Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE LA VEGA CHIPANA, Susette LEZAMA CASTELO, Rafael VALLEJO AGUILAR, Luz Maribel
Temas a Tratar
O El Cobit
O Entrega y Soporte O Monitoreo
El Cobit
O El estndar Cobit (Control Objectives for
Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones.
El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de:
Asegurar el buen gobierno, protegiendo los intereses de
los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin
procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables
O En consecuencia, para cada objetivo de control de nuestra
organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).
El Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios:
O Planificacin y Organizacin O Adquisicin e Implementacin O Entrega y Soporte O Supervisin y Evaluacin
Entrega y Soporte
servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
O El estndar Cobit define los siguientes procesos:
Que satisface el requerimiento de negocio de TI para asegurar la alineacin de los servicios claves de TI con la estrategia del negocio. Se enfoca en la identificacin de requerimientos deservicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio. Se logra con:
O La formalizacin de acuerdos internos y externos en lnea con
los requerimientos y las capacidades de entrega O La notificacin del cumplimiento de los niveles deservicio (reportes y reuniones) O La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para planeacin estratgica
Se mide con: O El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los niveles previamente acordados. O El nmero de servicios entregados que no estn en el catlogo. O El nmero de reuniones formales de revisin del Acuerdo de Niveles de Servicio(SLA) con las personas de negocio por ao. Objetivos de Control : O DS1.1 Marco de trabajo de la administracin de los niveles de servicio. O DS1.2 Definicin de servicios. O DS1.3 Acuerdos de niveles de servicios. O DS1.4 Acuerdos de niveles de operacin. O DS1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio. O DS1.6 Revisin de los acuerdos de niveles de servicios y contratos
Que satisface el requerimiento de negocio de TI para brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos. Se enfoca en el establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios.
Se logra con: O La identificacin y categorizacin de los servicios del proveedor O La identificacin y mitigacin de riesgos del proveedor O El monitoreo y la medicin del desempeo del proveedor
Se mide con: O El nmero de quejas de los usuarios debidas a los servicios contratados O El porcentaje de los principales proveedores que cumplen claramente los requerimientos definidos y los niveles de servicio O El porcentaje de los principales proveedores sujetos a monitoreo
Objetivos de Control: O DS2.1 Identificacin de todas las relaciones. O DS2.2 Gestin de las relaciones con los proveedores. O DS2.3 Administracin de riesgos del proveedor. O DS2.4 Monitoreo del desempeo del proveedor
Que satisface el requerimiento de negocio de TI para Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del Negocio. Se enfoca en cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin. Se logra con: O La planeacin y la entrega de capacidad y disponibilidad del sistema O Monitoreando y reportando el desempeo del sistema O Modelando y pronosticando el desempeo del sistema.
Se mide con: O Nmero de horas perdidas por usuario por mes, debidas a la falta de planeacin de la capacidad. O Porcentaje de picos donde se excede la meta de utilizacin. O Porcentaje de SLAs de tiempo de respuesta que no se satisfacen. Objetivos de Control : O DS3.1 Planeacin del desempeo y la capacidad. O DS3.2 Capacidad y desempeo actual. O DS3.3 Capacidad y desempeo futuros. O DS3.4 Disponibilidad de recursos TI. O DS3.5 Monitoreo y reporte.
Que satisface el requerimiento de negocio de TI para asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI Se enfoca en el desarrollo de resistencia en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI Se logra con: O Desarrollando y manteniendo (mejorando) los planes de contingencia de TI O Con entrenamiento y pruebas de los planes de contingencia de TI O Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones
Se mide con: O Nmero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas. O Nmero de procesos crticos de negocio que dependen de TI, que no estn cubiertos por un plan de continuidad. Objetivos de Control O DS4.1 Marco de trabajo de la continuidad de TI. O DS4.2 Planes de continuidad TI. O DS4.3 Recursos crticos de TI. O DS4.4 Mantenimiento del plan de continuidad de TI. O DS4.5 Pruebas del plan de continuidad de TI O DS4.6. Entrenamiento del plan de continuidad de TI. O DS4.7. Distribucin del plan de continuidad de TI. O DS4.8. Recuperacin y reanudacin de los servicios de TI. O DS4.9. Almacenamiento de respaldos fuera de las instalaciones. O DS4.10. Revisin post reanudacin.
Que satisface el requerimiento de negocio de TI para mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad. Se enfoca en la definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad. Se logra con:
O El entendimiento de los requerimientos, vulnerabilidades y
amenazas de seguridad. O La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. O Probando la seguridad de forma regular.
Se mide con: O El nmero de incidentes que daan la reputacin con el pblico O El nmero de sistemas donde no se cumplen los requerimientos de seguridad O El nmero de violaciones en la segregacin de tareas Objetivos de Control O DS5.1 Administracin de la seguridad de TI. O DS5.2 Plan de seguridad de TI. O DS5.3 Administracin de la entidad. O DS5.4 Administracin de las cuentas del usuario. O DS5.5 Pruebas, vigilancia y monitoreo de la seguridad. O DS5.6. Definicin de incidente de seguridad. O DS5.7. Proteccin de la tecnologa de la de seguridad. O DS5.8. Administracin de llaves criptogrficas. O DS5.9. Prevencin, deteccin y correccin de software malicioso. O DS5.10. Seguridad de la red. O DS5.11 Intercambio de datos sensitivos.
Que satisface el requerimiento del negocio de TI para Transparentar y entenderlos costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.
Se Satisface transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.
Se enfoca en el registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados Se logra con: O La alineacin de cargos con la calidad y cantidad de los servicios brindados O La construccin y aceptacin de un modelo de costos completo O La aplicacin de cargos con base en la poltica acordada
Y se mide con O Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio. O Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales. O Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos Acordados. Objetivos de Control O DS6.1 Definicin de Servicios O DS6.2 Contabilizacin de TI O DS6.3 Modelacin de Costos y Cargos O DS6.4 Mantenimiento del Modelo de Costos
Que satisface el requerimiento del negocio de TI para el uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos Enfocndose en un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados. Se logra con O Establecer un programa de entrenamiento O Organizar el entrenamiento O Impartir el entrenamiento O Monitorear y reportar la efectividad del entrenamiento
Y se mide con O Nmero de llamadas de soporte debido a problemas de entrenamiento O Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido O Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del mismo Objetivos de Control O DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin O DS7.2 Imparticin de Entrenamiento y Educacin O DS7.3 Evaluacin del Entrenamiento Recibido
Monitoreo
Que satisface el requerimiento del negocio de TI para transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno.
Enfocndose en monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del desempeo.
Se logra con O Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales O Comparar el desempeo contra las metas acordadas e iniciar las medidas correctivas necesarias
Y se mide con O Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de desempeo O Nmero de acciones de mejoramiento impulsadas por las actividades de monitoreo O Porcentaje de procesos crticos monitoreados Objetivos de Control O ME1.1 Enfoque del Monitoreo O ME1.2 Definicin y Recoleccin de Datos de Monitoreo O ME1.3 Mtodo de Monitoreo O ME1.4 Evaluacin del Desempeo O ME1.5 Reportes al Consejo Directivo y a Ejecutivos O ME1.6 Acciones Correctivas
Que satisface el requerimiento del negocio de TI para proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Enfocndose en el monitoreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones de mejoramiento Se logra con O La definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI O Monitorear y reportar la efectividad de los controles internos sobre TI O Reportar las excepciones de control a la gerencia para tomar acciones
Y se mide con O Nmero de brechas importantes del control interno O Nmero de iniciativas para la mejora del control O Nmero y cubrimiento de auto evaluaciones de control
Objetivos de Control O ME2.1 Monitoreo del Marco de Trabajo de Control Interno O ME2.2 Revisiones de Auditora O ME2.3 Excepciones de Control O ME2.4 Auto Evaluacin del Control O ME2.5 Aseguramiento del Control Interno O ME2.6 Control Interno para Terceros O ME2.7 Acciones Correctivas