Documentos de Académico
Documentos de Profesional
Documentos de Cultura
METODOS DE CONTROL EN TI
PROCESOS PRINCIPALES
ADQUISICIN
SUMINISTRO
DESARROLLO
CALIDAD
EXPLOTACIN
MANTENIMIENTO
PROCESOS DE SOPORTE
DOCUMENTACIN
GESTIN DE
CONFIGURACIN
ASEGURAMIENTO DE
VERIFICACIN
VALIDACIN
REVISIN CONJUNTA
AUDITORA
RESOLUCION DE PROBLEMAS
PROCESOS DE LA ORGANIZACIN
GESTIN
MEJORA
INFRAESTRUCTURA
FORMACIN
COBIT :
Modelo de
Gestin de TI
DEFINICIN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para
Tecnologa de la Informacin y
Tecnologas relacionadas)
DEFINICIN
COBIT es un modelo de gestin y control de TI,
con el objetivo de consensuar:
los riesgos del negocio
las necesidades de control
MISIN
Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.
CARACTERSTICAS
Orientado al negocio
Alineado con estndares y regulaciones
de facto (COSO, IFAC, IIA, ISACA,
AICPA)
ntegro (basado en una revisin crtica y
analtica de las tareas y actividades en
TI)
Flexible
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control
Foundation).
Es la principal propuesta metodolgica realizada a nivel internacional
para abordar la Auditora de Sistemas de Informacin.
Supone un paso muy importante al considerar que, a efectos de
auditora, el sistema de informacin de una organizacin es UNICO,
aunque ciertos procesos se realicen de forma manual y otros mediante
el uso de la informtica.
La filosofa de CobiT asimila los principios de reingeniera de
empresas (BPR) y divide las funciones que ha de realizar un sistema
de informacin en procesos que, a su vez, estn subdivididos en
actividades y tareas ms simples.
Los sistemas de informacin estn orientados a los procesos y por
tanto su auditora se debe adaptar a estos conceptos.
PRINCIPIOS DE COBIT
Requerimientos
del negocio
Procesos de TI
Recursos de TI
Requerimientos de la
Informacin para el Negocio
Para satisfacer los objetivos del negocio la
informacin debe cumplir con criterios que COBIT
extrae de los ms reconocidos modelos:
Requerimientos de
calidad (ISO 9000-3)
Calidad
Costo
Entrega
Requerimientos
fiduciarios (Informe
COSO)
Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento de leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Requerimientos de
seguridad (libro rojo,
naranja y otros)
Requerimientos de la
Informacin para el Negocio
Partiendo de estos tres requerimientos criterios amplios, se
identifican las siguientes siete categoras:
Eficacia:
Eficiencia:
Disponibilidad:
RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para
alcanzar los objetivos del negocio son los siguientes :
Datos: objetos en su sentido ms amplio, es decir,
internos y externos, estructurados
y
no
estructurados, grficos, sonidos, etc.
Sistemas de aplicacin:
se entiende por tales la
suma de los procedimientos manuales y
programados.
Tecnologa:
la tecnologa abarca el hardware,
los sistemas operativos, los sistemas de
administracin de bases de datos, las redes, los
multimedios, etc.
Instalaciones: recursos diversos utilizados para
alojar y dar soporte a los sistemas de informacin
Personas: habilidades, aptitudes, conocimientos
y
productividad del personal para planificar,
organizar, adquirir, entregar, brindar soporte y
monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la
Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
informacin que la empresa necesita para
alcanzar sus objetivos.
PROCESOS DE TI
Dominios
Procesos
Actividades
o tareas
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes
dominios:
Planeacin y Organizacin
(Planning and Organization)
Adquisicin e implementacin
(Acquisition and Implementation)
Prestacin de Servicios y Soporte
(Delivery and Support)
Seguimiento
(monitoring)
PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la
clasificacin de alto nivel son:
Planificacin y
Organizacin
PROCESOS DE TI
Adquisicin e
Implementacin Para realizar la estrategia de Ti, deben
identificarse, desarrollarse o adquirirse
soluciones de Ti y luego implantarse e
integrarse en el proceso de negocio.
Adems, este dominio abarca los cambios
y el mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.
PROCESOS DE TI
Entrega y
Soporte
PROCESOS DE TI
Monitoreo
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para
cada uno de los procesos de las TI
Planeacin y
Organizacin
Adquisicin e
Implementacin
PROCESOS DE TI
Servicios y
Soporte
Seguimiento
DEFINICIN DE CONTROL EN
COBIT
Las polticas, procedimientos prcticas y
estructuras organizacionales diseadas para
proveer una razonable confiabilidad de que los
objetivos del negocio sern alcanzados y que
los eventos indeseables sern prevenidos o
detectados y corregidos
DEFINICIN DE OBJETIVO DE
CONTROL EN COBIT
Es la declaracin del resultado deseable o el
propsito a lograr (el Que) mediante la
implantacin de recomendaciones, procedimientos o
tcnicas de control (el Como) en determinada
actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de
actividades Los 34 OCGs propuestos se concretan en 302
objetivos de control detallados (OCDs).
Procesos de TI
Dominios
Procesos
Actividades
Personas
Sistemas Aplicativos
Tecnologa
Instalaciones
Datos
Criterios de Informacin
Proyecto COBIT
Steering Comittee
representantes de distintos
mbitos
Coordinacin
ISACAF
Grupos de investigacin
USA, Europa y Australia
EL PRODUCTO COBIT
3ra EDICIN
Resumen
Ejecutivo
Herramientas de
implementacin
Lineamientos
Gerenciales
Modelos de
Madurez
Objetivos de
Control
Detallados
Factores
Crticos
de xito
Guas de
Auditora
Indicadores
Clave de
Rendimiento
Indicadores
Clave de
Logros
ELEMENTOS
ESTRUCTURA
INFORMACIN
EVENTOS
Objetivos de
negocio
Oportunidades de
negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Applicaciones
Tecnologa
Instalaciones
Recursos Humanos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditora independiente
CobiT
Req. Informacin
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeacin y
Organizacin
Recursos de TI
Definicin del nivel de servicio
Admistracin del servicio de terceros
Administracin de la capacidad y el
desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
MARCO DE REFERENCIA
Lo que usted
Obtiene
Procesos del
Negocio
Lo que Usted
Necesita
Criterios
Informacin
Recursos de TI
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
MARCO DE REFERENCIA
El control de
Procesos de TI
que satisfacen
Requerimientos
de negocios
se habilitan por
Objetivos
De control
Prcticas
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Planificacin y
Organizacin
Procesos de TI
que satisface los
Procesos
de TI
Recursos
de TI
Entrega y
Soporte
Monitoreo
El contol de los
Criterios de
informacin
Adquisicin e
Implementacin
Requerimientos
de Negocio
Declaraciones
de Control
considerando las
Prcticas
de Control
Organizacin y
planeacin
Adquisicin e
implementacin
Entrega y
soporte
Monitoreo
Es posible por:
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido a
usuarios autorizados
Considerando:
P P S S S
Actividades de Control
Administrar Medidas de Seguridad
Reacreditacin
Confianza en Contrapartes
Autorizacin de transacciones
No negacin
Sendero Seguro
Vigilancia de Seguridad
Clasificacin de Datos
Identificacin y administracin de
asignacin de derechos
Manejo de Incidentes
herramienta
para
estructurar
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro
de sistemas de informacin, independientemente de la
tecnologa empleada
Cumplimiento de las generalmente aplicables y
aceptadas prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y
ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
COBIT
Proceso: 2
Definicin de la arquitectura de la
informacin
Proceso: 3
Proceso: 4
Definicin de la organizacin y el
relacionamiento en TI
Proceso: 5
Administracin de la inversin en TI
Proceso: 6
Proceso: 8
Proceso: 9
Evaluacin de riesgos
Proceso: 10
Administracin de proyectos
Proceso: 11
Administracin de la calidad
Identificacin de soluciones
Proceso: 13
Proceso: 14
Adquisicin y mantenimiento de la
infraestructura tecnolgica
Proceso: 15
Desarrollo y mantenimiento de
procedimientos de TI
Proceso: 16
Proceso: 17
Administracin de cambios
Dominio: Adquisicin e
implementacin
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, as como
implementadas e integradas dentro del
proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Proceso: 19
Proceso: 20
Proceso: 21
Proceso: 22
Proceso: 23
Proceso: 25
Proceso: 26
Administracin de la configuracin
Proceso: 27
Proceso: 28
Administracin de datos
Proceso: 29
Administracin de instalaciones
Proceso: 30
DOMINIO: Monitoreo
Proceso: 31
Proceso: 32
Proceso: 33
Proceso: 34
Dominio: Monitoreo
Todos los procesos de una organizacin
necesitan ser evaluados regularmente a travs
del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad. Este es,
precisamente, el mbito de este dominio.
Dominio: Monitoreo
Procesos
M1 Monitoreo del Proceso
M2 Evaluar lo adecuado del Control Interno
M3 Obtencin de Aseguramiento Independiente
M4 Proveer Auditoria Independiente
Dominio: Monitoreo
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos
para los procesos de TI. Lo cual se logra definiendo por
parte de la gerencia reportes e indicadores de desempeo
gerenciales y la implementacin de sistemas de soporte as
como la atencin regular a los reportes emitidos.
Dominio: Monitoreo
Dominio: Monitoreo
FIN