Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La Misin de COBIT Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento.
Por qu
En particular, la alta direccin necesita saber si con la informacin administrada en la empresa es posible que: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y acte de acuerdo a ellas
Quin
Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades especficas: Interesados dentro de la empresa que tienen inters en generar valor de las inversiones en TI: Aquellos que toman decisiones de inversiones Aquellos que deciden respecto a los requerimientos Aquellos que utilizan los servicios de TI Interesados internos y externos que proporcionan servicios de TI: Aquellos que administran la organizacin y los procesos de TI Aquellos que desarrollan capacidades Aquellos que operan los servicios Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo Aquellos que realizan funciones de cumplimiento Aquellos que requieren o proporcionan servicios de aseguramiento
Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineacin entre las metas de negocio y de TI. Establecer una orientacin a procesos para definir el alcance y el grado de cobertura Ser generalmente aceptable al ser consistente con las mejores prcticas y estndares de TI aceptados Proporcionar un lenguaje comn Ayudar a satisfacer requerimientos regulatorios
Qu
Orientado al negocio
La orientacin a negocios es el tema principal de COBIT. Est diseado para ser utilizado no slo por proveedores de servicios, usuarios y auditores de TI, sino tambin y principalmente, como gua integral para la gerencia y para los dueos de los procesos de negocio.
Orientado al negocio
El marco de trabajo COBIT se basa en el siguiente principio
Orientado al negocio
CRITERIOS DE INFORMACIN DE COBIT Para satisfacer los objetivos del negocio, se definieron los siguientes siete criterios de informacin: La efectividad La eficiencia La confidencialidad La integridad La disponibilidad El cumplimiento La confiabilidad
Orientado al negocio
METAS DE NEGOCIOS Y DE TI Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y mtricas asociadas deben expresarse en trminos de negocio significativos para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerrquicos asegurara que el negocio puede confirmar que es probable que TI soporte los objetivos de la empresa.
Orientado al negocio
METAS DE NEGOCIOS Y DE TI
Orientado al negocio
RECURSOS DE TI Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada , para dar soporte a la capacidad del negocio que genere el resultado:
Orientado al negocio
RECURSOS DE TI Los recursos de TI identificados en COBIT se pueden definir como sigue: Las aplicaciones La informacin La infraestructura Las personas
Orientado al negocio
resume cmo las metas de negocio para TI influencian la manera en que se manejan los recursos necesarios de TI por parte de los procesos de TI para lograr las metas de TI.
Orientado a Procesos
El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje comn para que todos en la empresa visualicen y administren las actividades de TI. Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME)
Orientado a Procesos
Orientado a Procesos
PLANEAR Y ORGANIZAR (PO) Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Orientado a Procesos
ADQUIRIR E IMPLEMENTAR (AI) cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarn a las operaciones actuales del negocio?
Orientado a Procesos
ENTREGAR Y DAR SOPORTE (DS) Por lo general cubre las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Orientado a Procesos
MONITOREAR Y EVALUAR (ME) Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?
Basado en controles
LOS PROCESOS REQUIEREN CONTROLES Los objetivos de control de TI proporcionan un conjunto completo de requerimientos de alto nivel a considerar por la gerencia para un control efectivo de cada proceso de TI. Ellos: Son sentencias de acciones de gerencia para aumentar el valor o reducir el riesgo Consisten en polticas, procedimientos, prcticas y estructuras organizacionales. Estn diseadas para proporcionar un aseguramiento razonable de que los objetivos de negocio se conseguirn y que los eventos no deseables se prevendrn, detectarn y corregirn. La gerencia de la empresa necesita tomar decisiones relativas a estos objetivos de control: Seleccionando aquellos aplicables. Decidir aquellos que deben implementarse. Elegir como implementarlos (frecuencia, extensin, automatizacin, etc.) Aceptar el riesgo de no implementar aquellos que podran aplicar.
Basado en controles
Basado en controles
Adems de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genricos que se identifican con PCn, que significa Control de Proceso nmero. Se deben tomar como un todo junto con los objetivos de control del proceso para tener una visin completa de los requerimientos de control.
Basado en controles
PC1 Metas y Objetivos del Proceso PC2 Propiedad del Proceso PC3 Proceso Repetible PC4 Roles y Responsabilidades PC5 Polticas, Planes y Procedimientos PC6 Desempeo del Proceso
Basado en controles
CONTROLES DEL NEGOCIO Y DE TI Al nivel de direccin ejecutiva Al nivel de procesos de negocio Para soportar los procesos de negocio
Basado en controles
CONTROLES GENERALES DE TI Y CONTROLES DE APLICACIN Desarrollo de sistemas Administracin de cambios Seguridad Operaciones de computo Integridad (Completitud) Precisin Validez Autorizacin Segregacin de funciones La empresa es responsable de: Definir apropiadamente los requisitos funcionales y de control Uso adecuadamente los servicios automatizados TI es responsable de: Automatizar e implementar los requisitos de las funciones de negocio y de control Establecer controles para mantener la integridad de controles de aplicacin.
Basado en controles
Basado en controles
La siguiente lista ofrece el conjunto recomendado de objetivos de control de aplicaciones. Identificados por ACn, de Control de Aplicacin nmero (por sus siglas en ingls): AC1 Preparacin y Autorizacin de Informacin AC2 Recoleccin y Entrada de Informacin Fuente. AC3 Chequeos de Exactitud, Integridad y Autenticidad AC4 Integridad y Validez del Procesamiento AC5 Revisin de Salidas, Reconciliacin y Manejo de Errores AC6 Autenticacin e Integridad de Transacciones