Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alonso Matheos Orihuela Anthony Orlando Ram Rivas rez Josue Ttito Amezquita Semestre VII Computer Science Universidad Catlica San Pablo o 17 de septiembre de 2011
1.
1.1.
Overview
Qu es COBIT? e
COBIT (Control Objectives for Information and related Technology) o en castellano Marco de Referencia de Mejores Mrcticas en TIs, un Proceso de a soporte para las TIs, que garantiza la alineacin con una estrategia corporativa. o Est orientado a ser la herramienta de gobierno de TI que ayude al entendia miento y a la administracin de riesgos asociados con tecnolog de informacin o a o y con tecnolog relacionadas; siendo la orientacin a negocios el tema prinas o cipal de COBIT. Permite comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocios. e Cobit esta diseado para utilizarse y aplicarse a: n Direccin ejecutiva o Gerentes de negocio Gerencia de tecnolog de informacin a o Auditores No es solo para el uso tcnico, sino tambin para aquellos responsables del e e uso efectivo de las tecnolog de informacin, como la gerencia y la auditoria. as o
1.2.
Caracter sticas
Orientado a negocios. Alineado con estandares y regulaciones. Basado en una revision critico y analitica de las tareas y actividades en TI. Alineado con estanderes de control y auditoria(COSO,IFAC,IIA,ISACA,AICPA)
1.3.
Principios Base
1.4.
Qu Busca e
Asegurar un servicio. Eciencia, efectividad, condencialidad, integridad, disponibilidad, cumplimiento y conabilidad. Contiene un conjunto de herramientas de implementacin que proporciona o lecciones aprendidas por empresas que rpida y exitosamente aplicaron a COBIT en sus ambientes de trabajo. Alineado con estanderes de control y auditoria(COSO,IFAC,IIA,ISACA,AICPA). COBIT se divide los procesos de TI en 4 reas: a Planear. Construir. Ejecutar. Monitorear.
1.5.
Niveles de Madurez
No existe : La administracion del proceso no aplica del todo Inicial : El proceso es ad hoc y desorganizado Repetible : El proceso sigue un patron regular Denido : El proceso es documentado y comunicado Administrado : El proceso es monitoreado y es medido Optimizado : Las buenas practicas son seguidas y automatizadas.
2.
Framework
Contiene 34 Objetivos de Control de alto nivel, uno para cada uno de los procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin o o Adquirir e implementar. Entregar y Dar Soporte. Monitorear y Evaluar.
2.1.
Planeacin y Organizacin o o
Identicar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. PO1 Denir un plan estratgico de TI e PO2 Denir la arquitectura de la informacin o PO3 Determinar la direccin tecnolgica o o PO4 Denir los procesos, organizacin y relaciones de TI o PO5 Administrar la inversin en TI o PO6 Comunicar las aspiraciones y la direccin de la gerencia o PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos
2.2.
Adquirir e implementar
Identicacin de soluciones, desarrollo o adquisicin, cambios y/o mantenio o miento de sistemas existentes. AI1 Identicar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnolgica o AI4 Facilitar la operacin y el uso o AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
2.3.
Cubre la entrega de los servicios requeridos. Incluye la prestacin del servio cio, la administracin de la seguridad y de la continuidad, el soporte del servicio o a los usuarios, la administracin de los datos y de las instalaciones operacionales. o DS1 DS2 DS3 DS4 DS5 Denir y administrar los niveles de servicio Administrar los servicios de terceros Administrar el desempeo y la capacidad n Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas 3
DS6 Identicar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la conguracin o DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente f sico DS13 Administrar las operaciones
2.4.
Monitorear y Evaluar
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, o n el cumplimiento regulatorio y la aplicacin del gobierno. o ME1 Monitorear y evaluar el desempeo de TI. n ME2 Monitorear y evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.
3.
Ventajas
Los objetivos de control para la informacin y tecnolog relacionadas o as (COBIT) es una estrategia de buen marco para ayudar a una organizacin. o Cobit siendo un marco general, su exibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamao de empresa, realizando una implemenn tacin gradual y progresiva acorde a los recursos disponibles , acomodando o la estrategia general. Es adaptable con estndares mas espec a cos como ISO 17799, ISO 9000, ISO 27000, CMM, ITIL, etc. Contribuye a salvar las brechas entre riesgos de negocios, necesidades de control y aspectos tcnicos. e Esta dirigido a los auditores informticos a Permite determinar el alcance de la tarea de auditoria e identicar los controles m nimos. Observa y se nutre de prcticamente de la totalidad de los estndares y a a regulaciones internacionales. Incorpora los principios de gestin de la calidad total, re- ingenieria de o empresas e integra los dos modelos de control: Orientados a las tecnolog de informacin as o Orientado a los objetos empresariales
4.
Cobit vs ITIL
COBIT puede que tenga mayor alcance que ITIL ya que abarca todo el espectro de actividades de IT, mientras que ITIL est centrado solo en Service a Management (gestin del servicio). o Ambos modelos son tambin complementarios y se pueden usar juntos: ITIL e para lograr efectividad y eciencia en los servicios TI y COBIT para vericar la conformidad en cuanto a disponibilidad, rendimiento, eciencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la compa usando na, para ello mtricas claves y cuadros de mando que reporten dicha informacin. e o