

• COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. permite el alineamiento y simplifica la implementación de la estructura COBIT. ayuda a las organizaciones a incrementar el valor alcanzado desde la TI. . que les permite a los gerentes cubrir la brecha entre los requerimientos de control. a través de las organizaciones. los aspectos técnicos y riesgos de negocio.QUÉ ES COBIT? • COBIT es un framework (infraestructura digital) de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. • COBIT enfatiza en la conformidad a regulaciones.

. VISIÓN COBIT Ser el modelo de control para la TI. desarrollar.MISIÓN COBIT Investigar. publicar y promover un conjunto de objetivos de control para tecnología de información. que sea internacional y este actualizado para uso cotidiano de gerentes. auditores y usuarios.

los recursos de TI deben ser administrados por un conjunto de procesos. .Regla de Oro de COBIT Para proveer la información que requiere la organización para lograr sus objetivos. agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.

USUARIOS COBIT • La Gerencia: Apoyo a decisiones de inversión en TI y control sobre su desempeño. balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible. su impacto en la organización y determinar el control mínimo requerido. Para saber que es lo mínimo que . • Organismos estatales de control: pueden exigir. • Los Auditores: :Soportar sus opiniones sobre los controles de los proyectos de TI. • Los Responsables de TI: Para identificar los controles que requieren en sus áreas. • Los Usuarios Finales: Obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente.

Principios COBIT REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO PROCESOS DE TI RECURSOS DE TI .

Efectividad Eficiencia Confidencialidad Integridad . oportuna.REQUERIMIENTO DE INFORMACIÓN Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta. en concordancia con los valores y expectativas del negocio. Relativa a la protección de la información sensitiva de su revelación no autorizada. Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. así como su validez. consistente y usable. Se refiere a la exactitud y completitud de la información.

Disponibilidad Cumplimiento Se refiere a cumplir con aquellas leyes. Confiabilidad Se refiere a la provisión de la información apropiada a la alta gerencia.REQUERIMIENTO DE INFORMACIÓN Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. a los que están sujetos los procesos del negocio. Involucra la salvaguarda de los recursos y sus capacidades asociadas. para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión. . regulaciones y acuerdos contractuales.

que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico. Aplicaciones: Entendido como los sistemas de información. dar soporte y monitorear los sistemas de Información. multimedia. sistemas de administración de bases de datos. gráficas. Recurso Humano: Por la habilidad. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. prestar servicios. Considera información interna y externa. . sistemas operativos. de redes. etc. estructurada o no.RECURSOS DE TI Datos: Todos los objetos de información. telecomunicaciones. adquirir. sonidos. conciencia y productividad del personal para planear. etc.

RECURSOS DE TI .

PROCESOS DE TI – LOS 3 NIVELES Agrupación natural de procesos. normalmente corresponden a una responsabilidad organizacional Dominios Procesos Conjuntos de actividades unidas con delimitación o cortes de control. . Las Actividades tienen un ciclo de vida mientras que las tareas son discretas. Actividades o tareas Acciones requeridas para lograr un resultado medible.

RECURSOS DE TI IDENTIFICADOS EN COBIT • Para resumir. como se ilustra en el CUBO COBIT . los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. • Este es el principio básico del marco de trabajo COBIT.

DOMINIOS DE TI • Para gobernar efectivamente TI. COBIT define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios. es importante determinar las actividades y los riesgos que requieren ser administrados. construir. ejecutar y Monitorear. Normalmente se ordenan dentro de dominios de responsabilidad de plan. .

13. Eficiencia. 2. 2. Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones (Ambiente Físico) Administración de Operaciones Recursos de TI Datos. 2. 6. 11. Confiabilidad Planeación y Organización 1. 7. 3. 5. Aplicaciones Tecnología. Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de la Función TI Administrar la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Administrar la Calidad Evaluación y Administración de Riesgos Administración de Proyectos CobiT Seguimiento Req. 10. 6. Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Facilitar la Operación y el uso Adquirir recursos de TI Administrar Cambios Instalar y acreditar soluciones y cambios Prestación de Servicio y Soporte . Recurso Humano 1. 8. 2. 4. 9. 5. 5. 8. Instalaciones. 4. Disponibilidad. Confidencialidad. 4. 4. 7. 10. Información Efectividad. 6. 7. Cumplimiento. 3. Monitorear y Evaluar el desempeño de TI Monitorear y Evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI 1. 3. 12.MARCO DE TRABAJO GENERAL DEL COBIT 1. 3. Integridad. 9.

• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas dentro de la organización los objetivos de TI? • ¿Se entienden y administran los riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? .DOMINIOS DE TI Planeación y Organización Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

Definir un plan estratégico de TI Que satisface el requisito de negocio para Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional Toma en consideración • Definición de los objetivos de negocio y necesidades para las TI • Inventario de soluciones tecnológicas e infraestructura actual • Cambios organizativos • Estudio de viabilidad oportuno • Existencia de evaluaciones de sistemas 2. Definir la arquitectura de información Que satisface el requisito de negocio para Una mejor organización de los sistemas de información Toma en consideración • Documentación • Diccionario de datos • Reglas sintácticas de datos • Propiedad de datos y clasificación crítica .Planeación y Organización 1.

3. Definir la organización y relaciones de la Función TI Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideración • Comité de dirección • Consejo de nivel de responsabilidad • Propiedad. Determinar la dirección tecnológica Que satisface el requisito de negocio para Tomar ventaja de la tecnología disponible y emergente Toma en consideración • Adecuación y evolución de la capacidad de la infraestructura actual • Monitorización de los desarrollos tecnológicos • Contingencias • Planes de adquisición 4. custodia • Supervisión • Segregación de obligaciones • Roles y responsabilidades • Descripciones del trabajo • Provisión de niveles • Clave personal .

Comunicación de la directrices Gerenciales Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideración • Código de conducta/ética • Directrices de tecnología • Conformidad • Comisión de calidad • Políticas de seguridad • Políticas de control interno .Planeación y Organización 5. Administrar la inversión en TI Que satisface el requisito de negocio para Garantizar la consolidación y controlar el gasto de los recursos financieros Toma en consideración • Consolidación de alternativas • Control del gasto efectivo • Justificación de los costes • Justificación de los beneficios 6.

Planeación y Organización 7. Administración del Recurso Humano Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideración • Refuerzo y promoción • Requisitos de calidad • Entrenamiento • Construcción del conocimiento • Evaluación de la ejecución objetiva y medible 8. monitoreo y revisión de la calidad . Administración de Calidad Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideración • Plan de estructura de la calidad • Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas • Estándares de desarrollo y de adquisición • Medición.

seguridad. Toma en consideración • Marco de trabajo para la administración de programas de inversión en TI • Marco de trabajo para la administración de proyectos • Distribución de responsabilidades • Proyecto y fase de aprobación • Costes y presupuesto del personal • Planes de seguridad de la calidad y métodos •Recursos del proyecto . continuidad. etc.) • Alcance: global o sistemas específicos • Metodología de análisis de riesgos • Medidas de riesgo cuantitativas y/o cualitativas • Plan de acción de riesgos 10. respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideración • Diferentes tipos de riesgos de TI (tecnología. Administración de Proyectos Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo. presupuesto y calidad acordados. Evaluación de Riesgos Que satisface el requisito de negocio para De asegurar la realización de los objetivos de TI.9.

DOMINIOS DE TI Adquisición e Implementación  Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. • ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? • ¿Los cambios afectarán las operaciones actuales del negocio? .

Adquisición y mantenimiento de SW aplicativo Que satisface el requisito de negocio para Suministrar funciones automáticas que soporten de forma efectiva los procesos de negocio Toma en consideración •Requisitos de usuario •Diseño detallado •Archivo. proceso y requisitos externos •Interfaz de la máquina-usuario •Controles de aplicación y requisitos de seguridad •Documentación . beneficios.) • Requisitos de usuario • Arquitectura de la información • Seguridad del coste-efectivo • Contratación externa 2. gasto. etc.1. Identificación de soluciones Automatizadas Que satisface el requisito de negocio para Asegurar la mejor aproximación para satisfacer los requisitos del usuario Toma en consideración • Definición de la información de requisitos • Estudios factibles (costes. alternativas.

Toma en consideración • Plan para soluciones de operación • Transferencia de conocimiento a la gerencia del negocio • Transferencia de conocimiento a usuarios finales • Transferencia de conocimiento al personal de operaciones y soporte . Facilitar la operación y el uso Que satisface el requisito de negocio para Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios. mantenimiento y cambio de controles 4. Adquisición y mantenimiento de arquitectura TI Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Toma en consideración • Asentamiento de la tecnología • Mantenimiento del hardware preventivo • Seguridad del sistema software. y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio.Adquisición e Implementación 3. instalación.

Toma en consideración • Control de adquisición • Administración de contratos con proveedores • Selección de proveedores • Adquisición de software • Adquisición de recursos de desarrollo • Adquisición de infraestructura. instalaciones y servicios relacionados 6. Toma en consideración •Estándares y procedimientos para cambios •Evaluación de impacto.5. Administrar cambios Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio. priorización y autorización •Cambios de emergencia •Seguimiento y reporte del estatus de cambio •Cierre y documentación del cambio . Adquirir recursos de TI Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio.

Instalar y acreditar soluciones y cambios Que satisface el requisito de negocio para Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Toma en consideración •Entrenamiento •Plan de prueba •Plan de implantación •Ambiente de prueba •Conversión de sistema y datos •Distribución del sistema .Adquisición e Implementación 7.

comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación.DOMINIOS DE TI Prestación de Servicios y Soporte Prestación efectiva de los servicios requeridos. •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad. la integridad y la disponibilidad? .

adheridas y continuar satisfaciendo los requisitos Toma en consideración • Identificación de las relaciones con todos los proveedores • Administración de las relaciones con los proveedores • Administración de riesgos del proveedor • Monitoreo del desempeño del proveedor . Definición del nivel de servicio Que satisface el requisito de negocio para Asegurar la alineación de los servicios claves de TI con la estrategia del negocio Toma en consideración • Definición de servicios • Definición de responsabilidades • Garantías de integridad • Monitoreo y reporte del cumplimento de los niveles de servicio • Revisión de los acuerdos de niveles de servicio y de los contratos 2. Administración del servicio de terceros Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes están definidas de forma clara.Prestación de Servicio y Soporte 1.

Pruebas. Entrenamiento y Distribución del plan de continuidad de TI . los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Asegurar el servicio continuo Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor Toma en consideración • Clasificación crítica • Plan de continuidad documentado • Recursos críticos de TI • Mantenimiento. Administración de la capacidad y el desempeño Que satisface el requisito de negocio para Optimizar el desempeño de la infraestructura.Prestación de Servicio y Soporte 3. Toma en consideración • Disponibilidad y cumplimiento de los requisitos • Capacidad y desempeño actual • Capacidad y desempeño futuros • Disponibilidad de recursos TI • Monitoreo y reporte 4.

descubrimiento o modificación.Prestación de Servicio y Soporte 5. Garantizar la seguridad del sistema Que satisface el requisito de negocio para Salvaguardar la información contra el uso no autorizado. Identificación y asignación de costos Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI Toma en consideración • Recursos identificables y medibles • Modelación de costos y cargos • Imponer valores . daño o pérdida Toma en consideración • Autorización • Autenticidad • Acceso • Uso de protección e identificación • Gestión de clave criptográfica • Detección y prevención de virus • Cortafuegos 6.

incidentes y preguntas.Prestación de Servicio y Soporte 7. Soporte a los clientes de TI Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales. Toma en consideración • Cuestiones del cliente y respuestas al problema • Monitorización de cuestiones y aclaraciones • Análisis de tendencias e información . Capacitación de usuarios Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados Toma en consideración • Plan de estudios de entrenamiento • Campañas de conocimiento • Técnicas de conocimiento 8.

verificar la existencia física y proveer de un fundamento para una gestión de cambio firme Toma en consideración • Medios de registro • Gestión del cambio de configuración • Chequeo del software no autorizado • Controles de almacenamiento de software 10. Administración de la configuración Que satisface el requisito de negocio para Considerar todos los componentes de TI. Administración de problemas e incidentes Que satisface el requisito de negocio para Asegurar que los problemas e incidentes serán resueltos. e investigando la causa para prevenir una nueva aparición de estos Toma en consideración • Reglas suficientes de auditoría de problemas y soluciones • Resolución oportuna de problemas anunciados • Informes de incidentes . prevenir alteraciones no autorizadas.Prestación de Servicio y Soporte 9.

actualización y almacenamiento Toma en consideración • Diseño del modelo • Controles de entrada • Controles de proceso • Controles de salida • Almacenamiento multimedia y gestión de copias de seguridad • Autenticidad e integridad 12. Administración de datos Que satisface el requisito de negocio para Asegurar que los datos permanecen completos. correctos y válidos durante su introducción. Administración de Instalaciones (Ambiente Físico) Que satisface el requisito de negocio para Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideración • Identificación de la situación • Seguridad física • Salud y seguridad del personal • Protección de amenazas del entorno .Prestación de Servicio y Soporte 11.

Administración de Operaciones Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideración • Manual de procedimiento de operaciones • Documentación del proceso puesto en marcha • Gestión de servicios de la red • Planificación del trabajo y el personal .Prestación de Servicio y Soporte 13.

el control. •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos.DOMINIOS DE TI Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. el cumplimiento y el desempeño? .

Monitorear y Evaluar el desempeño de TI Que satisface el requisito de negocio para Transparencia y entendimiento de los costos. beneficios.Monitoreo / Seguimiento 1. Toma en consideración •Método de monitoreo •Evaluación del desempeño •Reportes al consejo directivo y a ejecutivos •Acciones correctivas 2. Monitorear y evaluar el control interno Que satisface el requisito de negocio para Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. estrategia. Toma en consideración •Monitorear el marco de trabajo de control interno •Revisiones de Auditoría •Auto-evaluación de control •Control interno para terceros •Acciones correctivas .

Proporcionar gobierno de TI Que satisface el requisito de negocio para La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideración •Establecer un marco de trabajo de gobierno para TI •Alineamiento estratégico •Entrega de valor •Administración de recursos •Administración de riesgos •Medición del desempeño . Toma en consideración •Identificar las leyes y regulaciones con impacto potencial sobre TI •Optimizar la respuesta a requerimientos regulatorios •Evaluación del cumplimiento con requerimientos regulatorios •Aseguramiento positivo del cumplimiento •Reportes integrados 4.Monitoreo / Seguimiento 3. Garantizar el cumplimiento regulatorio Que satisface el requisito de negocio para Cumplir las leyes y regulaciones.

GRACIAS… .