COBIT 4.

1: El enfoque de control interno de TI

ING. ERIKA ZEVALLOS VERA

Introduccin a COBIT
Por qu TI necesita un marco de control de TI?
Quin necesita un marco de control de TI? Cmo y por qu es utilizado COBIT?

Por qu TI necesita un marco de control?

Algunas de estas condiciones le son familiares?
Crecimiento en la complejidad de los ambientes de TI Infraestructuras fragmentadas de TI Ausencia de comunicacin entre los gerentes de negocio y de TI Frustracin del usuario ante la implementacin de soluciones empricas Percepcin de costos de TI fuera de control

Antecedentes
Control Objectives for Information and related Technology Originalmente desarrollado por ISACF (Information Systems Audit and Control Foundation), hoy llamada ITGI ( Information Technology Governance Institute) Proporciona panorama para control de TI Versin 3 desarrollada en el ao 2000 Versin On-line lanzada en el ao 2003 Versin 4 lanzada en octubre de 2005

Composicin
Conformado por 34 objetivos de control de alto nivel en sus cuatro dominios Cada objetivo de control est soportado por los Lineamientos de Auditora Los Lineamientos de Auditora en total contienen 318 objetivos de control recomendados

Lineamientos Gerenciales, orientados a la implementacin de la metodologa

Familia de productos COBIT

Directrices de Gerencia (Management Guidelines) Resumen Ejecutivo (Executive Summary) Marco Referencial (Framework) Objetivos de Control (Control Objectives) Directrices de Auditora (Audit Guidelines) Conjunto de Herramientas de Implementacin (Implementation Tool Set)

COBIT esta orientado a ser la herramienta de

gobierno de TI que ayude al entendimiento y a la

administracin de riesgos asociados con

tecnologa de informacin y con tecnologas

relacionadas.

Quines estn detrs de CobiT?

IT Governance Institute

Reconocida como lder mundial en el gobierno, control y evaluacin de TI.

COBIT Cualidades Informacin

COBIT Recursos de TI

Marco COBIT

Modelo de Madurez
0 1 2 3 4 5

Leyenda: Estado actual Estado internacional Mejor prctica Objetivo estratgico

Nivel de madurez:

0 .. No existe 1 .. Bsico 2 .. Repetible 3 .. Documentado y comunicado 4 .. Funcin de monitoreo 5 .. Optimizado y automatizado

Objetivos y Beneficios
Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI. Consolidar y armonizar estndares originados y desarrollados en diferentes pases. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa.

Panorama de COBIT
Objetivos del Negocio
Gobierno de TI

Monitorear y Evaluar
1. Monitorear y evaluar rendimiento de TI 2. Monitorear y evaluar control interno 3. Asegurar cumplimiento con requerimientos externos 4. Proveer gobierno de TI

CobiT

Planear y Organizar
1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Administrar calidad 9. Evaluar y administrar Riesgos 10. Administracin de Proyectos

Req. Informacin
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Entregar y Soportar
1.Definir y administrar niveles de servicio 2.Administrar servicios de terceros 3.Administrar rendimiento y capacidad 4.Asegurar servicio continuo 5.Asegurar seguridad de sistemas 6.Identificar y asignar costos 7.Educar y entrenar usuarios 8.Administrar mesa de ayuda e incidentes 9.Administrar la configuracin 10.Administrar problemas 11.Administrar datos 12.Administrar el ambiente fsico 13.Administrar las Operaciones

Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano

Adquirir e Implementar
1. Identificar soluciones automatizadas 2. Adquirir y mantener software de aplicacin 3. Adquirir y mantener infraestructura de TI 4. Establecer operacin y uso 5. Asignar recursos de TI 6. Administrar Cambios 7. Instalar y acreditar soluciones y cambios

Panorama del COBIT

Integracin de otros estndares

ITIL (IT Infrastructure Library) ISO 17799 (Information Security Management) German Baseline Standards (Technical Security) ISO 13335 (Risk Management) ISO 15408 (Common Criteria) CoSo (Control System) Ensec (German TUEV)

COBIT y otros estndares

COBIT e ITIL

Deliver IT Services

Support IT Services
-Service Desk -Incident Management -Problem Management -Configuration Management -Change Management -Release Management -Software development lifecycle -Software lifecycle support -Testing IT Services

-Capacity Management -Financial Management -Customer Relationship Mgmt -Service Level Management -Continuity Management -Availability Management

Manage Applications
-Business Continuity -Partnership and Outsourcing -Surviving Change -Transformation of business practise -Network Service Management -Operations Management -Management of local processors -Computer Installation -Systems Management

The Business Perspective

Manage the Infrastructure

COBIT e ISO/IEC 17799:2000