www.seguridadinformacion.

cl

C
OB
I
T

Control
OBjectives
for Information
and Related Technology

Origen de COBIT
Actualizacin de los objetivos
de control de ISACF
Expansin del enfoque a las
necesidades
de
la
Administracin y el Usuario
Perspectiva Global
Comit de Anlisis

Misin del COBIT

Para investigar, desarrollar, publicar y
promover un conjunto actualizado
e
internacional de objetivos de control de
Tecnologa de la Informacin generalmente
aceptado,
para su uso diario por los
administradores del negocio
y
los
auditores.

Alcances y objetivos:
Estndares
generalmente
aplicados
y
aceptados para las buenas prcticas de
control en TI (Tecnologas de la Informacin)
Para Sistemas de Informacin de la
Organizacin
Fundamentado en una estructura de control de
las TI
Basado en los Objetivos de Control de ISACF.

Componentes del C OBI T

Resumen Ejecutivo
Descripcin de la Estructura
Objetivos de Control
Guas de Auditora

 Visin Ejecutiva
Antecedentes
La Estructura del COBIT
Definiciones
Los Principios de la Estructura
Dominios y Procesos
Relaciones entre Principios, Dominios y
Procesos

Necesidad por una Estructura

Orientacin al Control
Relacionar
objetivos
de
control
individuales
con
los
Estndares,
Regulaciones y Prcticas existentes.
Usado por Auditores, Administradores y
Usuarios

Expectativas de la
Administracin en TI
Proceso de Re-Ingeniera
Proceso Distribudo
Outsourcing

Responsabilidades Administrativas TI
Salvaguardar Activos
La Informacin como el ACTIVO ms
importante

La Necesidad del
Control en TI
Administradores
Usuarios
Auditores

Definicin de Control
Las Polticas, Procedimientos, Prcticas

y Estructura Organizacional, diseadas

para proveer una razonable seguridad de
que los objetivos del negocio
sern
alcanzados y los
eventos
indeseados
sern prevenidos o
detectados
y
corregidos.

Recursos de Tecnologa de
Informacin
Datos
Sistemas de Aplicacin
Tecnologa
Instalaciones
Personal

Requerimientos del Negocio

hacia la Informacin
Requerimientos
de calidad

Calidad
Costo
Entrega

Requerimientos
Fiduciarios
(Informe COSO)

Efectividad & Eficiencia de operaciones

Confiabilidad de Informacin
Cumplimiento con leyes & regulaciones

Requerimientos
de Seguridad

Confidencialidad
Integridad
Disponibilidad

Requerimientos del Negocio

hacia la Informacin
Efectividad

Eficiencia

Trata con informacin que es relevante y pertinente al proceso de

negocio, adems de ser entregada de una manera oportuna,
correcta, consistente y utilizable.
Se relaciona con la provisin de informacin a travs del ptimo
(ms productivo y econmico ) uso de recursos.

Confidencialidad Se relaciona con la proteccin de informacin sensible a divulgacin

No autorizada.

Integridad

Se relaciona con la exactitud e integridad de informacin as como

tambin con su validez en conformidad con valores y expectativas
del NEGOCIO.

Requerimientos del negocio

hacia la Informacin
Disponibilida
d

Cumplimiento

Confiabilidad de
Informacin

Se relaciona con informacin disponible al

ser
requerida por el proceso de negocio ahora y en el
futuro. Se relaciona con el resguardo de recursos
necesarios y capacidades asociadas.
Trata con el cumplimiento de aquellas
leyes,
regulaciones y arreglos contractuales a los cuales est
sujeto el proceso de negocio; es decir, criterios de
negocios impuestos externamente.
Se relaciona con la provisin de informacin apropiada
a la gerencia para operar la entidad y para que la
gerencia ejerza sus responsabilidades de
informar
cumplimiento.

Recursos de la Tecnologa de
la Informacin (T.I.)
Datos

Objetos en su ms amplio sentido (es decir,

externos e internos), estructurados y no
estructurados, grficos, sonidos, etc.

Sistemas de
Aplicacin

Los sistemas de aplicacin, se entienden como

la suma de procedimientos manuales y
programados.

Cpallavicini@pallavicini.cl Pallavicini Consultores www.seguridadinformatica.cl

Recursos de la Tecnologa de
la Informacin (T.I.)
Tecnologa
Tecnologa

Tecnologa cubre hardware, sistemas operativos,

Sistemas de administracin de bases de datos, redes,
multimedia, etc.

Instalacin
Instalaciones Instalaciones son todos los recursos para albergar y

respaldar Sistemas de informacin.

Gente

Gente incluye las destrezas, conciencia y productividad

Gente del personal para planificar, organizar, adquirir, entregar,
respaldar y Monitorear sistemas y servicios de informacin.

Procesos de Informacin
Tres Niveles
Dominios
Procesos

Actividades

Dominios del Cobit

Planificacin
y
Organizacin

Este dominio cubre estrategia y tctica, y se relaciona

con la identificacin de la forma en que TI puede
contribuir mejor al logro de los objetivos de negocios.
Ms an, la realizacin de la visin estratgica debe ser
planificada, comunicada y administrada para diferentes
perspectivas.
Finalmente, se debe poseer una apropiada organizacin
adems de una infraestructura tecnolgica.

Dominios del Cobit

Adquisicin e
Implementacin

Para realizar la estrategia TI, se deben identificar,

desarrollar o adquirir las necesidades TI, as como
implementarlas e incorporarlas a los procesos de
negocios. Adems, los cambios en y la mantencin
de sistemas existentes son cubiertas por ste
dominio, para asegurarse que el ciclo de vida til es
continuo para estos sistemas.

Dominios del Cobit

Procedimientos manuales y programados. real de
servicios requeridos, la cual va desde operaciones
tradicionales en seguridad y aspectos de continuidad a
capacitacin. Para entregar servicios, se deben
preparar los procesos de respaldo necesarios. Este
dominio incluye procesamiento real de datos mediante
procesos de aplicaciones, a menudo clasificados bajo
controles de aplicaciones.

Entrega y
Respaldo

.
www.seguridadinformacion.cl

Dominios del Cobit

Monitoreo

Todos los procesos TI deben ser evaluados

regularmente en el tiempo
para su calidad y
cumplimiento
con requerimientos de control. Este dominio, por
consiguiente, aborda la supervisin por parte de la
gerencia del proceso de control de la organizacin y la
garanta independiente proporcionada por auditora
interna y externa, o se obtiene de fuentes alternativas.

OBJETIVOS DE
NEGOCIOS

M1 monitorear los procesos

M2 evaluar adecuacin de control
interno
M3 lograr garanta independiente
M4 disponer de auditora interna

COBIT
INFORMACION

MONITOREO

ENTREGA &
RESPALDO

DS1 definir niveles de servicio

DS2 administrar servicios de terceros
DS3 administrar desempeo y capacidad
DS4 asegurar servicio continuo
DS5 asegurar seguridad de sistemas
DS6 identificar y atribuir costos
DS7 adecuar y capacitar a usuarios
DS8 ayudar y aconsejar a clientes de TI
DS9 administrar la configuracin
DS10 administrar problemas e incidentes
DS11 administrar datos
DS12 administrar instalaciones
DS13 administrar operaciones

PO1 definir un plan TI estratgico

PO2 definir la arquitectura de informacin
PO3 determinar la direccin tecnolgica
PO4 definir la organizacin TI y relaciones
PO5 administrar la inversin en TI
PO6 comunicar a gerencia metas y direccin
PO7 administrar recursos humanos
PO8 asegurar cumplimiento con
requerimientos externos
PO9 evaluar riesgos
PO10 administrar proyectos
PO11 administrar calidad

efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

PLANIFICACION &
ORGANIZACION

RECURSOS TI

ADQUISICIN &
IMPLEMENTACION

gente
sistemas de
aplicaciones
tecnologa
instalaciones
datos
AI1 identificar soluciones
AI2 adquirir y mantener software de
aplicaciones
AI3 adquirir y mantener arquitectura de
tecnologa
AI4 desarrollar y mantener recursos TI
AI5 instalar y acreditar sistemas
AI6 administrar cambios

Dominio Planificacin y
Organizacin
1. Definicin del Plan Estratgico
2. Definicin de la Arquitectura de la
Informacin
3. Determinacin de la Direccin
Tecnolgica
4. Definicin de la organizacin y sus
relaciones

Dominio Planificacin y
Organizacin
(CONTINUACIN)

5. Manejo de la Inversin
6. Comunicacin de Polticas y los
Objetivos de la Direccin
7. Administracin del Personal
8. Requerimientos de Organismos
Contralores Externos

Dominio Planificacin y
Organizacin
(CONTINUACIN)

9. Evaluacin de riesgos
10. Administracin de Proyectos
11. Administracin de la Calidad

Dominio Adquisicin e
Implementacin
1.
2.
3.
4.
5.
6.

Identificar soluciones.
Adquirir y mantener software de
aplicaciones.
Adquirir y mantener arquitectura de
tecnologa.
Desarrollar y mantener recursos TI.
Instalar y acreditar sistemas.
Administrar cambios.

Dominio Entrega y Soporte

1.
2.
3.
4.
5.
6.
7.

Definir niveles de servicio.

Administrar servicios de terceros.
Administrar desempeo y capacidad
Asegurar servicio continuo.
Asegurar seguridad de sistemas.
Identificar y atribuir costos.
Adecuar y capacitar a usuarios.

Dominio Entrega y Soporte

(continuacin)

8.
9.
10.
11.
12.
13.

Ayudar y aconsejar a clientes de TI.

Administrar la configuracin.
Administrar problemas e incidentes.
Administrar datos.
Administrar instalaciones.
Administrar operaciones.

Dominio Monitoreo
1. Monitorear los procesos.
2.
Evaluar la adecuacin del control
interno.
3. Lograr garanta independiente.
4. Disponer de auditora interna.

PO5. Manejo de la Inversin

en Tecnologa de Informacin
5.1. Presupuesto Operativo Anual para
Funcin de Servicios de Informacin.

la

Proceso de definicin de presupuesto operativo.

Consideracin en el proceso de:
Plan

de la organizacin.
Plan Informtico.

Proceso de anlisis
financiamiento.

de

alternativas

de

PO5. Manejo de la Inversin

en Tecnologa de la
Informacin
(continuacin)

5.2. Monitoreo de Costo - Beneficios.

Proceso de medicin, registro y control de costos

contra presupuesto.
Identificacin, medicin y reporte de los
beneficios de la TI.
Sistema de costos asociado a la Contabilidad.
Proceso periodico de revisin de las unidades de
medicin de beneficios de la TI.

PO5. Manejo de la Inversin en

Tecnologa de la Informacin
(continuacin)

5.3. Justificacin del Costo - Beneficio.

Proceso de verificacin de los costos del servicio

de TI v/s la Industria (benchmarking).
Proceso de verificacin del nivel de actividades
de la TI con respecto a la Industria.

PO7. Administracin de
Recursos Humanos
7.1. Reclutamiento
personal

promocin

de

Polticas de reclutamiento y promocin del

personal.
Proceso formal de reclutamiento y
promocin del personal.
Aspectos a considerar como la educacin,
experiencia y responsabilidad.

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.2. Personal calificado.

Definicin de requerimientos del puesto.

Proceso de verificacin de la calificacin
de las personas.

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.3. Entrenamiento del personal.

Proceso de induccin de nuevos

empleados en la Empresa.
Programa de capacitacin de acuerdo a
los requerimientos de cargo.
Proceso peridico de revisin del
programa de capacitacin.

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.4. Proceso cruzado o respaldo de personal.

Identificacin de los puestos claves.

Programa de entrenamiento cruzado (puestos
claves).
Programa de vacaciones/control de cumplimiento.

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.5. Procedimiento de acreditacin del personal

Procedimiento de verificacin de antecedentes del

personal previo a su contratacin o cambio.
Consideracin en el procedimiento de su situacin
financiera.

Cpallavicini@pallavicini.cl Pallavicini Consultores propiedad intelectual reservada

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.6. Evaluacin desempeo de los empleados.

Pauta de evaluacin del desempeo de los

empleados.
Consideracin de estndares y responsabilidades
del cargo que ocupa el empleado.
Procedimiento formal de aplicacin peridica de
dicha pauta.
Procedimiento formal de entrega de resultados al
empleado.

PO7. Administracin de
Recursos Humanos

(CONTINUACIN)

7.7. Cambios de puesto y despidos.

Procedimiento formal y conocido, para el despido y

cambio del puesto, del personal
Procedimiento para la eliminacin/suspensin
inmediata de las passwords de acceso a los
ambientes computacionales, sistemas y datos, de
cada persona despedida o trasladada a otro cargo.
Cpallavicini@pallavicini.cl Pallavicini Consultores
propiedad intelectual del resumen en Powerpoint reservada