Control Objectives for Information and related Technology

Administración de Centros Sustentado Por: Joan M. Reynoso

Prof. Jacqueline Vega Frederick Clark
 Agenda
1. Introducción 7. Orientación a Negocio

2. Conceptos Básicos 8. Adm. De Información

3. Beneficios 9. Áreas de Enfoque

4. Versiones 10. Relaciones de Comp.
5. Dominios 11. Gestión de Recursos
6. Secciones 12. Modelo de Control

Joam
Joam M.
M. Reynoso
Reynoso
 IT Requiere Supervisión Ejecutiva
Con una buena razón:

 Las dificultades de una empresa de manufactura de ropa en instalar una

herramienta para una cadena de suministro le cuesta a TI US$ 200
millones.

 Una empresa que cotiza en bolsa admitió que un virtual colapso de su

sistema de información financiera redujo su valor de mercado en un tercio
en un solo día.

 Una crisis de funcionamiento después de la fusión de dos empresas de

transporte se remonta a la incapacidad para coordinar sus sistemas de TI.

Joam M. Reynoso
Supervisión Contribuye a Creación de
Valor
IT proveer beneficios significativos:

 Una transformación de una cadena de suministro de una aerolínea

mejoro el pronostico de la demanda, redujo los costos de
adquisición y mejoro los niveles de servicios mientras los costos
cayeron.

 Una empresa de productos y servicios de tecnología ahorro US$

12 billones en dos años enlazando piezas diferentes de su cadena
de suministro, reduciendo así sus niveles de inventario.

Joam M. Reynoso
 Gobierno de TI es la clave

 Las organizaciones están sacrificando

dinero, productividad y ventajas
competitivas por implementar un efectivo
Gobierno de TI.

 Los ejecutivos necesitan una mejor forma

para:
• Dirigir TI para optimo aprovechamiento
• Medir el valor que aporta TI al negocio
• Manejar los riegos relacionados a TI

Joam M. Reynoso
CobiT: Conceptos Básicos

Concepto: Conjunto de mejores practicas o marco de trabajo para

administración de TI, desarrollado por ISACA y ITGI en 1996.

Misión: Investigar, desarrollar, publicar y promover objetivos de controles

autorizados, actualizados e internacionalmente aceptados para administradores de
negocios y auditores.

Objetivo: Asistir con la maximización de beneficios derivados de TI y el

desarrollo de un apropiado control y gobierno de TI.

Joam M. Reynoso
Joam M. Reynoso
• Provee herramientas para identificar las cuestiones de control
dentro de infraestructura de TI
• Ayuda a corroborar conclusiones propias del área de Auditoria.
Auditores
• Incorpora una definición de controles, seguridad y gobernabilidad
en procesos.
Usuarios TI
• Provee una base sobre la cual apoyar las decisiones e inversiones
relacionadas a TI.
• Aseguramiento de un servicio continuo y monitoreo del
Gerentes
rendimiento de los sistema s.
• Ayuda a mejorar la efectividad en la toma de decisiones.
CobiT: Beneficios
 CobiT: Versiones

2007
1994 1998 2003 4ta
Desarrollo 2da Disponible Edición
Preliminar Edición Versión Online Revisión

1996 2000 2005

1ra 3ra 4ta
Edición Edición Edición

Joam M. Reynoso
CobiT: Estructura (Dominios)

Planificación y organización Adquisición e

implementación

Monitorización y evaluación
Entrega y soporte

Joam M. Reynoso
CobiT: Dominios
Planificación y Organización

Procesos
•PO1 – Definir plan y dirección para TI  Este dominio cubre
•PO2 – Definir una arquitectura de información estrategia y táctica, y se
•PO3 – Determinar la dirección tecnológica
•PO4 – Definir procesos, organización y relaciona con la
relaciones para TI identificación de la forma
•PO5 – Administrar la inversión de TI
•PO6 – Comunicar objetivos de gestión y en que TI puede contribuir
dirección mejor al logro de los
•PO7 - Administrar recursos humanos de IT
•PO8 – Administrar Calidad objetivos de negocios.
•PO9 – Evaluar y administrar riesgos de TI
•PO10 – Administrar proyectos

Joam M. Reynoso
CobiT: Dominios
Adquisición e Implementación
Procesos
•AI1 – Identificar soluciones
automatizadas
•AI2 – Adquirir y mantener
aplicaciones de software
•AI3 – Adquirir y mantener
tecnología de infraestructura
•AI4 – Habilitar operaciones y uso
•AI5 – Procurar recursos de TI
•AI6 – Administrar cambios
•AI7 – Instalar y acreditar
soluciones y cambios
 Para realizar la estrategia TI, se
deben identificar, desarrollar o
adquirir las necesidades TI, así
como implementarlas e
incorporarlas a los procesos de
negocios. Además, los cambios y
el mantener sistemas existentes
son cubiertas por éste dominio,
para asegurarse que el ciclo de
vida útil es continuo para estos
sistemas.
Joam M. Reynoso
CobiT: Dominios
Entrega y Soporte
Procesos
•DS1 – Definir y administrar niveles de
servicios
•DS2 – Administrar servicios de terceros
•DS3 – Administrar rendimiento y capacidad
•DS4 – Asegurar continuidad de servicio
•DS5 – Asegurar seguridad de sistemas
•DS6 – Identificar y asignar costos
•DS7 – Adecuar y entrenar usuarios
•DS8 – Administrar mesa de ayuda e incidentes
•DS9 – Administrar Configuración
•DS10 – Administrar Problemas
•DS11 – Administrar Datos
•DS12 – Administrar el Ambiente Físico
•DS13 – Administrar Operaciones
 Se centra en los aspectos de la
entrega de la tecnología de la
información. Cubre áreas tales
como la ejecución de las
aplicaciones dentro del sistema de
TI y sus resultados, así como los
procesos de apoyo que permitan la
ejecución eficaz y eficiente de estos
sistemas de TI. Estos procesos de
apoyo incluyen cuestiones de
seguridad y formación.
Joam M. Reynoso
CobiT: Dominios
Monitoreo y Evaluación

 Cubre la estrategia empresarial en la

Procesos evaluación de las necesidades y si el
•Monitorear y evaluar procesos de sistema actual sigue cumpliendo los
TI objetivos para los que fue diseñado y los
•Monitorear y evaluar controles controles necesarios para cumplir con
internos los requisitos reglamentarios. Además,
•Asegurar cumplimiento de abarca el monitoreo de la eficacia de los
regulaciones
•Proveer Gobernabilidad de TI
sistemas de TI en su capacidad para
cumplir con los objetivos de negocio y
los procesos de control por los auditores
internos y externos

Joam M. Reynoso
CobiT: Secciones

Marco
Resumen Objetivos de
Gobernabilidad y
Ejecutivo Control
Control

Guía
Guía de
Guías de Control Aseguramiento
Implementación
de IT

Joam M. Reynoso
CobiT 4.1 : Resumen Ejecutivo
Orientación al Negocio

Negocio TI
Metas del Metas de

Modelos
Resp.
Métricas de Resp. TI
Negocio
Madurez

Frederick Clark
CobiT 4.1 : Resumen Ejecutivo
CobiT responde preguntas claves de negocios

¿ ?  ¿Está la TI de mi organización
haciendo las actividades correctas?

 ¿Estamos haciendolas en la forma

correcta?

 ¿Estamos obteniendolas bien hechas?

 ¿Estamos recibiendo los beneficios?

* Basado en los “Cuatro Estamos” tal como las describe John Thorp en su libro La Paradoja de la Información
escrito en acuerdo con Fujitsu, publicado por primera vez en 1998 y revisado en 2003

Frederick Clark
 CobiT : Resumen Ejecutivo
Administración de la Información

¿Cómo hacen los gerentes responsables Tableros de

¿Indicadores?
para mantener el barco en curso? Control

¿Cómo puede la empresa lograr resultados

que sean satisfactorios para la mayor parte Marcadores de
¿Mediciones?
de los interesados? Puntuación

¿Cómo puede la empresa adaptarse de

manera oportuna a las tendencias y Benchmarking ¿Escalas?
avances del ambiente empresarial?

Frederick Clark
CobiT : Resumen Ejecutivo
Áreas de Enfoque del Gobierno de TI

Gobierno de TI
Medición
Alineación Entrega de Adm. de Adm. De
del
Estratégica valor Recursos Riesgos
Desempeño

Frederick Clark
CobiT : Resumen Ejecutivo
Interrelaciones de los componentes

Frederick Clark
CobiT : Marco de Trabajo
Por qué

 Un marco de control para el Gobierno TI define las

razones de por qué se necesita el Gobierno de TI, los
interesados y que se necesita cumplir en el gobierno de
TI

Frederick Clark
CobiT : Marco de Trabajo
Por qué

 Las Empresas necesitan saber si su TI les permite:

 Garantizar el logro de sus objetivos
 Tener suficiente flexibilidad para aprender y adaptarse
 Contar con un manejo juicioso de los riesgos que enfrenta
 Reconocer de forma apropiada las oportunidades y actuar
de acuerdo a ellas

Frederick Clark
CobiT : Marco de Trabajo
Por qué

 Las Empresas exitosas entienden sus riesgos y aprovecha la TI

encontrando maneras para:
 Alinear la estrategia de TI con la estrategia del negocio
 Asegurar que los inversionistas y accionistas logran un debido cuidado
estandarizado para la mitigación de los riesgos de TI
 Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual
a toda la empresa
 Proporcionar estructuras organizacionales que faciliten la implementación de
estrategias y metas
 Crear relaciones constructivas y comunicaciones efectivas entre el negocio y
TI, y con socios externos
 Medir el desempeño de TI

Frederick Clark
CobiT : Marco de Trabajo
Por qué

Vínculo
Vínculo con
con los
los
requerimientos
requerimientos del
del
negocio
negocio

Se
Se definan
definan los
los El
El desempeño
desempeño real
real
objetivos
objetivos de
de con
con respecto
respecto aa
control
control estos
estos
Gerenciales
Gerenciales aa ser
ser requerimientos
requerimientos sea
sea
considerados
considerados Marco
Marco transparente
transparente
de
de
Trabajo
Trabajo

Se
Se organicen
organicen sus
sus
Se
Se identifiquen
identifiquen los
los actividades
actividades en
en un
un
principales
principales modelo
modelo de
de
recursos a ser
recursos a ser procesos
procesos
apalancados
apalancados generalmente
generalmente
aceptado
aceptado

Frederick
Frederick Clark
Clark
CobiT : Marco de Trabajo
Quién
Interesados internos
Interesados Interesados internos y
y externos que
empresariales en las externos con resp. De
proporcionan
inversiones de TI control y riesgo
Servicios de TI

Responsabilidad
Toman Administran la
de seguridad,
decisiones de organización de
privacidad y/o
inversión Procesos de TI
riesgo

Deciden respecto Realizan

Desarrollan
a los funciones de
Capacidades
requerimientos cumplimiento

Requieren o
Utilizan proporcionan
Operan Servicios
Servicios de TI servicios de
aseguramiento

Frederick Clark
CobiT : Marco de Trabajo
Qué

Brindar
Brindar un
un
enfoque de
enfoque de
negocios

Ayudar
Ayudar aa Establecer una
satisfacer
satisfacer orientación
orientación aa
requerimientos
requerimientos procesos
regulatorios
Marco procesos

de
Trabajo

Ser generalmente
Proporcionar
Proporcionar un
un aceptable
aceptable yy que
que
lenguaje
lenguaje común
común sea
sea independiente
independiente
para los
de tecnologías
interesados
específicas

Frederick Clark
CobiT : Marco de Trabajo
Principio Básico. Cómo satisface CobiT la necesidad

Requerimientos de
negocio

Que responde a Dirige la inversión en

Información de
Recursos de TI
la empresa CobiT

Para entregar Que es utilizado por

Procesos de TI

Frederick Clark
CobiT : Marco de Trabajo
Criterios de Información

1. La efectividad tiene que ver con que la información sea

relevante y pertinente a los procesos del negocio, y se
proporcione de una manera oportuna, correcta,
consistente y utilizable.
2. La eficiencia consiste en que la información sea
generada con el óptimo (más productivo y económico)
uso de los recursos.
3. La confidencialidad se refiere a la protección de
información sensitiva contra revelación no autorizada.

Frederick Clark
CobiT : Marco de Trabajo
Criterios de Información

4. La integridad está relacionada con la precisión y completitud de la información,

así como con su validez de acuerdo a los valores y expectativas del negocio.
5. La disponibilidad se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También concierne a
la protección de los recursos y las capacidades necesarias asociadas.
6. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
7. La confiabilidad se refiere a proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.

Frederick Clark
CobiT : Marco de Trabajo
Definir las Metas de TI y la Arquitectura Empresarial
para TI

Frederick Clark
CobiT : Marco de Trabajo
Gestión de los Recursos de TI para Entregar Metas TI

 Las aplicaciones incluyen tanto sistemas de usuario

automatizados como procedimientos manuales que procesan
información.
 La información son los datos en todas sus formas, de
entrada, procesados y generados por los sistemas de
información, en cualquier forma en que sean utilizados por
el negocio.
 La infraestructura es la tecnología y las instalaciones
(hardware, sistemas operativos, sistemas de administración
de base de datos, redes, multimedia, etc., así como el sitio
donde se encuentran y el ambiente que los soporta) que
permiten el procesamiento de las aplicaciones.
 Las personas son el personal requerido para planear,
organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de
información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
Frederick Clark
CobiT : Marco de Trabajo
Los cuatro dominios interrelacionados de CobiT

 Planear y Organizar (PO) – Proporciona

dirección para la entrega de soluciones
(AI) y la entrega de servicio (DS).
 Adquirir e Implementar (AI) –
Proporciona las soluciones y las pasa para
convertirlas en servicios.
 Entregar y Dar Soporte (DS) – Recibe
las soluciones y las hace utilizables por los
usuarios finales.
 Monitorear y Evaluar (ME) -Monitorear
todos los procesos para asegurar que se
sigue la dirección provista.

Frederick Clark
CobiT : Marco de Trabajo
Modelo de Control

 La gerencia de operaciones usa los

procesos para organizar y administrar
las actividades de TI en curso.
 Para lograr un gobierno efectivo, los
gerentes de operaciones deben
implementar los controles necesarios
dentro de un marco de control definido
para todos los procesos TI.
 Cada uno de los procesos de TI de
COBIT tiene un objetivo de control de
alto nivel y varios de objetivos de
control detallados. Como un todo,
representan las características de un
proceso bien administrado.
Frederick Clark
CobiT : Marco de Trabajo
Controles Generales de TI y de Aplicación

 Controles Generales: están inmersos en los procesos y servicios de TI

 Desarrollo de sistemas
 Administración de cambios
 Seguridad
 Operaciones de computo
 Controles de Aplicación: están incluidos en las aplicaciones de los procesos del
negocio.
 Integridad (Completitud)
 Precisión
 Validez
 Autorización
 Segregación de funciones

Frederick Clark
CobiT : Marco de Trabajo
Responsabilidades

 La empresa es responsable de:

 Definir apropiadamente los requisitos funcionales y de
control
 Uso adecuado de los servicios automatizados
 TI es responsable de:
 Automatizar e implementar los requisitos de las funciones
de negocio y de control
 Establecer controles para mantener la integridad de
controles de aplicación.
Frederick Clark
CobiT : Marco de Trabajo
Fronteras de Controles de Negocios, Generales y
Aplicación

Frederick Clark
CobiT : Marco de Trabajo
Medición: Modelo de Madurez

¿ ?  ¿Qué está haciendo nuestra competencia en la

industria, y cómo estamos posicionados en
relación a ellos?

 ¿Cuáles son las mejores prácticas aceptables en la

industria, y cómo estamos posicionados con
respecto a estas prácticas?

 Con base en estas comparaciones, ¿se puede decir

que estamos haciendo lo suficiente?

 ¿Cómo identificamos lo que se requiere hacer

para alcanzar un nivel adecuado de
administración y control sobre nuestros procesos
de TI?

Frederick Clark
CobiT : Marco de Trabajo
Modelo de Madurez

 El modelo de madurez para la administración y el

control de los procesos de TI se basa en un método de
evaluación de la organización, de tal forma que se pueda
evaluar a sí misma desde un nivel de no-existente (0)
hasta un nivel de optimizado (5).
 Este enfoque se deriva del modelo de madurez que el
Software Engineering Institute definió para la madurez
de la capacidad del desarrollo de software.

Frederick Clark
CobiT : Marco de Trabajo
Modelo de Madurez

 Utilizando los modelos de madurez desarrollados para

cada uno de los 34 procesos TI de COBIT, la gerencia
podrá identificar:
1. El desempeño real de la empresa—Dónde se encuentra la
empresa hoy
2. El estatus actual de la industria—La comparación
3. El objetivo de mejora de la empresa—Dónde desea estar
la empresa
4. El crecimiento requerido entre “como es” y “como será”

Frederick Clark
CobiT : Marco de Trabajo
Modelo de Madurez

 0 No Existente- Carencia completa de cualquier proceso reconocible. La empresa no

ha reconocido siquiera que existe un problema a resolver.
 1 Inicial- Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen
enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El
enfoque general hacia la administración es desorganizado.
 2 Repetible- Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes áreas que realizan la misma tarea. No hay
entrenamiento o comunicación formal de los procedimientos estándar, y se deja la
responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento
de los individuos y, por lo tanto, los errores son muy probables..

Frederick Clark
CobiT : Marco de Trabajo
Modelo de Madurez

 3 Definido- Los procedimientos se han estandarizado y documentado, y se han

difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida
utilizar estos procesos, y es poco probable que se detecten desviaciones. Los
procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.
 4 Administrado- Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos no estén trabajando de forma
efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas.
Se usa la automatización y herramientas de una manera limitada o fragmentada.
 5 Optimizado- Los procesos se han refinado hasta un nivel de mejor práctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo que la
empresa se adapte de manera rápida.

Frederick Clark
CobiT : Marco de Trabajo
Representación Gráfica de los Modelos de Madurez

Frederick Clark
CobiT : Marco de Trabajo
Las Tres Dimensiones de la Madurez

Frederick Clark
Frederick Clark
los procesos
• Qué tan bien se desempeña el proceso
para indicar si es probable alcanzar las
desempeño de
metas Métricas de
procesos
• Lo que el proceso de TI debe generar
para dar soporte a sus objetivos
métricas de
• Mide al dueño del proceso de TI Metas y
• Lo que el negocio espera de TI
métricas de TI
• El negocio mide a TI Metas y
Medición del Desempeño
CobiT : Marco de Trabajo
CobiT : Marco de Trabajo
Métricas: Ejemplo de Relaciones entre Metas

Frederick Clark
CobiT : Marco de Trabajo
Posibles medidas de resultados del ejemplo anterior

Frederick Clark
CobiT : Marco de Trabajo
Posibles impulsores de desempeño del ejemplo anterior

Frederick Clark
CobiT : Marco de Trabajo
Relación entre Procesos, Metas y Métricas (DS5)

Frederick Clark
CobiT : Marco de Trabajo
COBIT Gestión, Control, Alineamiento y Monitoreo

Frederick Clark
CobiT : Marco de Trabajo
El cubo de CobiT

Frederick Clark
CobiT : Marco de Trabajo
Marco de Trabajo Completo de CobiT

Frederick Clark
CobiT : Marco de Trabajo
Marco de Trabajo y Áreas de enfoque del gobierno TI
Metas Métricas Prácticas Modelos de
Madurez
Alineamiento P P
Estratégico
Entrega de P S P
Valor
Gestión de S P S
Riesgos
Gestión de S P P
Recursos
Medición del P P S
Desempeño

P = Facilitador Primario, S = Facilitador Secundario

Frederick Clark
PREGUNTA
S?
GRACIA
S!