COBIT Y SUS

ALCANCES
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
DEFINICIÓN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de la
Información y Tecnologías relacionadas)
DEFINICIÓN
COBIT es un modelo de gestión y control de TI,
con el objetivo de consensuar:
•los riesgos del negocio
•las necesidades de control
•y los aspectos tecnológicos,
mediante la entrega de buenas prácticas aplicables
a una estructura lógica de procesos y actividades
 MISIÓN
“Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.”
 CARACTERÍSTICAS
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto” (COSO, IFAC, IIA, ISACA, AICPA)
• Íntegro (basado en una revisión crítica y
analítica de las tareas y actividades en TI)
• Flexible
 Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Dependencia creciente del negocio frente a la
información
•La Tecnología soporta la cuasi totalidad de los
procesos del negocio
•Los desarrollos constantes en TI y en las prácticas
de negocio
•La responsabilidad por el uso de la tecnología se
extiende en la organización
•Los cambios más importantes se realizan pero igual
continúa la presión hacia el cambio
•Nivel de inversiones en tecnología
 Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Constante aumento de vulnerabilidades y un amplio
espectro de amenazas.

•Potencial de TI para efectuar cambios profundos en

las organizaciones, crear nuevas oportunidades de
negocios y reducir los costos

•Incremento de la necesidad de contar con un

modelo adecuado de gobernabilidad corporativa
(“corporate governance”)

•Nuevas normativas (Sarbanes-Oxley act,

comunicación 2003/179)
¿Quién necesita un modelo de
gestión y control de TI ?
• Gerentes
• decisiones de inversión en TI
• equilibrar riesgo y control de las inversiones
• benchmark entre la situación de TI actual y la deseada
• Usuarios
• obtención de una seguridad adecuada sobre los productos y
servicios de TI que ellos adquieren, internamente y
externamente
• Auditores
• fundamentar las opiniones vertidas a la gerencia en materia de
control interno
• aconsejar sobre los controles mínimos necesarios
ÍNDICE
•INTRODUCCIÓN

•EL PRODUCTO COBIT

•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
 COBIT 3ra EDICIÓN
Resumen
Ejecutivo

Herramientas de
Marco Referencial- implementación
Esquema Objetivos de
Alto Nivel

Lineamientos Objetivos de Guías de

Gerenciales Control Auditoría
Detallados

Modelos de Factores Indicadores Indicadores

Madurez Críticos Clave de Clave de
de Éxito Rendimiento Logros
 ELEMENTOS
• Executive Summary -- “Presentación del método”
• Framework -- “Explicación del método”
• Control Objectives -- “Controles mínimos”
• Audit Guidelines -- “Como auditar”
• Management Guidelines -- “Como medir la
performance”
• Implementation Guide -- “Como implementar el
método”
Proyecto COBIT
•Steering Comittee
representantes de distintos
ámbitos
•Coordinación
ISACAF
•Grupos de investigación
USA, Europa y Australia
 ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT

•PRESENTACIÓN DEL
MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
PRINCIPIOS
El enfoque del control en TI se lleva a cabo
visualizando la información necesaria para
dar soporte a los procesos de negocio y
considerando a la información como el
resultado de la aplicación combinada de
recursos relacionados con las TI que deben
ser administrados por procesos de TI.
PRINCIPIOS
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI
Requerimientos de la
Información para el Negocio

Requerimientos Calidad.
de Calidad Costo.
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
Requerimientos de la
Información para el Negocio
Efectividad:
Efectividad La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
Confidencialidad:
Confidencialidad Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
Requerimientos de la
Información para el Negocio
Disponibilidad:
Disponibilidad accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda de
los recursos y capacidades asociadas a los mismos.

Cumplimiento:
Cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la empresa.

Confiabilidad: proveer la información apropiada para que

la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades de
los reportes financieros y de cumplimiento normativo.
RECURSOS DE TI
Datos:
Datos Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
Tecnología:incluye
Tecnología: hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
Instalaciones:Incluye
Instalaciones: los recursos necesarios para alojar y
dar soporte a los sistemas de información.
Recursos Humanos:
Humanos Por la habilidad, conciencia y
productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de
Información.
PROCESOS DE TI
“Los recursos de las Tecnologías de la
Información (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
información que la empresa necesita para
alcanzar sus objetivos”.
PROCESOS DE TI
Los procesos se agrupan en dominios:

Planeación y Organización (Planning and

Organization)
Adquisición e implementación (Acquisition and
Implementation)
Prestación de Servicios y Soporte (Delivery and
Support)
Seguimiento (monitoring)
 PROCESOS DE TI
Agrupación natural de procesos,
Dominios normalmente corresponden a un dominio o
una responsabilidad organizacional

Conjuntos o series de actividades unidas con

delimitación o cortes de control.

Procesos
Acciones requeridas para lograr un resultado
medible. Las actividades
Actividades tienen un ciclo de vida mientras que las tareas
o tareas son discretas.
 PROCESOS DE TI
Planeación y Definir un plan estratégico de TI
Organización Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Adquisición e Identificación de soluciones

Implementación Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
 PROCESOS DE TI
Servicios y Definición del nivel de servicio
Soporte Administración del servicio de terceros
Administración de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
 ESTRUCTURA

EVENTOS INFORMACIÓN

Objetivos de Datos Efectividad

negocio Eficiencia
Applicaciones
Oportunidades de Confidencialidad
Tecnología
negocio Integridad
Instalaciones Disponibilidad
Requerimientos Recursos Humanos
externos Cumplimiento
Regulación Confiabilidad
Riesgos
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO

•EXPLICACIÓN DEL
MÉTODO
•CONCLUSIONES
 CUBO COBIT
Vista de la
Dirección
Criterios de Información
r io i d ad
d c ia ur
l ida u e g
Ca Fid S
Dominios

Instalaciones
Personal
Sistemas de Aplicación
Procesos de TI

Tecnología
Vista de Procesos

Datos
los
Usuarios

I
eT
Actividades Vista de la Gerencia

sd
de TI y
rso especialistas
cu
Re
 Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad

Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad
Organización

Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Administración de la capacidad y el Recurso Humano Implementación
desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Servicios y Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Administración de problemas e incidentes Soporte Adquisición y mantenimiento de arquitectura TI
Administración de datos Desarrollo y mantenimiento de Procedimientos de TI
Administración de Instalaciones Instalación y Acreditación de sistemas
Administración de Operaciones Administración de Cambios
 MARCO DE REFERENCIA
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita

Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad

Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
MARCO DE REFERENCIA
El control de

Procesos de TI que satisfacen

Requerimientos
de negocios se habilitan por
Objetivos
De control
Prácticas

De Control

Diagrama de cascada
 ASISTENTE DE NAVEGACIÓN
Planificación y
di grid ad

Organización
ia ento
co lim ad
te alid

ad
Co cie ad

ad
a

m ilid

lid
nf nci
efi vid

i
c i

cu nib

bi
en
i

Adquisición e
ct

p
id

o
efe

nf
in
sp

Implementación
Vínculo entre Procesos,
S P Entrega y
Recursos y Criterios Soporte

Monitoreo
El contol de los

Procesos de TI
que satisface los

Requerimientos
Criterios de
de Negocio es habilitado por las
información
Declaraciones
de Control considerando las
Procesos Recursos
de TI de TI Prácticas
de Control

es

da es
lic as

lac a
tec ion

n
í

s
in olog
ap son

io
to
ac
Tres posiciones ventajosas

n
pe

sta
 OBJETIVOS DE CONTROL DE ALTO
NIVEL: DS5
El control sobre el proceso de:

es

da es
lic as

la ía
Organización y

n
tec ion

s
in olog
ap son

cio

to
ac
planeación

r
administrar la seguridad de los

n
pe

sta
sistemas Adquisición e
implementación

Satisface los requerimientos del negocio: Entrega y

soporte
salvaguardar información contra uso, difusión o modificaciones
no autorizadas, daño o pérdida Monitoreo

Es posible por:
controles de acceso lógico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido
a usuarios autorizados

Considerando:
ad

iab nto
pl idad
Co cie d

lid

d
d
efi ida

id cia

da
sp ida

e
cia

co imi
cu ibil
n

ili
v

r
cti

en

autorización, autenticación, uso de perfiles e

on
te
efe

m
in

nf
nf

di

identificaciones, firewalls, detección y protección de

P P S S S virus, manejo de incidentes, etc.
 Actividades de Control
•Administrar Medidas de Seguridad
•Identificación, Autenticación y Acceso
•Seguridad de Acceso a Datos en Línea
•Administración de Cuentas de Usuario
•Revisión Gerencial de Cuentas de Usuario
•Control de Usuarios sobre Cuentas de
Usuario
•Vigilancia de Seguridad
•Clasificación de Datos
•Identificación y administración de
asignación de derechos
•Reportes de Violación y de Actividades de
Seguridad
•Manejo de Incidentes
•Reacreditación
•Confianza en Contrapartes
•Autorización de transacciones
•No negación
•Sendero Seguro
•Protección de funciones de seguridad
•Administración de Llaves Criptográficas
•Prevención, Detección y Corrección de
Software "Malicioso”
•Arquitectura de Fire Walls y conexión a
redes públicas
•Protección de Valores Electrónicos
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO

•CONCLUSIONES
 COBIT DISPONIBILIZA MÚLTIPLES
ENFOQUES
La Gerencia:
Gerencia para apoyar sus decisiones de inversión en TI y
control sobre el rendimiento de las mismas, analizar el costo
beneficio del control.
Los Usuarios Finales:
Finales quienes obtienen una garantía sobre la
seguridad y el control de los productos que adquieren interna
y externamente
Los Auditores : para soportar sus opiniones sobre los
controles de los proyectos de TI , su impacto en la
organización y determinar el control mínimo requerido.
Los Responsables de TI:TI para identificar los controles que
requieren en sus áreas
COBIT PERMITE
•Posibilidad de aplicar las prácticas en un amplio espectro de
sistemas de información, independientemente de la tecnología
empleada

•Cumplimiento de las generalmente aplicables y aceptadas prácticas

para el control de TI

•Aumentar el valor de la empresa

•Gestión orientada hacia el enfoque de dueños de procesos

•Alineación de objetivos de TI con objetivos del negocio

•Utilización eficiente y eficaz de los recursos de TI

•Gestión medible y auditable

COBIT NECESITA
•CONCIENTIZACIÓN, CAPACITACIÓN Y
ENTRENAMIENTO
•ADAPTACIÓN A MI ORGANIZACIÓN
•SER COMPLEMENTADA CON OTROS
MODELOS QUE ME PERMITAN CONTAR
CON UN GOBIERNO CORPORATIVO
ADECUADO
•FIJAR ROLES Y RESPONSABILIDADES
PREGUNTAS
? ? ?
?
?
? ?
?
?
MUCHAS GRACIAS

WWW.ISACA.ORG
WWW.ISACA.ORG.UY