Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ALCANCES
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
ÍNDICE
•INTRODUCCIÓN
•EL PRODUCTO COBIT
•PRESENTACIÓN DEL MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
DEFINICIÓN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de la
Información y Tecnologías relacionadas)
DEFINICIÓN
COBIT es un modelo de gestión y control de TI,
con el objetivo de consensuar:
•los riesgos del negocio
•las necesidades de control
•y los aspectos tecnológicos,
mediante la entrega de buenas prácticas aplicables
a una estructura lógica de procesos y actividades
MISIÓN
“Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.”
CARACTERÍSTICAS
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto” (COSO, IFAC, IIA, ISACA, AICPA)
• Íntegro (basado en una revisión crítica y
analítica de las tareas y actividades en TI)
• Flexible
Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Dependencia creciente del negocio frente a la
información
•La Tecnología soporta la cuasi totalidad de los
procesos del negocio
•Los desarrollos constantes en TI y en las prácticas
de negocio
•La responsabilidad por el uso de la tecnología se
extiende en la organización
•Los cambios más importantes se realizan pero igual
continúa la presión hacia el cambio
•Nivel de inversiones en tecnología
Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Constante aumento de vulnerabilidades y un amplio
espectro de amenazas.
Herramientas de
Marco Referencial- implementación
Esquema Objetivos de
Alto Nivel
•PRESENTACIÓN DEL
MÉTODO
•EXPLICACIÓN DEL MÉTODO
•CONCLUSIONES
PRINCIPIOS
El enfoque del control en TI se lleva a cabo
visualizando la información necesaria para
dar soporte a los procesos de negocio y
considerando a la información como el
resultado de la aplicación combinada de
recursos relacionados con las TI que deben
ser administrados por procesos de TI.
PRINCIPIOS
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
Requerimientos de la
Información para el Negocio
Requerimientos Calidad.
de Calidad Costo.
Oportunidad.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
Requerimientos de la
Información para el Negocio
Efectividad:
Efectividad La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
Confidencialidad:
Confidencialidad Protección de la información sensitiva
contra divulgación no autorizada
Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
Requerimientos de la
Información para el Negocio
Disponibilidad:
Disponibilidad accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda de
los recursos y capacidades asociadas a los mismos.
Cumplimiento:
Cumplimiento de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la empresa.
Procesos
Acciones requeridas para lograr un resultado
medible. Las actividades
Actividades tienen un ciclo de vida mientras que las tareas
o tareas son discretas.
PROCESOS DE TI
Planeación y Definir un plan estratégico de TI
Organización Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
EVENTOS INFORMACIÓN
•EXPLICACIÓN DEL
MÉTODO
•CONCLUSIONES
CUBO COBIT
Vista de la
Dirección
Criterios de Información
r io i d ad
d c ia ur
l ida u e g
Ca Fid S
Dominios
Instalaciones
Personal
Sistemas de Aplicación
Procesos de TI
Tecnología
Vista de Procesos
Datos
los
Usuarios
I
eT
Actividades Vista de la Gerencia
sd
de TI y
rso especialistas
cu
Re
Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Seguimiento de los procesos Comunicación de la directrices Gerenciales
Evaluar lo adecuado del control Interno Administración del Recurso Humano
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
CobiT Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Seguimiento Disponibilidad, Planeación y
Cumplimiento, Confiabilidad
Organización
Recursos de TI
Datos, Aplicaciones
Definición del nivel de servicio
Admistración del servicio de terceros Tecnología, Instalaciones, Adquisición e
Administración de la capacidad y el Recurso Humano Implementación
desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Servicios y Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Administración de problemas e incidentes Soporte Adquisición y mantenimiento de arquitectura TI
Administración de datos Desarrollo y mantenimiento de Procedimientos de TI
Administración de Instalaciones Instalación y Acreditación de sistemas
Administración de Operaciones Administración de Cambios
MARCO DE REFERENCIA
Lo que usted
Procesos del Lo que Usted
Obtiene Negocio Necesita
Criterios
Efectividad
Información Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Recursos de TI Confiabilidad
Datos
Aplicaciones
Tecnología Concuerdan
Instalaciones
Recurso Humano
MARCO DE REFERENCIA
El control de
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIÓN
Planificación y
di grid ad
Organización
ia ento
co lim ad
te alid
ad
Co cie ad
ad
a
m ilid
lid
nf nci
efi vid
i
c i
cu nib
bi
en
i
Adquisición e
ct
p
id
o
efe
nf
in
sp
Implementación
Vínculo entre Procesos,
S P Entrega y
Recursos y Criterios Soporte
Monitoreo
El contol de los
Procesos de TI
que satisface los
Requerimientos
Criterios de
de Negocio es habilitado por las
información
Declaraciones
de Control considerando las
Procesos Recursos
de TI de TI Prácticas
de Control
es
da es
lic as
lac a
tec ion
n
í
s
in olog
ap son
io
to
ac
Tres posiciones ventajosas
n
pe
sta
OBJETIVOS DE CONTROL DE ALTO
NIVEL: DS5
El control sobre el proceso de:
es
da es
lic as
la ía
Organización y
n
tec ion
s
in olog
ap son
cio
to
ac
planeación
r
administrar la seguridad de los
n
pe
sta
sistemas Adquisición e
implementación
Es posible por:
controles de acceso lógico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido
a usuarios autorizados
Considerando:
ad
iab nto
pl idad
Co cie d
lid
d
d
efi ida
id cia
da
sp ida
e
cia
co imi
cu ibil
n
ili
v
r
cti
en
m
in
nf
nf
di
•CONCLUSIONES
COBIT DISPONIBILIZA MÚLTIPLES
ENFOQUES
La Gerencia:
Gerencia para apoyar sus decisiones de inversión en TI y
control sobre el rendimiento de las mismas, analizar el costo
beneficio del control.
Los Usuarios Finales:
Finales quienes obtienen una garantía sobre la
seguridad y el control de los productos que adquieren interna
y externamente
Los Auditores : para soportar sus opiniones sobre los
controles de los proyectos de TI , su impacto en la
organización y determinar el control mínimo requerido.
Los Responsables de TI:TI para identificar los controles que
requieren en sus áreas
COBIT PERMITE
•Posibilidad de aplicar las prácticas en un amplio espectro de
sistemas de información, independientemente de la tecnología
empleada
WWW.ISACA.ORG
WWW.ISACA.ORG.UY