2_ Al definir el marco de trabajo o estándar, ¿Cuáles serían los requerimientos de negocio

que aplicaría inmediatamente?

Los requerimientos de negocio son los primeros que se definen en un proyecto, a menudo se
les puede encontrar escritos en sus documentos iniciales o en el acta de constitución del
proyecto. Suelen referir directamente a mejoras u objetivos de negocio específicos que quiere
lograr la organización.

Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control
de TI, debe satisfacer las siguientes especificaciones generales:

Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI.

Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una
estructura definida que permita una fácil navegación en el contenido.

Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI
aceptados, y que sea independiente de tecnologías específicas.

Proporcionar un lenguaje común, con un juego de términos y definiciones que sean

comprensibles en general para todos los Interesados.

Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno

corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y
auditores externos.

Para la materia de administración de centros de cómputo. Vamos a hablar de las normativas

cobit para que sirven, para la administración de tecnologías de la información, que son las
normativas cobit las normativas por sus siglas en inglés, que es control objetivo for information
and related Technology, que la traducción al español vendría siendo. Objetivos de control para
la información y la tecnología relacionada,

que es cobit es el marco aceptado internacionalmente como una buena práctica para el
control de la información de tecnologías de la información y los riesgos que conllevan. Cobit se
utiliza para implementar el Gobierno de tecnologías de la información y mejorar los controles
de tecnologías de la información contiene objetivos de control, directivos de aseguramiento,
medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez para
ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios. En sí, pues el
cobit viene siendo Una serie de buenos hábitos al momento de desarrollar o de trabajar con
tecnologías de la información. es un framework, una infraestructura digital de gobierno, de
tecnologías de la información y un conjunto de herramientas de soporte para el Gobierno de
las TIC que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los
aspectos técnicos y riesgo de negocio. hace posible el desarrollo de una política clara y las
buenas prácticas para los controles de TI. A través de las organizaciones otra cosa que cobit
hace es enfatizar en la conformidad. A regulaciones ayuda a las organizaciones a incrementar
el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la
estructura cúbica.

Cuál es la misión del Cobit, la misión del cobre es investigar, desarrollar, publicar y promover
un conjunto de objetivos de control. Para tecnología de información que sea internacional y
esté actualizado para uso cotidiano de gerentes, auditores y usuarios, la visión del cobre es ser
el modelo de control para la Dit, la regla de oro del Cobit es proveer la información que
requiere la organización para lograr sus objetivos.

Los recursos de tecnologías de la información deben ser administrados por un conjunto de

procesos. Agrupados de forma adecuada y ejecutados, acorde a prácticas normalmente
aceptadas. ¿Esto quiere decir? Que dentro del cúbito la principal función o característica del
comité seguir un lineamiento, este en lo en el conjunto de procesos que en el que deben de
ser administrar los recursos de tecnologías de la información y las prácticas que se realicen,
deben ser normalmente aceptadas. ¿Por qué? Porque pues ya está por escrito dicho que estas
prácticas. Son buenas, por ende están aceptadas y por ende son una garantía a la hora de
ejecutarlas.

En nuestro proyecto de tecnologías de la información. Dentro del COBIT, existen una serie de
usuarios que vendrían siendo la gerencia, que es el que hace el apoyo a las decisiones de
inversión y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un
ambiente a menudo imprescindible. O sea, sí que la gerencia. La gerencia son los líderes los
que van a decidir por donde se va a llevar el camino del proyecto. Los usuarios finales son los
que obtienen una garantía sobre el control y seguridad de los productos que adquieren interna
y externamente. ¿Por qué? Porque se desarrolla este un proyecto de tecnología de la
información basándote en las normativas. Pues obtienes una garantía de que el control y la
seguridad de los productos que tú adquieras, pues van a estar este en óptimas condiciones,
otros usuarios dentro del COBIT son los auditores, estos aportan sus opiniones sobre los
controles de los proyectos de tecnologías de la información, su impacto en la organización y
determinan el control mínimo requerido.

Los responsables de tecnologías de la información sirven para identificar los controles que
requieren en sus áreas dentro del K bit requerimos de una cierta información dentro de ellas
está la afectividad, que se refiere a la información que es relevante para el negocio y que debe
ser entregada de manera correcta, oportuna, consciente y usable. La eficiencia es otra de ellas.
Esto se refiere a la provisión de información a través del óptimo más productivo y económico,
uso de los recursos. Y creo que esto se aplica en cualquier proyecto, ya sea de lo que sea la
eficiencia.

. Otro de estos requerimientos de información, es la confidencialidad ésta debe estar

protegida de la información sensitiva a su revelación no autorizada esto porque. Se trabaja a
veces con información un poco delicada y su revelación no autorizada, pues podría traer
consecuencias dentro del proyecto del de tecnologías de la información, la integridad se
refiere a la exactitud y completitud de la información, así como su validez, en concordancia con
los valores y expectativas del negocio. Otra de ellas es la disponibilidad. Que se refiere a que la
información debe estar disponible cuando es requerida por los futuros procesos del negocio.
Ahora y en el futuro, involucra la salvaguarda de los recursos y sus capacidades asociadas. El
cumplimiento se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales a
los que están sujetos los procesos del negocio, la confiabilidad se refiere a la provisión de la
información apropiada a la alta gerencia para operar la entidad y para ejercer sus
responsabilidades financieras y de cumplir con los reportes de su gestión dentro de las
normativas cobit tenemos una parte importante que los recursos de las tecnologías de la
información. Estos son los datos que son todos los objetos de información, IAS, información
externa o externa estructurada o no gráfica, sonido, video, etcétera. Las aplicaciones,
entendido como los sistemas de información que integran procedimientos manuales Y
sistematizados. La tecnología incluye hardware, software básico, sistemas operativos, sistemas
de administración de bases de datos de redes. Telecomunicaciones, multimedia, etc. Las
instalaciones incluyen los recursos necesarios para alojar y dar soporte a los sistemas de
información. Y por último, el recurso humano por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de
información dentro de los procesos de tecnologías de información.

Contamos con 3 niveles que son los dominios, los procesos, las actividades o tareas.

Los dominios son aquella agrupación natural de procesos que normalmente corresponden a
una responsabilidad. Organizacional. Los procesos son un conjunto de actividades unidas con
limitación o cortes de control. Las actividades o tareas son acciones requeridas para lograr un
resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son
discretas dentro de las normativas. Cobit, tenemos lo que son los dominios de tecnologías de
la información. Estos son cuatro, el primero de ellos es la planeación y la organización. Esto se
vincula con la identificación de la forma en que la tecnología de la información puede
contribuir de la manera más adecuada, con el logro de los objetivos del negocio, la planeación
y la organización. Obtiene una serie de puntos, la primera de ellas es definir un plan
estratégico de tecnologías de la información. Para esto se necesita satisfacer el requisito del
negocio, pues para hallar un balance óptimo de oportunidades de tecnologías de la
información y los requisitos de negocio, así como también asegurar su realización adicional, se
debe tomar en consideración los objetivos de negocio y las necesidades. El inventario de
soluciones tecnológicas, la infraestructura. Los cambios organizativos. Por ejemplo, en una
base de datos tenemos que estar conscientes que a lo mejor el cambio en la organización de la
empresa puede cambiar y nuestra base de datos tiene que estar adaptable.

O tiene que estar amigable para este tipo de cambios.

El estudio de viabilidad debe ser oportuno y la existencia de evaluaciones de sistemas.

El segundo paso es definir la arquitectura de información. Esto satisface el requisito de negocio

para una mejor organización de los sistemas de información, se debe tomar en cuenta la
documentación, el diccionario de datos, las reglas sintácticas de datos, la propiedad de datos y
clasificación crítica.

Un tercer paso dentro de la Planeación y organización debe ser determinar la dirección

tecnológica. Esto satisface el requisito del negocio para tomar ventaja de la tecnología
disponible y emergente. Se debe tomar en consideración la adecuación y evolución de la
capacidad de la infraestructura actual.

La motorización de los desarrollos tecnológicos, planes de contingencia y planes de

adquisición.

número cuatro es definir la organización y relaciones de la fundación de la función de

tecnologías de la información. Esto es, satisface el requisito de negocio para entregar los
servicios de las tecnologías de la información. Hay que tomar en consideración el comité de
dirección, el Consejo de nivel de responsabilidad, la propiedad, custodia, supervisión,
segregación de obligaciones. Roles y responsabilidades, esto para saber con quién debemos
dirigirnos específicamente en cualquier problemática. Los roles y responsabilidades, la
descripción del trabajo, los provisión de niveles y la clave personal.

El punto número 5 es administrar la inversión en tecnología de la información, esto nos

garantiza la consolidación y controlar el gasto de los recursos financieros.
Hay que tomar en consideración la consolidación de alternativas, el control del gasto efectivo,
justificación de los costes y justificación de los beneficios. El punto número 6 nos habla de la
comunicación de las directrices gerenciales. Esto nos garantiza el conocimiento del usuario y
entendimiento de estos fines. Hay que tomar en condición, en consideración el código de
conducta y ética, las directrices de tecnología, la conformidad, la Comisión de calidad, las
políticas de seguridad del negocio y las políticas de control interno. El punto número 7 nos
habla de la administración del recurso humano. ¿Está satisface el requisito de negocio para
maximizar las contribuciones del personal de a los procesos de tecnologías de la información?
Tomar en consideración el refuerzo y la promoción. El requisitos de calidad, el entrenamiento,
la construcción del conocimiento y la evaluación de la ejecución objetiva y medible.

El punto número 8 nos habla de la administración, de la calidad. ¿Está satisface el requisito de

negocio para la mejora continua y medible de la calidad de los servicios prestados por las
tecnologías de la información? Toma en consideración plan de estructura de la calidad,
estándares y prácticas de calidad. Metodología del ciclo de vida del desarrollo del sistema,
estándares de desarrollo y de adquisición y la medición, monitoreo y revisión de la calidad. Por
último, tenemos el punto número 9 y 10, que es la evaluación de riesgos. Esto se asegura de la
que la realización de los objetivos de tecnologías de la información. Respondiendo a las
amenazas para el suministro de los servicios, hay que tomar en consideración diferentes tipos
de riesgos de tecnología, de información, tecnología, seguridad, continuidad, etcétera. El
alcance, ya sea global o de sistemas específicos. La metodología de análisis de riesgos, las
medidas de riesgo cuantitativas y cualitativas y el plan de acción de riesgos. Por último,
tenemos el punto número 10 que nos habla de la administración de proyectos. Está satisface el
requisito de negocio para la entrega de resultados de proyectos dentro de Marcos de tiempo,
presupuesto y calidad acortados acordados. Hay que tomar en consideración el marco de
trabajo para la administración de programas de inversión, la administración de proyectos. La
distribución de responsabilidades, el proyecto y su fase de aprobación, los costes, los
presupuestos, los planes de seguridad de la calidad y métodos y el recurso del proyecto. El
segundo punto de los dominios de TI es la es la adquisición e implementación, o sea, también
está desglosada en una serie de puntos que a continuación vamos a explicar qué es la
adquisición, implementación. Son los cambios y mantenimiento de los sistemas existentes
para garantizar la natural continuidad del ciclo de vida para estos sistemas, el punto número
uno nos habla de la identificación de soluciones automatizadas. Esta satisface el el requisito
del negocio para asegurar la mejor aproximación para satisfacer los requisitos del usuario que
tomar en consideración. La definición de la información de requisitos, estudios factibles como
el de costes, beneficios y alternativas, requisitos de usuario, arquitectura de la información,
seguridad del coste efectivo y la contratación externa. Punto número 2, trata de la adquisición
y mantenimiento de software aplicativo. Se nos ayuda a suministrar funciones automáticas que
soporten de la de forma efectiva los procesos de negocio. Hay que tomar en consideración los
requisitos de usuario, diseño detallado, archivo, gasto, proceso y requisitos externos. La
interfaz de la máquina usuario, controles de aplicación y requisitos de seguridad y la
documentación. El punto número 3 de la adquisición. Implementación. Nos habla de la
adquisición y mantenimiento de arquitectura, de tecnologías de información, esta nos ayuda a
adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI. Hay que tomar
en consideración el asentamiento de la tecnología, el mantenimiento del hardware preventivo,
la seguridad del sistema software, instalación, mantenimiento y cambio de control. El punto
número cuatro nos habla de facilitar la operación y el uso que satisface el requisito de negocio
para para garantizar la satisfacción de los usuarios finales mediante ofrecimientos. De servicios
y de forma transparente, integra las soluciones de aplicación y tecnología dentro de los
procesos del negocio que tomar en consideración el plan para soluciones de operación, la
transferencia de conocimiento a la gerencia del negocio, la transferencia de conocimiento,
usuarios finales y la transferencia de conocimiento al personal de operaciones y soporte.
Punto número 5 es el de adquirir recursos de tecnología de información para mejorar la
rentabilidad y su contribución a la utilidad del negocio. Hay que tomar en consideración el
control de adquisición, la administración de contratos con proveedores, la selección de
proveedores, adquisición de software, adquisición de recursos de desarrollo y la adquisición de
infraestructura e instalaciones y servicios relacionados. Administrar cambios. Esto nos esto
responde a los requerimientos del negocio de acuerdo con la estrategia de negocio. Que tomar
en consideración estándares y procedimientos para cambios, evaluación de impacto,
priorización y autorización, cambios de emergencia, seguimiento. Si reporte del status de
cambio, cierre y documentación del cambio, la adquisición, implementación también nos
habla.De instalar y acreditar soluciones y cambios esto satisface el requisito del negocio para
contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de
la instalación que tomar en consideración el entrenamiento. El plan de prueba, plan de
implementación, ambiente de prueba con versión de sistema y datos y la distribución.Sistema
la tercer parte de los dominios de TI es la prestación de servicios y el soporte. Esto ya después
de que tenemos desarrollado nuestro proyecto de TI, pues necesitamos una prestación
efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad hasta la capacitación dentro del mismo.Proyecto o
producto de software, prestación de servicio y soporte.En la prestación de servicio soporte,
necesitamos tener la definición del nivel de servicio. Esto asegura la alineación de los servicios
claves de TI con la estrategia del negocio. Hay que tomar en consideración definición de
servicios, definición de responsabilidades, garantías de integridad, monitoreo y reporte del
cumplimiento de los niveles de servicio y la y la revisión de los acuerdos de niveles de servicio y
de los contratos.¿Este último es muy importante, ya que al momento de que nosotros
prestamos servicio soporte, pues tiene que estar previamente acordado en los contratos, para
qué? Para no dar un mal servicio al usuario y tampoco nosotros, como los desarrolladores o
como los los prestadores de servicio.Pues no hacer trabajo que no nos corresponde o que no
queda quedó previamente acordado dentro del punto número 2. Tenemos la administración
del servicio de terceros.Este satisface el requisito del negocio para asegurar que las reglas y las
responsabilidades de terceras partes estén definidas de forma clara, adheridas y continuar
satisfaciendo los requisitos que tomar en consideración la identificación de las relaciones con
todos los proveedores, la administración de las relaciones con los proveedores, la
administración de riesgos del proveedor.Y el monitoreo del desempeño del proveedor como es
una administración de un servicio a terceros, pues en parte no depende o no depende del
100% de nosotros y hay que tener muy en cuenta el el desempeño de los proveedores. OO la
calidad del servicio que 1/3 presta, también dentro de la prestación de servicio y soporte.
Tenemos la administración de la capacidad.Y el desempeño está optimiza el desempeño de la
infraestructura, los recursos y la las capacidades de TI. En respuesta a las necesidades del
negocio. Hay que tomar en consideración disponibilidad y cumplimiento de los requisitos, la
capacidad y desempeño actual, la capacidad y desempeño en futuros, disponibilidad de
recursos y el monitoreo y reporte. En el punto número cuatro trataremos el el servicio
continuo. Esto ayuda a que los servicios de TI requeridos estén disponibles y aseguraron
impacto de negocio mínimo en caso de una ruptura mayor que tomar en consideración la
clasificación, critica el plan de continuidad documentado recursos críticos de TI.El
mantenimiento, pruebas de entrenamiento y distribución del plan de continuidad de TI.Esto es
muy importante, ya que si tenemos todo previamente en un plan DDDA 3123, esto es muy
importante, ya que para ofrecer un servicio continuo óptimo para garantizarlo necesitamos
nuestros planes de continuidad. En caso de que o nuestros planes de contingencia, en caso de
que algo llegara a suceder el 5 es garantizar la seguridad del sistema, pues para salvar
salvaguardar la información contraluz, el usuario no autorizado o el uso no autorizado o el
descubrimiento o modificación, el daño o, en el peor de los casos, la pérdida, hay que tomar
en consideración. La autorización, la autenticidad, el acceso, el uso de protección e
identificación que no cualquier usuario pueda estar. Este entrando a nuestra información. La
gestión de la clave criptográfica, la detección y prevención de virus o software malicioso que
que pudiera dañar o robar nuestra información y pues, un cortafuegos. La identificación y
asignación de costos es el punto número 6. Este nos asegura un correcto conocimiento de los
costes atribuidos a los servicios de TI.Recursos y hay que tomar en consideración los recursos
identificables y medibles. La modelación de costos y cargos, e imponer valores dentro del
dentro de la prestación de servicio y soporte. Tenemos la capacitación a los usuarios, esto nos
asegura que los usuarios van a ser eficientes en el uso de la tecnología y que son conscientes
de los riesgos y responsabilidades en las que están. Están involucrados durante el vídeo Estado
software, sino a todo el uso de o al producto de tecnología en sí.Hay que estar conscientes de
los riesgos y las responsabilidades en las que están involucrados. Hay que tomar en
consideración el plan de estudios de entrenamiento, las campañas de conocimiento y las
técnicas de conocimiento de esto para que pues el usuario esté lo mejor capacitado. El soporte
de los clientes de TI. Que satisface el requisito de negocio para permitir el efectivo uso de los
sistemas de tecnologías de la información, garantizando la resolución y el análisis de las
consultas de los usuarios finales. Incidentes y preguntas, hay que tomar en consideración las
cuestiones del cliente y respuestas al problema, la monitorización de cuestiones y
aclaraciones.Ni el análisis de tendencias e información. El punto número 9 nos habla de la
administración, de la configuración. Esta nos ayuda a considerar todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento
para una gestión de cambio firme que tomar en consideración el medio de registro, la.La
gestión del cambio, no de configuración chequeo de software no autorizado y los controles de
almacenamiento de software. La administración de problemas e incidentes para asegurar que
los problemas e incidentes serán resueltos e investigando la causa para prevenir una nueva
aparición de estos, hay que tomar en consideración reglas suficientes de auditoría de
problemas y soluciones, resoluciones, fortuna de problemas anunciados y los informes de
incidentes. El punto número son 11, nos habla. De la administración de datos está nos asegura
que los datos permanecen completos. Correcto, sí, válidos durante su introducción,
actualización y almacenamiento, hay que tener en cuenta el diseño del modelo en los
controles de entrada de proceso y de salida, el almacenamiento multimedia y gestión de
copias de seguridad y la autenticidad e integridad de la misma.En punto número 13, nos habla
de la administración de operaciones para asegurar que las funciones importantes soportadas
de las TI son realizadas regularmente de una forma ordenada, de ordenada. Hay que tomar en
consideración que ya tenemos un manual de procedimiento de operación, es una
documentación del proceso puesto en marcha, gestión de servicios de la red y planificación del
trabajo y el personal.¿Ya por último, en los dominios de TI, debo de ti o de uno de cuarta Ia?
Por último, en los dominios de TI tenemos el monitoreo y seguimiento YO seguimiento, este
nos ayuda a evaluar regularmente todos los procesos de tecnologías de la información para
determinar su calidad y el cumplimiento de los requerimientos de control. El primer punto que
nos del que nos habla el monitoreo y seguimiento pues es monitorear y evaluar el desempeño
de TI, esto nos ayuda a tener transparencia y entendimiento de los costos, beneficios,
estrategias, políticas y niveles de servicio de TI, de acuerdo con requisitos de gobierno.Toma
en consideración el método de monitoreo, la evaluación del desempeño, reportes, el consejo
directivo y Ejecutivo. Si las acciones correctivas. También hay que monitorear y evaluar el
control interno, esto para proteger el logro de los objetivos de TI y cumplir las leyes y
reglamentos relacionados con ti que tomar en consideración monitorear el marco de trabajo,
de control interno, revisiones de auditoría cada período de tiempo, autoevaluación de control,
control interno para terceros y acciones. Correctivas. Después tenemos el punto número 3 que
nos habla de garantizar el cumplimiento regulatorio. Este satisface el requisito de negocio para
cumplir las leyes, las leyes y las reglas y las regulaciones. hay que tomar en cuenta y saber
identificar las leyes y regulaciones con impacto potencial sobre TI. Optimizar la respuesta a
requerimientos regulatorios, evaluación del cumplimiento con requerimientos regulatorios, el
aseguramiento positivo del cumplimiento y los reportes integrados. Hay que proporcionar
gobierno de TI. Esto satisface el requisito de negocio para la integración de un Gobierno de TI
con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones.Hay que
tomar en cuenta establecer un marco de trabajo de gobierno para ti, el alineamiento
estratégico, entrega, valor, administración de recursos y de riesgos y la medición del
desempeño. Bueno, y con este último punto, pues terminamos lo que viene siendo esta
exposición de las normativas co bit. ya como conclusión podríamos decir que la
implementación además de que pues es un modelo que facilita, pues para la auditoría de la
información y la tecnología en las organizaciones, pues también nos permite obtener
beneficios en cuanto a la reducción de costos, y pues al mismo tiempo conocer su
comportamiento de acuerdo a las tecnologías de la información. De esta manera, pues nos
ayuda a actuar con bases de información transparente, también verificable y al mismo tiempo,
pues nos brinda una herramienta de calidad y mucha seguridad al momento de de pues
trabajar con nuestros proyectos de tecnologías de la información y pues bueno, esto sería todo
nuestra parte, pues gracias por ver nuestro video.