www.seguridadinformacion.

cl
C Control
OB OBjectives
I for Information
T and Related Technology
 Origen de COBIT

 Actualización de los objetivos de

control de ISACF
 Expansión del enfoque a las
necesidades de la Administración
y el Usuario
 Perspectiva Global
 Comité de Análisis
 Misión del COBIT

“Para investigar, desarrollar, publicar y

promover un conjunto actualizado e
internacional de objetivos de control de
Tecnología de la Información generalmente
aceptado, para su uso diario por los
administradores del negocio y los
auditores”.
 Alcances y objetivos:
 Estándares generalmente aplicados y
aceptados para las buenas prácticas de
control en TI (Tecnologías de la Información)
 Para Sistemas de Información de la
Organización
 Fundamentado en una estructura de control de
las TI
 Basado en los Objetivos de Control de ISACF.
 Componentes del COBIT
Resumen Ejecutivo

Descripción de la Estructura

Objetivos de Control

Guías de Auditoría
• Visión Ejecutiva
• Antecedentes
• La Estructura del COBIT
• Definiciones
• Los Principios de la Estructura
• Dominios y Procesos
• Relaciones entre Principios, Dominios y
Procesos
 Necesidad por una Estructura

 Orientación al Control
 Relacionar objetivos de control
individuales con los Estándares,
Regulaciones y Prácticas existentes.
 Usado por Auditores, Administradores y
Usuarios
 Expectativas de la
Administración en TI

 Proceso de Re-Ingeniería

 Proceso Distribuído

 Outsourcing
Responsabilidades Administrativas TI

 Salvaguardar Activos

 La Información como el ACTIVO más

importante
 La Necesidad del Control
en TI

 Administradores

 Usuarios

 Auditores
 Definición de Control

“Las Políticas, Procedimientos, Prácticas

y Estructura Organizacional, diseñadas
para proveer una razonable seguridad de
que los objetivos del negocio serán
alcanzados y los eventos indeseados
serán prevenidos o detectados y
corregidos.”
 Recursos de Tecnología de
Información

 Datos
 Sistemas de Aplicación
 Tecnología
 Instalaciones
 Personal
 Requerimientos del Negocio
hacia la Información

Requerimientos Calidad
de calidad Costo
Entrega

Requerimientos Efectividad & Eficiencia de operaciones

Fiduciarios Confiabilidad de Información
(Informe COSO) Cumplimiento con leyes & regulaciones

Requerimientos Confidencialidad
de Seguridad Integridad
Disponibilidad
 Requerimientos del Negocio
hacia la Información
Trata con información que es relevante y pertinente al proceso de
Efectividad negocio, además de ser entregada de una manera oportuna,
correcta, consistente y utilizable.
Eficiencia Se relaciona con la provisión de información a través del óptimo
(más productivo y económico ) uso de recursos.

Confidencialida Se relaciona con la protección de información sensible a divulgación

d No autorizada.

Se relaciona con la exactitud e integridad de información así como

Integridad también con su validez en conformidad con valores y expectativas
del NEGOCIO.
 Requerimientos del negocio
hacia la Información
Se relaciona con información disponible al ser
Disponibilidad requerida por el proceso de negocio ahora y en el
futuro. Se relaciona con el resguardo de recursos
necesarios y capacidades asociadas.

Trata con el cumplimiento de aquellas leyes,

Cumplimiento regulaciones y arreglos contractuales a los cuales está
sujeto el proceso de negocio; es decir, criterios de
negocios impuestos externamente.

Se relaciona con la provisión de información apropiada

Confiabilidad de a la gerencia para operar la entidad y para que la
Información gerencia ejerza sus responsabilidades de informar
cumplimiento.
 Recursos de la Tecnología de
la Información (T.I.)
Objetos en su más amplio sentido (es decir,
Datos externos e internos), estructurados y no
estructurados, gráficos, sonidos, etc.

Sistemas de Los sistemas de aplicación, se entienden como

la suma de procedimientos manuales y
Aplicación
programados.

Cpallavicini@pallavicini.cl Pallavicini Consultores www.seguridadinformatica.cl

 Recursos de la Tecnología de
la Información (T.I.)
Tecnología
Tecnología cubre hardware, sistemas operativos,
Tecnología
Sistemas de administración de bases de datos, redes,
multimedia, etc.

Instalación
Instalaciones Instalaciones son todos los recursos para albergar y
respaldar Sistemas de información.

Gente Gente incluye las destrezas, conciencia y productividad

Gente del personal para planificar, organizar, adquirir, entregar,
respaldar y Monitorear sistemas y servicios de información.
 Procesos de Información
Tres Niveles
Dominios

Procesos

Actividades
 Dominios del Cobit

Planificación Este dominio cubre estrategia y táctica, y se relaciona

con la identificación de la forma en que TI puede
y
Organización contribuir mejor al logro de los objetivos de negocios.
Más aún, la realización de la visión estratégica debe ser
planificada, comunicada y administrada para diferentes
perspectivas.
Finalmente, se debe poseer una apropiada organización
además de una infraestructura tecnológica.
 Dominios del Cobit

Adquisición e
Para realizar la estrategia TI, se deben identificar,
desarrollar o adquirir las necesidades TI, así como
Implementación
implementarlas e incorporarlas a los procesos de
negocios. Además, los cambios en y la mantención
de sistemas existentes son cubiertas por éste
dominio, para asegurarse que el ciclo de vida útil es
continuo para estos sistemas.
 Dominios del Cobit

Procedimientos manuales y programados. real de

Entrega y servicios requeridos, la cual va desde operaciones
Respaldo tradicionales en seguridad y aspectos de continuidad a
capacitación. Para entregar servicios, se deben
preparar los procesos de respaldo necesarios. Este
dominio incluye procesamiento real de datos mediante
procesos de aplicaciones, a menudo clasificados bajo
controles de aplicaciones.
.

www.seguridadinformacion.cl
 Dominios del Cobit

Monitoreo Todos los procesos TI deben ser evaluados

regularmente en el tiempo para su calidad y
cumplimiento
con requerimientos de control. Este dominio, por
consiguiente, aborda la supervisión por parte de la
gerencia del proceso de control de la organización y la
garantía independiente proporcionada por auditoría
interna y externa, o se obtiene de fuentes alternativas.
 OBJETIVOS DE
NEGOCIOS PO1 definir un plan TI estratégico
PO2 definir la arquitectura de información
PO3 determinar la dirección tecnológica
PO4 definir la organización TI y relaciones
M1 monitorear los procesos PO5 administrar la inversión en TI
M2 evaluar adecuación de control PO6 comunicar a gerencia metas y dirección
interno
M3 lograr garantía independiente
COBIT PO7 administrar recursos humanos
PO8 asegurar cumplimiento con
requerimientos externos
M4 disponer de auditoría interna PO9 evaluar riesgos
PO10 administrar proyectos
PO11 administrar calidad
INFORMACION

 · efectividad
· eficiencia
· confidencialidad
· integridad 
· disponibilidad
MONITOREO · cumplimiento PLANIFICACION &
· confiabilidad ORGANIZACION

 RECURSOS TI 
ENTREGA & ADQUISICIÓN &


RESPALDO IMPLEMENTACION

· gente
· sistemas de
aplicaciones
·tecnología
·instalaciones
DS1 definir niveles de servicio · datos
DS2 administrar servicios de terceros
DS3 administrar desempeño y capacidad
DS4 asegurar servicio continuo
DS5 asegurar seguridad de sistemas AI1 identificar soluciones
DS6 identificar y atribuir costos AI2 adquirir y mantener software de
DS7 adecuar y capacitar a usuarios aplicaciones
DS8 ayudar y aconsejar a clientes de TI AI3 adquirir y mantener arquitectura de
DS9 administrar la configuración tecnología
DS10 administrar problemas e incidentes AI4 desarrollar y mantener recursos TI
DS11 administrar datos AI5 instalar y acreditar sistemas
DS12 administrar instalaciones AI6 administrar cambios
DS13 administrar operaciones
Dominio Planificación y
Organización
1. Definición del Plan Estratégico
2. Definición de la Arquitectura de la
Información
3. Determinación de la Dirección
Tecnológica
4. Definición de la organización y sus
relaciones
Dominio Planificación y
Organización (CONTINUACIÓN)

5. Manejo de la Inversión
6. Comunicación de Políticas y los
Objetivos de la Dirección
7. Administración del Personal
8. Requerimientos de Organismos
Contralores Externos
Dominio Planificación y
Organización (CONTINUACIÓN)

9. Evaluación de riesgos

10. Administración de Proyectos

11. Administración de la Calidad

Dominio Adquisición e
Implementación
1. Identificar soluciones.
2. Adquirir y mantener software de
aplicaciones.
3. Adquirir y mantener arquitectura de
tecnología.
4. Desarrollar y mantener recursos TI.
5. Instalar y acreditar sistemas.
6. Administrar cambios.
Dominio Entrega y Soporte

1. Definir niveles de servicio.

2. Administrar servicios de terceros.
3. Administrar desempeño y capacidad
4. Asegurar servicio continuo.
5. Asegurar seguridad de sistemas.
6. Identificar y atribuir costos.
7. Adecuar y capacitar a usuarios.
Dominio Entrega y Soporte
(continuación)

8. Ayudar y aconsejar a clientes de TI.

9. Administrar la configuración.
10. Administrar problemas e incidentes.
11. Administrar datos.
12. Administrar instalaciones.
13. Administrar operaciones.
Dominio Monitoreo

1. Monitorear los procesos.

2. Evaluar la adecuación del control
interno.
3. Lograr garantía independiente.
4. Disponer de auditoría interna.
 PO5. Manejo de la Inversión
en Tecnología de Información
5.1. Presupuesto Operativo Anual para la
Función de Servicios de Información.
 Proceso de definición de presupuesto operativo.
 Consideración en el proceso de:
 Plan de la organización.
 Plan Informático.

 Proceso de análisis de alternativas de

financiamiento.
 PO5. Manejo de la Inversión
en Tecnología de la
Información (continuación)

5.2. Monitoreo de Costo - Beneficios.

 Proceso de medición, registro y control de costos
contra presupuesto.
 Identificación, medición y reporte de los
beneficios de la TI.
 Sistema de costos asociado a la Contabilidad.
 Proceso periodico de revisión de las unidades de
medición de beneficios de la TI.
 PO5. Manejo de la Inversión en
Tecnología de la Información
(continuación)

5.3. Justificación del Costo - Beneficio.

 Proceso de verificación de los costos del servicio
de TI v/s la Industria (benchmarking).
 Proceso de verificación del nivel de actividades
de la TI con respecto a la Industria.
PO7. Administración de
Recursos Humanos

7.1. Reclutamiento y promoción de

personal
 Políticas de reclutamiento y promoción del
personal.
 Proceso formal de reclutamiento y
promoción del personal.
 Aspectos a considerar como la educación,
experiencia y responsabilidad.
PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.2. Personal calificado.

 Definición de requerimientos del puesto.
 Proceso de verificación de la calificación
de las personas.
PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.3. Entrenamiento del personal.

 Proceso de inducción de nuevos
empleados en la Empresa.
 Programa de capacitación de acuerdo a
los requerimientos de cargo.
 Proceso periódico de revisión del
programa de capacitación.
 PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.4. Proceso cruzado o respaldo de personal.

 Identificación de los puestos claves.
 Programa de entrenamiento cruzado (puestos
claves).
 Programa de vacaciones/control de cumplimiento.
 PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.5. Procedimiento de acreditación del personal

 Procedimiento de verificación de antecedentes del
personal previo a su contratación o cambio.
 Consideración en el procedimiento de su situación
financiera.

Cpallavicini@pallavicini.cl Pallavicini Consultores propiedad intelectual reservada

 PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.6. Evaluación desempeño de los empleados.

 Pauta de evaluación del desempeño de los
empleados.
 Consideración de estándares y responsabilidades
del cargo que ocupa el empleado.
 Procedimiento formal de aplicación periódica de
dicha pauta.
 Procedimiento formal de entrega de resultados al
empleado.
 PO7. Administración de
Recursos Humanos (CONTINUACIÓN)

7.7. Cambios de puesto y despidos.

 Procedimiento formal y conocido, para el despido y
cambio del puesto, del personal
 Procedimiento para la eliminación/suspensión
inmediata de las passwords de acceso a los
ambientes computacionales, sistemas y datos, de
cada persona despedida o trasladada a otro cargo.

Cpallavicini@pallavicini.cl Pallavicini Consultores

propiedad intelectual del resumen en Powerpoint reservada