Está en la página 1de 92

Curso

Fundamentos de COBIT

Eduardo Luyo, CISA, CISM

Introduccin al Curso

Introduccin al Curso

Bienvenido al Curso
Fundamentos de COBIT (Control Objectives for
Information and related Technology)

Introduccin al Curso
ISACA
Con mas de 70,000 miembros en mas de 140 pases, ISACA (
www.isaca.org) es un lder internacionalmente reconocido en Gobierno,
control, seguridad y aseguramiento de TI. Desde que fue fundado en
1969 patrocina conferencias internacionales, publica Information Systems
Control Journal, desarrolla estndares internacionales de control y
auditoria de sistemas de informacin y administra globalmente las
certificaciones CISA y CISM.
ITGI
IT Governance Institute (ITGI) (www.itgi.org) fue establecido por ISACA en
1998 para proveer estandares orientados a la direccin y control de
tecnologas de informacin de las organizaciones. ITGI desarroll Control
Objectives for Information and related Technology (COBIT), ahora en su
4ta versin. Ellos tambin ofrecen investigaciones y casos de estudio
para asistir a las directores y lideres de las empresas en sus
responsabilidades de gobierno de TI.
4

Objetivos de Aprendizaje

Objetivos de Aprendizaje
Al final de este curso, usted entender:

Cmo los problemas de las tecnologas de informacin afectan a las


organizaciones.

La necesidad de un marco de trabajo de control basado en


Gobierno de TI.

Cmo COBIT satisface los requerimientos para un marco de trabajo


de Gobierno de TI.

Cmo COBIT es usado con otros estndares y mejores prcticas

Marco de trabajo COBIT y todos sus componentes

Cmo aplicar COBIT en una situacin prctica


6

Estructura del Curso

Estructura del Curso


1. Retos de las
Organizaciones de TI
2. Introduccin al Gobierno
de TI y COBIT
3. Visin General de COBIT

4. Componentes de COBIT

5. COBIT y el ambiente de TI

Valores, limitaciones,
componentes y beneficios
COBIT y Gobierno de TI
Premisas y principios de COBIT
Cubo COBIT
Objetivos de negocio, Objetivos
de TI y Procesos de TI
Control, objetivos de control y
prcticas de control
Lineamientos gerenciales
Guas de auditoria
Alineamiento con otros
estndares
Cumplimiento con leyes y
regulaciones

1. Retos de las Organizaciones de TI

Retos de la Organizaciones de TI

Lectura:
IT doesnt Matter
By Nicholas G. Carr

10

Retos de la Organizaciones de TI

11

2. Introduccin al Gobierno de TI y
COBIT

Definiciones Qu es un Riesgo?
Son eventos no deseados que impiden el cumplimiento
de los objetivos y metas de una organizacin.
Administracin de Riesgos cubre mltiples reas que
una organizacin necesita monitorear y administrar para
ser efectivo y rentable.

Creditos

Marketing

Legal

Riesgo
laboral

Comercial

Seguridad

Operaciones

Identificar riesgos >>> Medir riesgos >>> reducir impacto >>> reportar >>> actualizar
poltica de riesgos
13

Definiciones Qu es
Cumplimiento?
Es la funcin de la gerencia el cual asegura que
todas las reglas y regulaciones obligatorias
requeridos por clientes, estndares o entidades
regulatorias para mantenerse en el negocio son
seguidas.

14

Definiciones Qu es
Alineamiento?
Estrategias competiticas
La capacidad de las organizaciones
para convertir sus gastos de TI en
valor para el negocio y ventaja
competitiva.
Resulta del uso planeado y continuo
de un conjunto de prcticas de
negocio que colectivamente derivan
valor de las inversiones de TI.
Un resultado de alineamiento es
portafolios de inversiones de TI,
proyectos y sistemas de informacin
instalados que reflejan las
prioridades estratgicas de la
organizacin.

Inversiones y
Activos de TI

Procesos de
Negocio
15

Definicin Qu es Gobierno de TI

Gobierno

de TI es responsabilidad del Directorio y Gerencia.


Es parte integral de gobierno empresarial que consiste de
liderazgo, estructuras organizacionales y procesos que
aseguren que las organizaciones de TI soportan y cubran los
objetivos y estrategias de la organizacin

Board Briefing on IT Governance, 2nd Edition 2003.


16

Gobierno de TI - Framework
Qu cubre el Gobierno de TI?

IT
Governance
Domains

Resource
Management
17

Gobierno de TI - Framework
Alineamiento Estratgico
Enfocado en asegurar el vnculo de negocio y los planes de
tecnologa de informacin; la definicin, mantenimiento y
validacin de la propuesta de valor de TI; y alinear las
operaciones de TI con las operaciones del negocio.

18

Gobierno de TI - Framework
Entrega de Valor
Esta relacionado con la ejecucin de la propuesta de valor a
travs del ciclo de entrega, asegurando que TI entrega los
beneficios prometidos contra la estrategia, concentrando se en la
optimizacin de costos y probando el valor intrnseco de TI.

19

Gobierno de TI - Framework
Administracin de Recursos
Esta relacionado con la inversin ptima y adecuada administracin
de los recursos crticos de TI: aplicaciones, informacin,
infraestructura y las personas. Problemas claves relacionados a la
optimizacin del conocimiento e infraestructura.

20

Gobierno de TI - Framework
Medicin de Rendimiento
Registra y monitorea la implantacin de la estrategia, culminacin
de los proyectos, uso de los recursos, rendimiento de los procesos
y entrega del servicio, usando por ejemplo, el balancescorecard
que traduce la estrategia en accin para lograr los objetivos
medibles

21

Gobierno de TI - Framework
Administracin de Riesgos
Requiere concientizacin de riesgo por la gerencia, un claro
entendimiento del apetito de riesgo, entendimiento de los
requerimientos de cumplimiento, transparencia acerca de los
riesgos significativos para la empresa, y responsabilidades de
administracin de riesgos en la organizacin.

I cannot imagine any condition which could cause this ship to founder. I
cannot conceive of any vital disaster happening to this vessel.Captain of
the Titanic, 1912
22

Gobierno de TI - Framework
Responsabilidades
Directorio

Establece la direccin de TI, monitorea los


resultados e insiste en medidas
correctivas

Gerente de
Negocio

Define requerimientos de negocio para TI


y asegura que el valor sea entregado y
los riesgos sean manejados

Gerencia de TI

Entrega y mejora servicios de TI


requeridos por el negocio.

Auditoria de TI

Provee una evaluacin independiente


para demostrar que TI entrega lo
requerido.

Riesgos y
Cumplimiento

Mide el cumplimiento con las polticas y


se enfoca en alertar para nuevos riesgos.
23

Importancia del Gobierno de TI

Seguridad
Alinear TI con
el Negocio
Valor/Costo

Mantener
Disponibilidad
Manejar TI
TI
Compleja
Cumplimiento
Regulatorio

Las organizaciones requieren un enfoque estructurado para manejar los retos.


Asegurar que existan objetivos de TI acordados, buenos controles de administracin
y un efectivo monitoreo del rendimiento para evitar resultados no esperados.
24

Iteracin de objetivos y
Actividades de TI

Interaccin de Objetivos y Actividades de TI


1. Establecer objetivos para TI (Direccin inicial)
2. Medir rendimiento
3. Comparar con los objetivos
4. Proveer direccin
5. Realizar actividades de TI
25

Gobierno de TI - Definicin
Alcance de Gobierno de TI
IT Resource
Management

Soportado en:

IT Value
Delivery

IT
Strategic
Alignment

Stakeholder
value
Drivers

a) Entrega de Valor al negocio


b) Mitigacin de Riesgos de TI

Risk
Manageme
nt

a) Adecuada administracin
de recursos
b) Medicin de rendimiento.

Performanc
e
Measureme
nt

26

Gobierno de TI - Principios
Estrategia: Es la inversin:
a)Alineada con nuestra visin
b)Consistente con nuestros principios de
negocio
c)Contribuyendo a nuestros objetivos
estratgicos
d)Proveyendo valor ptimo, a un costo
asequible y con un nivel de riesgo
aceptable.

Arquitectura: Es la inversin:
a)Alineada con nuestra arquitectura
b)Consistente con nuestros principios
arquitectural
c)Contribuye a la poblacin de nuestra
arquitectura
d)Alineada con otras iniciativas.

Are we
doing the
right
things?

Are we
doing
them
way?

Are we
getting
the
benefits?

Are we
getting
done
well?

Valor: Tenemos:
a)Un claro y compartido entendimiento de
los beneficios esperados
b)Responsabilidades claras para realizar
los beneficios
c)Mtricas relevantes
d)Proceso de realizacin beneficios
efectivos

Entrega: Tenemos:
a)Procesos de administracin de cambio
y entrega efectivos y disciplinados.
b)Recursos de negocios y tcnicos
competentes y confiables para entregar:
a) Las capacidades requeridas
b) Cambios organizacionales
requeridos para apalancar las
capacidades.

Lectura 2: The rule of Four of IT Governance


27

Necesidad de Gobierno de TI

Cumplimiento

Business/IT
Alignment ROI

Project
Execution
Security
28

Antecedentes del COBIT


COSO Internal Control Integrated Framework .- estableci un marco de trabajo
para control interno y provey herramientas por la cual los negocios y otras entidades
puedan usar para evaluar su sistema de control interno.

Code of Practice for Information Security management (ISO/IEC 17799) toma una
linea base (baseline) para la seguridad de informacin. Provee 127 guias de seguridad
de informacin estructuradas bajo 11 dominios.

ITIL IT Infrastructure Library , lineamientos desarrollados por la CCTA (ahora OGC)


en inglaterra. Es un marco de trabajo de buenas prcticas para la administracin de
servicios de TI.

CMM /SPICE (ISO/IEC 15504) , es el primer modelo de Madurez de Capacidades.


Desarrollado por el software Engineering Institute (SEI) de la Carnegue Mellon University
y describe los principios y practicas para la madurez de los procesos de desarrollo de
software.
29

Antecedentes del COBIT

Common Criteria (ISO/IEC 15408) .- Criterios de evaluacin de la seguridad de TIque


son ampliamente utilizados en la comunidad internacional.

Quality Models (Deming, EFQM, BNQP, ISO9000) los modelos de calidad estn
orientados a controlar y mejorar productos y procesos. Aunque la teora de calidad se
origina en los procesos de negocios, en muchos casos la ideas tambin han sido
adoptados dentro de TI.

Decidir sobre cambios requeridos


para mejorar el proceso

Evaluar las medidas y reportar los


resultados.

Disear y revisar componentes de procesos de


negocios para mejorar resultados

Act

Plan

Check

Do

Implementar el plan y medir rendimiento

30

Antecedentes del COBIT


Balance Scorecard .- es un sistema de gestin que facilita a las organizaciones
clarificar su visin y estrategia y traducirlas en accin.(Kaplan & Norton).
- Perspectiva Financiera
- Perspectiva de Procesos Internos
- Perspectiva de Aprendizaje y Crecimiento
- Perspectiva de Cliente
IT Balance Scorecard .- (Van Grembergen)
- Contribucin al Negocios
- Excelencia Operacional
- Orientacin Futura
- Orientacin al Usuario

31

Antecedentes del COBIT

Marco General de Trabajo (framework) que


debe ser adecuado a una organizacin. Debe
ser usado con otros recursos para customizar
los lineamientos generales a un ambiente
especifico.

En estructura, es un conjunto de objetivos de control para las tecnologas de


informacin diseados para facilitar una auditoria.
32

Antecedentes del COBIT

Gobierno
Cobit 4.0
Gestin
Cobit 3.0
Control
Cobit 2
Auditoria
Cobit 1
1996

1998

2000

2005
33

Como COBIT soporta el Gobierno


de TI?
Direccin

Requerimientos

Goals

Objetivos
de Control

Negocio

Gobierno

TI
Informacin que el
negocio necesita para
lograr sus objetivos

Responsabilidades

Alta Direccin necesita


ejercer sus
responsabilidades

IT Governance
34

3. Visin General de COBIT

COBIT - Orientacin de
Procesos
Business
Requirements
IT
Processes

IT
Resources

Dominios

Agrupacin natural de procesos,


frecuentemente alineado a un
dominio organizacional de
responsabilidad
Un conjunto de actividades
relacionadas.

Procesos
Acciones requeridas para lograr un
resultado medible Actividades
tienen un ciclo de vida.
Actividades o
Tareas
36

COBIT - Orientacin de
Procesos
Dominios de TI
Planificar y
Organizar
Adquirir e
Implantar
Entregar y
soportar
Monitorear y
evaluar
Agrupacin natural de
procesos, frecuentemente
alineado a un dominio
organizacional de
responsabilidad

Business
Requirements
IT
Processes

IT
Resources

Procesos de TI
Estrategia de TI
Operacin de Computadoras
Activities
Manejo de Incidentes
Registrar un problema.
Gestin de Proyectos
Analizar.
Gestin de Cambios
Continuidad del Negocio Proponer soluciones.
Monitorear solucin.
Gestin de Problemas
Registrar un incidente
Un conjunto de actividades
Etc.
relacionadas

Acciones requeridas para lograr un


resultado medible Actividades
tienen un ciclo de vida.
37

COBIT - Modelo en Cascada

El control de
Procesos de TI

Que satisface

Requerimientos
Es habilitado por
de negocio
Declaraciones
considerando
de Control
Prcticas de
control

4 Dominios - 34 Procesos - 210 Objetivos de control


38

COBIT Valor, Limitaciones y


Beneficios

Es internacionalmente aceptado.
Mapas a todos los frameworks y estndares relacionados y es
reconocido como un integrador de frameworks, estndares y
mejores prcticas
Soporta los componentes relacionados a TI de existentes y
emergentes regulaciones, particularmente relacionados a
gobierno corporativo y cumplimiento.
Es una familia completa de productos que evolucionan
continuamente.
Es soportado por herramientas y entrenamiento.
Es mantenido por una reconocida organizacin sin fines de lucro.
Es neutral e independiente de plataformas y tecnologas
Esta basado por el input de voluntarios
Esta orientado a la administracin y al aseguramiento.

39

COBIT Valor, Limitaciones y


Beneficios
Fortalezas:
Independencia
Credibilidad
Framework abierto
Membresia base de ISACA
Cubre necesidades de
cumplimiento
Agnstico a las tecnologas

Debilidades:
Percepcin como un
estndar de auditoria.
Marketing y
comunicaciones
Ausencia de certificaciones
Ausencia de estrategia de
implantacin

Oportunidades:
Desarrollar una profesin en
IT Governance
Influye en regulaciones y
estndares
Desde el cumplimiento a la
creacin de valor
Satisface necesidades de
industria, tamao y geografa

Amenazas:
Competencia con frameworks y
estndares

40

COBIT Valor, Limitaciones y


Beneficios
Algunos beneficios de adoptar COBIT son:
COBIT esta

alineado con otros estndares y buenas prcticas que debern ser usados

juntos.
Framework

de COBIT y las mejores prcticas que lo soportan proveen un flexible y


bien manejado ambiente de TI en una organizacin.

COBIT provee

un ambiente de control que responde a las necesidades del negocio y


sirve a la gerencia y funciones de auditoria en trminos de sus responsabilidades de
control.

COBIT provee

herramientas para ayudar a administrar las actividades de TI.

41

COBIT y Gobierno de TI

COBIT se enfoca en mejorar el gobierno de TI en la organizacin.

COBIT provee un framework para manejar y controlar las actividades de TI y soporta cinco
actividades para un framework de control
Provee valor al
negocio

Asegura una
orientacin a
procesos

Define un
lenguaje
comn

Control
Framework

Ayuda a cumplir
con
requerimientos
regulatorios

Tiene
aceptabilidad
general entre las
organizaciones
42

COBIT Premisas
El

COBIT framework esta basado en la premisa que TI necesita entregar la


informacin que una empresa requiere para lograr sus objetivos.

Para lograr

Objetivos de
Negocio

Procesos de
Negocio

Informacion
provee
Recursos y
Procesos de TI

El

COBIT framework ayudad a alinear TI con el negocio enfocandose en


requerimientos de informacin del negocio y organizando los recursos de TI.
43

COBIT Principios
El principio de COBIT es vincular las expectativas de TI la gerencia con las
responsabilidades de la administracin de TI. El objetivo es facilitar el Gobierno de TI praa
entregar valor y manejando los riesgos de TI.

Recursos de TI

Estrategia de
Negocios

Procesos de TI

Criterios de
Informacin

44

COBIT Framework
Como un framework de gobierno y control de TI, COBIT se enfoca en dos reas claves:

Proveer la informacin requerida para soportar los objetivos y requerimientos del negocio.

Tratamiento de informacin como resultado de la aplicacin combinada de recursos de TI que


necesita ser administrada por los procesos de TI.
Criterios de Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad

Procesos de TI

Requerimiento de Negocio

Enfoque de Control
Recursos de TI
Procesos de TI
Consideracin


....

Dominios
Procesos
Actividades

Aplicaciones
Informacin
Infraestructura
Personas
45

COBIT Cubo
El COBIT framework describe como los procesos de TI entregan la informacin que el negocio necesita
para lograr sus objetivos.
Para controlar la entrega, COBIT provee tres componentes claves, cada uno formando una dimensin
del cubo COBIT.

Requerimientos del Negocio para Criterios de informacin

Recursos de TI

Procesos de TI

46

COBIT Cubo: Procesos de TI

COBIT describe el ciclo de vida de TI en cuatro dominios:


Planificar y Organizar
Adquirir e implementar
Entregar y Soportar
Monitorear y evaluar

Los procesos son una serie de actrividades con mecanismos de control. Existen 34 procesos a
travs de los cuatro dominios. Estos procesos especifican que necesidades de negocio son
necesarios para lograr los objetivos.

Actividades son acciones que son requeridas para lograr resultados medibles.

Criterios de Informacin

Recursos de TI

Dominios
Procesos
Actividades
Procesos de TI

47

COBIT Cubo: Dominios de TI


Planificar y Organizar (PO)
Objetivos
Formular estrategias y tcticas
Identificar como TI puede contribuir a lograr los objetivos de negocio
Planificar, comunicar y administrar la realizacin de la visin estratgica
Implantar infraestructura tecnolgica y organizacional
Alcance:
Estn TI y el negocio estratgicamente alineado?
Est la organizacin alcanzando uso ptimo de los recursos?
Alguien en la organizacin entiende los objetivos de TI?
Son los riesgos de TI entendido y bien manejados?
Es la calidad de los sistemas apropiado para las necesidades del negocio?

TI y el Negocio

48

COBIT Cubo: Dominios de TI


El modelo de procesos COBIT consiste de 34 procesos de TI definidos en 4 dominios

Planificar y Organizar

Acquire and
Implement

Plan and
Organise
IT Processes

Deliver and
Support

Monitor and
Evaluate

PO1 Definir el Plan estratgico


PO2 Definir la arquitectura de informacin.
PO3 Determina la direccin tecnolgica
PO4 Define los procesos de TI, organizacin y
sus relaciones
PO5 Manejar la inversin de TI
PO6 Comunicar a la gerencia los objetivos y la
Direccin
PO7 Manejar Recursos Humanos de TI.
PO8 Manejar la Calidad.
PO9 Evaluar y manejar los riesgos de TI.
PO10 Manejar Proyectos.

49

COBIT Cubo: Dominios de TI


Adquirir e Implantar (AI)

Objetivos:
Identificar, desarrollar o adquirir, implantar e integrar soluciones de TI
Cambiar y mantenimiento de sistemas existentes

Alcance:
Estn los nuevos proyectos listos para satisfacer las necesidades del negocio?
Es probable que los proyectos que se entreguen a tiempo y dentro del presupuesto?
El nuevo sistema trabajar apropiadamente cuando sea implantado?

?
Nuevos Proyectos

Organizacion

50

COBIT Cubo: Dominios de TI

Adquirir e implantar

Plan and
Organise

Acquire and
Implement
IT Processes

Deliver and
Support

Monitor and
Evaluate

AI1 Identificar soluciones automatizadas


AI2 Adquirir y mantener aplicaciones de
AI3 Adquirir y mantener infraestructura
tecnolgica
AI4 Habilitar operacin y uso de soluciones
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones

51

COBIT Cubo: Dominios de TI


Entrega y Soporte (DS)

Objetivos
Administrar la seguridad, continuidad datos y facilidades operacionales.
Servicio de soporte para los usuarios

Alcance:
Estn los servicios de TI siendo entregados con las prioridades de negocios?
Son los costos de TI optimizados?
Estn los empleados listos para usar sistemas de TI en forma productiva y segura?
Son adecuados los niveles de confidencialidad, integridad y disponibilidad?

Servicios de TI

Prioridades de Negocio
52

COBIT Cubo: Dominios de TI


Entrega y Soporte
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar rendimiento y capacidad.
DS4 Asegurar servicio continuo
DS5 Administrar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar usuarios
DS8 Administrar incidentes y Service Desk
DS9 Administrar configuraciones .
DS10 Administrar problemas.
DS11 Administrar Data.
DS12 Administrar ambiente fsicos
DS13 Administrar operaciones

Acquire and
Implement

Plan and
Organise
IT Processes

Deliver and
Support

Monitor and
Evaluate

53

COBIT Cubo: Dominios de TI


Monitorear y Evaluar (ME)

Objetivos
Administrar el rendimiento
Monitorear control interno
Cumplimiento regulatorio
Gobierno de TI

Alcance:
Es el rendimiento de TI medido para detectar problemas antes que sea tarde?
La gerencia asegura que los controles internos son efectivos y eficientes?
Puede el rendimiento de TI ser vinculado con los objetivos del negocio?
Los riesgos, controles, cumplimiento y rendimiento medidos y reportados?

IT

Performance
54

COBIT Cubo: Dominios de TI

Monitorear y Evaluar
ME1 Monitorear y Evaluar rendimiento de TI.
ME2 Monitorear y Evaluar Control Interno.
ME3 Asegurar el cumplimiento con requerimientos
externos .
ME4 Proveer Gobierno de TI.

Acquire and
Implement

Plan and
Organise
IT Processes

Deliver and
Support

Monitor and
Evaluate

55

COBIT Cubo: Criterios de


Informacin
Los

criterios de informacin estn basados en los siguientes requerimientos:

Calidad
Fiduciarios
Seguridad
Requerimientos de Calidad
Requerimientos fiduciarios
Requerimientos de calidad

Criterios de informacin

Recursos de TI
Procesos de TI
56

COBIT Cubo: Criterios de


Informacin
Manejar informacin que es relevante y pertinente para los procesos de
Efectividad

Eficiencia

Confidencialidad

Integridad

negocios y que es entregado en forma oportuna, correcta, consistente y


usable.
Concerniente a la provisin de informacin a travs del ms
optimo (mas productivo y econmico) uso de los recursos.
Concerniente a la proteccin de informacin sensible
de divulgacin no autorizada.
Relacionada a la exactitud y completitud de informacin igual
que su validez de acuerdo con los valores y expectativas.

Requerimientos de calidad
Fiduciary Requirements
Security Requirements

Information Criteria

IT Processes

IT Resources
57

COBIT Cubo: Criterios de


Informacin
Relacionada a la informacin que es disponible cuando es
Disponbilidad

Cumplimiento

Confiabilidad

requerida por los procesos de negocio ahora y en el futuro.


Asimismo es concerniente a la salvaguarda de recursos
necesarios y capacidades asociadas.
Manejo en cumplimiento con leyes, regulaciones y acuerdos contractuales
para el cual el proceso de negocio es sujeto.
Relacionada a la provisin de informacin apropiada para la gerencia para
operar la entidad y para ejercitar sus responsabilidades fiduciarias y de
gobierno.
Quality Requirements
Fiduciary Requirements
Security Requirements

Information Criteria

IT Resources
IT Processes

58

COBIT Cubo: Recursos de TI

Los proceso manejan recursos de TI para generar, entregar y almacenar informacin que la
organizacin necesita para lograr sus objetivos.

Los recursos de TI identificados en COBIT son definidos como:


Aplicaciones son procedimientos manuales y sistemas de usuarios automatizados que
procesan informacin.
Informacin es data que son ingresada, procesada y obtenida de los sistemas de informacin
en cualquier formato usado por el negocio.
Infraestructura incluye la tecnologa y facilidades tales como: hardware, sistemas operativos
y redes que permiten el procesamiento de las aplicaciones.
Personas son requeridos para planificar, organizar, adquirir, implantar, entregar, soportar,
monitorear y evaluar los servicios y sistemas de informacin. Ellos podran ser internos,
outsourcing o contratado
Information Criteria
Applications
Information

IT Processes

Infrastructure
People
IT Resources
59

COBIT Cubo
Los recursos de TI son manejados por procesos de TI para lograr los objetivos de TI
que respondan a los requerimientos de negocio. Este el el principio bsico del
framework de COBIT como se ilustra en el cubo COBIT:.

60

Enfoque de Procesos

PO2-Definir
Arquitectura
Informacin

PO1-Definir Plan
Estratgico de TI

Necesidades de Usuarios

PO6-Comunicar
Direccin y Objetivos
de TI

PO7-Manejar
Recursos Humanos de
TI

PO3-Determinar
Direccin Tecnolgica

PO8-Manejar Calidad

Adquirir e Implantar
AI1-Identificar
Soluciones
Automatizadas
AI3 -Adquirir y
Mantener
Infraestructura
Tecnolgica

PO5-Administrar la
Inversin de TI

PO9-Evaluar y
Manejar Riesgos de TI

PO10-Administracin
de Proyectos

Entregar y Soportar

AI2 - Adquirir y
Mantener
Software de
Aplicacin
AI4-Habilitar
Operacin y Uso

AI5-Obtener
Recursos de TI

PO4-Definir Procesos,
Org. & Relaciones de
TI

AI6
Manejar
Cambios

DS1 -Definir y
Manejar Niveles de
Servicio

DS2 -Manejar
Servicios de
Terceros

DS3-Manejar
Capacidad y
Rendimiento

DS4- Garantizar
Continuidad del
Servicio

DS5-Garantizar
Seguridad de los
Sistemas

DS6-Identificar y
Asignar Costos

DS7-Educar y
Entrenar Usuarios

DS8-Administrar
Service Desk e
Incidentes

DS9-Administrar la
Configuracin (1)

DS10-administrar
Problemas

DS11-Administrar
Datos

DS12-Administrar
Ambientes Fsicos

Satisfaccin de Usuarios

Planificar y Organizar

DS13-Administrar
Operaciones

AI7 - Instalar y
Acreditar
Soluciones y
Cambios

Monitorear y Evaluar
ME1-Monitorear y
Evaluar
Rendimiento de TI

ME2-Monitorear y
Evaluar Control Interno

ME3 - Asegurar
Cumplimiento con
requerimientos
Externos

ME4-Proveer Gobierno
de TI

61

Modelos de Madurez

Calidad

5=Optimizado

Mejora continua basado en


indicadores

Automatizacin

4=Medido

Cuantitativo (Procesos
medidos)

Estructura de control
completo, Anlisis de
rendimiento

3=Definido

Cualitativo (Procesos
definidos e institucionalizados)

Polticas,
procedimientos y
estndares

2= Repetido

Intuitivo (Procesos dependen


de ciertos individuos)

Calidad de las
personas. Tareas
definidas

1=Inicial

Adhoc /Catico

Tareas indefinidas
Depende de iniciativas

Riesgo

62

Modelos de Madurez
Que factores se evalan para determinar la madurez de los procesos?
1. Comunicacin y Concientizacin
2. Polticas, Planes y Procedimientos
3. Herramientas y Automatizacin
4. Experiencia y Conocimientos
5. Roles y Responsabilidades
6. Establecimiento de Metas y Mediciones

63

Medicin de Rendimiento (KGI,PKI)


Define Objetivos
Objetivo de
Proceso

Objetivo de
TI

Objetivo de
Negocio

Entender
requerimientos
de seguridad,
amenazas y
vulnerabilidades

Detectar y
resolver accesos
no autorizados a
la informacin,
aplicaciones e
infraestructura.

Asegurar que los


servicios de TI
puedan resistir y
recuperar de
ataques

Mantener
reputacin y
liderazgo de la
empresa

Frecuencia de
revisin de los
tipos de eventos
de seguridad a
ser monitoreado

Nmero de
violaciones de
acceso

Nmero de
incidentes de TI
con impacto en el
negocio

Nmero de
incidentes que
daan la imagen
de la empresa

Mejora y Alinea

Mide Logros Obtenidos

Objetivo de
Actividad

KPI Mtrica de Negocio KGI


KPI - Mtrica de TI - KGI
KPI - Mtrica de Proceso- KGI

Maneja Rendimientos

64

4. Componentes de COBIT

COBIT - Componentes
Una organizacin depende en la confiabilidad y oportunidad de los datos e
informacin. Los componentes COBIT proveen un framework detallado para
entregar valor mientras se maneja los riesgos y controles.

Recursos de TI

Estrategia de
Negocio

Procesos de TI

Criterios de
Informacin

66

Vinculando Objetivos de Negocios y


Objetivos de TI

El Gobierno de TI permite asegurar que las TI estn alineadas con los


objetivos y las metas organizacionales
Perspectiva
Financiera

1 Proveer un optimo ROI de las inversiones de TI 24


Administrar los riesgos del negocio
2 relacionados a TI
2 14 17 18 20 21 22

3 Mejorar gobierno corporativo y transparencia


2 18
Perspectiva de 4 Mejorar la orientacin y servicio al cliente
3 23
Cliente
5 Ofrecer productos y servicios competitivos
5 24
Establecer continuidad y disponibilidad del
6 servicio
10 16 22 23
Crear agilidad en respuesta a los cambios en
7 requerimientos de negocio
1 5 25
Lograr optimizacion de costos y entrega de
8 servicios
7 8 10 24
Obtener informacin util y confiable para
9 decisiones estrategias
2 4 12 20 26
Perspectiva
Mejorar y mantener la funcionalidad de los
Interna
10 procesos de negocios
6 7 11
11 Reducir costos de procesos
7 8 13 15 24
Proveer cumplimiento con leyes, regulaciones
12 y contratos
2 19 20 21 22 26 27
13 Proveer cumplimiento a politicas internas
2 13
14 Manejar cambios del negocio
1 5 6 11 28
Mejorar y mantener productividad operacional
15 y del staf
7 8 11 13
5 25 28
Perspectiva de 16 Manejar innovacin del negocio y productos
Crecimiento y
Adquirir y mantener personal motivado y
Aprendizaje 17 entrenado
9

67

Vinculando Objetivos de Negocios y


Objetivos de TI

68

Vinculando Objetivos de Negocios y


Objetivos de TI

69

COBIT Framework
BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES

C
ME1
ME2
ME3
ME4

Monitor and evaluate IT


performance.
Monitor and evaluate internal
control.
Ensure compliance with
external requirements.
Provide IT governance.

O B I

F R AM E W O R K

PO1
PO2

INFORMATION
Integrity

Efficiency
Effectiveness
Compliance

Availability
Confidentiality

Reliability
PLAN
AND
ORGANISE

MONITOR
AND
EVALUATE

DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13

Define and manage service


levels.
Manage third-party services.
Manage performance and
capacity.
Ensure continuous service.
Ensure systems security.
Identify and allocate costs.
Educate and train users.
Manage service desk and
incidents.
Manage the configuration.
Manage problems.
Manage data.
Manage the physical
environment.
Manage operations.

IT
RESOURCES

Applications
Information
Infrastructure
People
DELIVER
AND
SUPPORT

Define a strategic IT plan.


Define the information
architecture.
PO3 Determine technological
direction.
PO4 Define the IT processes,
organisation and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims
and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
PO10 Manage projects.

AI1
AI2
ACQUIRE
AND
IMPLEMENT

AI3
AI4
AI5
AI6
AI7

Identify automated solutions.


Acquire and maintain application
software.
Acquire and maintain technology
infrastructure.
Enable operation and use.
Procure IT resources.
Manage changes.
Install and accredit solutions and
changes.

70

Control (definido por COBIT)

Para lograr
objetivos
de negocio

Para evitar
riesgos,
amenazas y
exposiciones

Las polticas, procedimientos, prcticas y estructuras


organizacionales diseadas para proveer razonable
aseguramiento que los
objetivos del negocio sern logrados y que eventos no
deseados sern prevenidos,
detectados
y corregidos.
Source: COBIT Control Objectives.
P. 12.

71

Objetivos de Control
CobiT promueve el entendimiento de
aseguramiento razonable y riesgo residual

Conocimiento de niveles aceptables


para un aseguramiento razonable y
riesgos residuales es un factor crtico
de xito para disear un adecuado
framework de control

72

Objetivos de Control
Nivel de Aseguramiento
100%

Riesgo
Residual

Aseguramiento
Razonable

0%
73

Objetivos de Control
Objetivos de control son
Sentencias de resultados deseados
Logrados implementando prcticas de control
Requerimientos de alto nivel
Prcticas gerenciales orientadas a la accin.
Frecuentemente con una secuencia lgica de ciclo de vida

74

Prcticas de Control

Objetivos de control indican que hacer


Prcticas de control indican como hacerlo

No son soluciones especficas


Relacionados a otros estndares ms especficos:
ITIL
PMBOK
ISO/IEC 27002

75

Lineamientos Gerenciales

Criterio de
Informacin

Cascada
Gobierno de
TI

Recursos de
TI
76

Lineamientos Gerenciales

77

Lineamientos Gerenciales

78

Lineamientos Gerenciales

79

Lineamientos Gerenciales
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
0- No existente cuando
Las responsabilidades y la rendicin de cuentas no estn definidas. No hay polticas y procedimientos
formales respecto a la contratacin con terceros. Los servicios de terceros no son ni aprobados ni
revisados por la gerencia. No hay actividades de medicin y los terceros no reportan. A falta de una
obligacin contractual de reportar, la alta gerencia no est al tanto de la calidad del servicio prestado.
1 Inicial/Ad Ho cuando
La gerencia est consciente de la importancia de la necesidad de tener polticas y procedimientos
documentados para la administracin de los servicios de terceros, incluyendo la firma de contratos.
No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medicin
de los servicios prestados es informal y reactiva. Las prcticas dependen de la experiencia de los
individuos y del proveedor (por ejemplo, por demanda).
2 Repetible pero intuitiva cuando
El proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la
prestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condiciones
estndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportes
sobre los servicios existen, pero no apoyan los objetivos del negocio.

80

Lineamientos Gerenciales
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
3 Proceso definido cuando
Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros
para tratar y negociar con los proveedores. Cuando se hace un acuerdo de prestacin de servicios, la
relacin con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en
el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad
de supervisar los servicios de terceros. Los trminos contractuales se basan en formatos
estandarizados. El riesgo del negocio asociado con los servicios del tercero est valorado y reportado.
4 Administrado y medible cuando
Se establecen criterios formales y estandarizados para definir los trminos de un acuerdo, incluyendo
alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de
facturacin y responsabilidades. Se asignan las responsabilidades para la administracin del contrato
y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma
continua. Los requerimientos del servicio estn definidos y alineados con los objetivos del negocio.
Existe un proceso para comparar el desempeo contra los trminos contractuales, lo cual proporciona
informacin para evaluar los servicios actuales y futuros del tercero. Se utilizan modelos de fijacin
de precios de transferencia en el proceso de adquisicin. Todas las partes involucradas tienen
conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y
KGIs para la supervisin del servicio.

81

Guas de Auditoras

Emitido en el ao 2007
Trabajo colaborativo de los
grupos de desarrollo CobiT a
nivel mundial
Guide : Como usar COBIT para
soportar las actividades de
aseguramiento de TI.
Busca un desarrollo efectivo y
eficiente del trabajo de
aseguramiento de TI
(Planificacin, alcance y
ejecucin)
No son programas detallados
de aseguramiento.
Es parte de IT Assurance
Framework (ITAF)
82

5. COBIT y el Ambiente de TI

Relacin de COBIT con otros


estndares

Las organizaciones debern considerar usar una variedad de modelos, estndares y mejores
practicas de TI por lo tanto asegrese de que entiende esto con el fin de considerar como pueden
usarse juntos, con COBIT actuando como consolidador (Sombrilla).

COSO

COBIT

QUE

ISO 9000

ISO 17799

ITIL

COMO

CAMPO DE COBERTURA

84

Procesos de ITIL

85

Implementacin de ITIL

Compromiso de la direccin general


Implementar las funciones de ITIL juntas.
Integrar y automatizar las mejores practicas.
Crear CMDB (base de datos de
configuraciones).
Romper la inercia cultural.
Implementar las prcticas que hagan sentido
al negocio, dimensionar los requerimientos.

86

The Calder-Moir

87

Relacin Gobierno de TI y SGSI

La implementacin del
Gobierno de TI disminuye y
controla los riesgos e
incrementa el nivel de
seguridad

El control del desempeo


del rea de TI permite medir
tambin el desempeo del
SGSI

88

Quien es quien?

ITIL estandariza procesos con un claro enfoque a la Gestin del Servicio


Entregables.

ISO 17799 Normativa estndar de Seguridad de Informacin

COBIT Proporciona un enlace claro entre los Requerimientos del Gobierno


de TI, los Procesos de TI y los Controles de TI

89

COBIT, ITIL e ISO 17799


COBIT, ITIL e ISO 17799 son normativas valiosas para el crecimiento
y xito de una organizacin por las siguientes razones:
La Alta Direccin exige mejores beneficios de las inversiones en TI.
Las mejores prcticas ayudan a cumplir los requisitos reglamentarios de los controles
de las TI en reas como la confidencialidad y la preparacin de informes financieros.
Las organizaciones se enfrentan a riesgos relacionados con las TI, tales como la
seguridad.
Las organizaciones pueden optimizar los costes siguiendo enfoques normalizados
Las mejores prcticas ayudan a las organizaciones a evaluar su rendimiento en
comparacin con normas aceptadas generalmente
Utilizando COBIT como un marco de control general para la gestin de las TI, e ITIL e
ISO 17799 proporcionan procesos normalizados pormenorizados.

90

COBIT proporciona framework para el Gobierno de TI


COBIT ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de
control y los asuntos tcnicos. Provee buenas prcticas a travs de un marco de
referencia de dominios y procesos y presenta actividades en una estructura administrable
y lgica.
COBIT:

Parte de los requerimientos del negocio

Es orientado a procesos, y organiza las actividades de TI en un modelo de


procesos generalmente aceptado

Identifica los principales recursos de TI que deben ser potencializados

Define los objetivos de control administrativos a ser considerados

Incorpora los principales estndares internacionales

Se ha convertido en el estndar de facto para el control general de TI

Los recursos de TI necesitan ser administrados por un conjunto de


procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
91

Agradecemos tu
participacin
Para informaciones adicionales sobre el curso puede contactar
directamente al instructor a:
Eduardo.luyo@gmail.com

92