COBIT

Alonso Matheos Orihuela Anthony Orlando Ram Rivas rez Josue Ttito Amezquita Semestre VII Computer Science Universidad Catlica San Pablo o 17 de septiembre de 2011

1.
1.1.

Overview
Qu es COBIT? e

COBIT (Control Objectives for Information and related Technology) o en castellano Marco de Referencia de Mejores Mrcticas en TIs, un Proceso de a soporte para las TIs, que garantiza la alineacin con una estrategia corporativa. o Est orientado a ser la herramienta de gobierno de TI que ayude al entendia miento y a la administracin de riesgos asociados con tecnolog de informacin o a o y con tecnolog relacionadas; siendo la orientacin a negocios el tema prinas o cipal de COBIT. Permite comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocios. e Cobit esta diseado para utilizarse y aplicarse a: n Direccin ejecutiva o Gerentes de negocio Gerencia de tecnolog de informacin a o Auditores No es solo para el uso tcnico, sino tambin para aquellos responsables del e e uso efectivo de las tecnolog de informacin, como la gerencia y la auditoria. as o

1.2.

Caracter sticas
Orientado a negocios. Alineado con estandares y regulaciones. Basado en una revision critico y analitica de las tareas y actividades en TI. Alineado con estanderes de control y auditoria(COSO,IFAC,IIA,ISACA,AICPA)

1.3.

Principios Base

1.4.

Qu Busca e
Asegurar un servicio. Eciencia, efectividad, condencialidad, integridad, disponibilidad, cumplimiento y conabilidad. Contiene un conjunto de herramientas de implementacin que proporciona o lecciones aprendidas por empresas que rpida y exitosamente aplicaron a COBIT en sus ambientes de trabajo. Alineado con estanderes de control y auditoria(COSO,IFAC,IIA,ISACA,AICPA). COBIT se divide los procesos de TI en 4 reas: a Planear. Construir. Ejecutar. Monitorear.

1.5.

Niveles de Madurez
No existe : La administracion del proceso no aplica del todo Inicial : El proceso es ad hoc y desorganizado Repetible : El proceso sigue un patron regular Denido : El proceso es documentado y comunicado Administrado : El proceso es monitoreado y es medido Optimizado : Las buenas practicas son seguidas y automatizadas.

2.

Framework

Contiene 34 Objetivos de Control de alto nivel, uno para cada uno de los procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin o o Adquirir e implementar. Entregar y Dar Soporte. Monitorear y Evaluar.

2.1.

Planeacin y Organizacin o o

Identicar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. PO1 Denir un plan estratgico de TI e PO2 Denir la arquitectura de la informacin o PO3 Determinar la direccin tecnolgica o o PO4 Denir los procesos, organizacin y relaciones de TI o PO5 Administrar la inversin en TI o PO6 Comunicar las aspiraciones y la direccin de la gerencia o PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos

2.2.

Adquirir e implementar

Identicacin de soluciones, desarrollo o adquisicin, cambios y/o mantenio o miento de sistemas existentes. AI1 Identicar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnolgica o AI4 Facilitar la operacin y el uso o AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios

2.3.

Entregar y Dar Soporte

Cubre la entrega de los servicios requeridos. Incluye la prestacin del servio cio, la administracin de la seguridad y de la continuidad, el soporte del servicio o a los usuarios, la administracin de los datos y de las instalaciones operacionales. o DS1 DS2 DS3 DS4 DS5 Denir y administrar los niveles de servicio Administrar los servicios de terceros Administrar el desempeo y la capacidad n Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas 3

DS6 Identicar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la conguracin o DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente f sico DS13 Administrar las operaciones

2.4.

Monitorear y Evaluar

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, o n el cumplimiento regulatorio y la aplicacin del gobierno. o ME1 Monitorear y evaluar el desempeo de TI. n ME2 Monitorear y evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.

3.

Ventajas
Los objetivos de control para la informacin y tecnolog relacionadas o as (COBIT) es una estrategia de buen marco para ayudar a una organizacin. o Cobit siendo un marco general, su exibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamao de empresa, realizando una implemenn tacin gradual y progresiva acorde a los recursos disponibles , acomodando o la estrategia general. Es adaptable con estndares mas espec a cos como ISO 17799, ISO 9000, ISO 27000, CMM, ITIL, etc. Contribuye a salvar las brechas entre riesgos de negocios, necesidades de control y aspectos tcnicos. e Esta dirigido a los auditores informticos a Permite determinar el alcance de la tarea de auditoria e identicar los controles m nimos. Observa y se nutre de prcticamente de la totalidad de los estndares y a a regulaciones internacionales. Incorpora los principios de gestin de la calidad total, re- ingenieria de o empresas e integra los dos modelos de control: Orientados a las tecnolog de informacin as o Orientado a los objetos empresariales

4.

Cobit y otros marcos de administracin de TI o

Cobit vs ITIL
COBIT puede que tenga mayor alcance que ITIL ya que abarca todo el espectro de actividades de IT, mientras que ITIL est centrado solo en Service a Management (gestin del servicio). o Ambos modelos son tambin complementarios y se pueden usar juntos: ITIL e para lograr efectividad y eciencia en los servicios TI y COBIT para vericar la conformidad en cuanto a disponibilidad, rendimiento, eciencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la compa usando na, para ello mtricas claves y cuadros de mando que reporten dicha informacin. e o