EL COBIT

DE LA VEGA CHIPANA, Susette LEZAMA CASTELO, Rafael VALLEJO AGUILAR, Luz Maribel

Temas a Tratar
O El Cobit
O Entrega y Soporte O Monitoreo

El Cobit
O El estndar Cobit (Control Objectives for

Information and related Technology) ofrece un conjunto de mejores prcticas para la gestin de los Sistemas de Informacin de las organizaciones.

El objetivo principal de Cobit consiste en proporcionar una gua a alto nivel sobre puntos en los que establecer controles internos con tal de:
Asegurar el buen gobierno, protegiendo los intereses de

los stakeholders (clientes, accionistas, empleados, etc.) Garantizar el cumplimiento normativo del sector al que pertenezca la organizacin Mejorar la eficacia i eficiencia de los procesos y actividades de la organizacin Garantizar la confidencialidad, integridad y disponibilidad de la informacin

O El estndard define el trmino control como: Polticas,

procedimientos, prcticas y estructuras organizacionales diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y se prevendrn, detectarn y corregirn los eventos no deseables
O En consecuencia, para cada objetivo de control de nuestra

organizacin podremos implementar uno o varios controles (p.ej. ejecucin de copias de seguridad peridicas, traslado de copias de seguridad a otras instalaciones, etc.) que nos garanticen la obtencin del resultado deseable (p.ej. continuidad de las operaciones en caso de contingencias).

El Cobit clasifica los procesos de negocio relacionados con las Tecnologas de la Informacin en 4 dominios:
O Planificacin y Organizacin O Adquisicin e Implementacin O Entrega y Soporte O Supervisin y Evaluacin

Entrega y Soporte

O En este dominio se hace referencia a la entrega de los

servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
O El estndar Cobit define los siguientes procesos:

DS1 Definir Niveles de Servicio

Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles deservicio, hace posible una comunicacin efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin incluye el monitoreo y la notificacin oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.

Que satisface el requerimiento de negocio de TI para asegurar la alineacin de los servicios claves de TI con la estrategia del negocio. Se enfoca en la identificacin de requerimientos deservicio, el acuerdo de niveles de servicio y el monitoreo del cumplimiento de los niveles de servicio. Se logra con:
O La formalizacin de acuerdos internos y externos en lnea con

los requerimientos y las capacidades de entrega O La notificacin del cumplimiento de los niveles deservicio (reportes y reuniones) O La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para planeacin estratgica

Se mide con: O El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los niveles previamente acordados. O El nmero de servicios entregados que no estn en el catlogo. O El nmero de reuniones formales de revisin del Acuerdo de Niveles de Servicio(SLA) con las personas de negocio por ao. Objetivos de Control : O DS1.1 Marco de trabajo de la administracin de los niveles de servicio. O DS1.2 Definicin de servicios. O DS1.3 Acuerdos de niveles de servicios. O DS1.4 Acuerdos de niveles de operacin. O DS1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio. O DS1.6 Revisin de los acuerdos de niveles de servicios y contratos

DS2 Administrar Servicios prestados por Terceros

La necesidad de asegurar que los servicios provistos por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de administracin de terceros. Este proceso se logra por medio de una clara definicin de roles , responsabilidades y expectativas en los acuerdos con los terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administracin de los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se desempean de forma adecuada.

Que satisface el requerimiento de negocio de TI para brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos. Se enfoca en el establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios.

Se logra con: O La identificacin y categorizacin de los servicios del proveedor O La identificacin y mitigacin de riesgos del proveedor O El monitoreo y la medicin del desempeo del proveedor

Se mide con: O El nmero de quejas de los usuarios debidas a los servicios contratados O El porcentaje de los principales proveedores que cumplen claramente los requerimientos definidos y los niveles de servicio O El porcentaje de los principales proveedores sujetos a monitoreo

Objetivos de Control: O DS2.1 Identificacin de todas las relaciones. O DS2.2 Gestin de las relaciones con los proveedores. O DS2.3 Administracin de riesgos del proveedor. O DS2.4 Monitoreo del desempeo del proveedor

DS3 Administrar Desempeo y Capacidad

La necesidad de administrar el desempeo y la capacidad de los recursos de TI requiere de un proceso para revisar peridicamente el desempeo actual y la capacidad de los recursos de TI. Este proceso incluye el pronstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Este proceso brinda la seguridad de que los recursos de informacin que soportan los requerimientos del negocio estn disponibles de manera continua.

Que satisface el requerimiento de negocio de TI para Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del Negocio. Se enfoca en cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la medicin. Se logra con: O La planeacin y la entrega de capacidad y disponibilidad del sistema O Monitoreando y reportando el desempeo del sistema O Modelando y pronosticando el desempeo del sistema.

Se mide con: O Nmero de horas perdidas por usuario por mes, debidas a la falta de planeacin de la capacidad. O Porcentaje de picos donde se excede la meta de utilizacin. O Porcentaje de SLAs de tiempo de respuesta que no se satisfacen. Objetivos de Control : O DS3.1 Planeacin del desempeo y la capacidad. O DS3.2 Capacidad y desempeo actual. O DS3.3 Capacidad y desempeo futuros. O DS3.4 Disponibilidad de recursos TI. O DS3.5 Monitoreo y reporte.

DS4 Asegurar Servicio Continuo

La necesidad de brindar continuidad en los servicios de TI requiere desarrollar, mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma peridica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre funciones y procesos claves del negocio.

Que satisface el requerimiento de negocio de TI para asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI Se enfoca en el desarrollo de resistencia en las soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI Se logra con: O Desarrollando y manteniendo (mejorando) los planes de contingencia de TI O Con entrenamiento y pruebas de los planes de contingencia de TI O Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones

Se mide con: O Nmero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas. O Nmero de procesos crticos de negocio que dependen de TI, que no estn cubiertos por un plan de continuidad. Objetivos de Control O DS4.1 Marco de trabajo de la continuidad de TI. O DS4.2 Planes de continuidad TI. O DS4.3 Recursos crticos de TI. O DS4.4 Mantenimiento del plan de continuidad de TI. O DS4.5 Pruebas del plan de continuidad de TI O DS4.6. Entrenamiento del plan de continuidad de TI. O DS4.7. Distribucin del plan de continuidad de TI. O DS4.8. Recuperacin y reanudacin de los servicios de TI. O DS4.9. Almacenamiento de respaldos fuera de las instalaciones. O DS4.10. Revisin post reanudacin.

DS5 Garantizar la Seguridad de Sistemas

La necesidad de mantener la integridad de la informacin y de proteger los activos de TI, requiere de un proceso de administracin de la seguridad. Este proceso incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI.

Que satisface el requerimiento de negocio de TI para mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad. Se enfoca en la definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad. Se logra con:
O El entendimiento de los requerimientos, vulnerabilidades y

amenazas de seguridad. O La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. O Probando la seguridad de forma regular.

Se mide con: O El nmero de incidentes que daan la reputacin con el pblico O El nmero de sistemas donde no se cumplen los requerimientos de seguridad O El nmero de violaciones en la segregacin de tareas Objetivos de Control O DS5.1 Administracin de la seguridad de TI. O DS5.2 Plan de seguridad de TI. O DS5.3 Administracin de la entidad. O DS5.4 Administracin de las cuentas del usuario. O DS5.5 Pruebas, vigilancia y monitoreo de la seguridad. O DS5.6. Definicin de incidente de seguridad. O DS5.7. Proteccin de la tecnologa de la de seguridad. O DS5.8. Administracin de llaves criptogrficas. O DS5.9. Prevencin, deteccin y correccin de software malicioso. O DS5.10. Seguridad de la red. O DS5.11 Intercambio de datos sensitivos.

DS6 Identificar y Asignar Costos

La necesidad de un sistema justo y equitativo para asignar costos de TI al negocio, requiere de una medicin precisa y un acuerdo con los usuarios del negocio sobre una asignacin justa. Este proceso incluye la construccin y operacin de un sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un sistema equitativo de costos permite al negocio tomar decisiones ms informadas respectos al uso de los servicios de TI.

Que satisface el requerimiento del negocio de TI para Transparentar y entenderlos costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.

Se Satisface transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI.
Se enfoca en el registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados Se logra con: O La alineacin de cargos con la calidad y cantidad de los servicios brindados O La construccin y aceptacin de un modelo de costos completo O La aplicacin de cargos con base en la poltica acordada

Y se mide con O Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio. O Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales. O Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos Acordados. Objetivos de Control O DS6.1 Definicin de Servicios O DS6.2 Contabilizacin de TI O DS6.3 Modelacin de Costos y Cargos O DS6.4 Mantenimiento del Modelo de Costos

DS7 Educar y Entrenar a los Usuarios

Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios.

Que satisface el requerimiento del negocio de TI para el uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos Enfocndose en un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva estrategia de entrenamiento y la medicin de resultados. Se logra con O Establecer un programa de entrenamiento O Organizar el entrenamiento O Impartir el entrenamiento O Monitorear y reportar la efectividad del entrenamiento

Y se mide con O Nmero de llamadas de soporte debido a problemas de entrenamiento O Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido O Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del mismo Objetivos de Control O DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin O DS7.2 Imparticin de Entrenamiento y Educacin O DS7.3 Evaluacin del Entrenamiento Recibido

Monitoreo

ME1. Monitorear y Evaluar el Desempeo de TI

Una efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de desempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El monitoreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y polticas.

Que satisface el requerimiento del negocio de TI para transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno.

Enfocndose en monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del desempeo.
Se logra con O Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales O Comparar el desempeo contra las metas acordadas e iniciar las medidas correctivas necesarias

Y se mide con O Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de desempeo O Nmero de acciones de mejoramiento impulsadas por las actividades de monitoreo O Porcentaje de procesos crticos monitoreados Objetivos de Control O ME1.1 Enfoque del Monitoreo O ME1.2 Definicin y Recoleccin de Datos de Monitoreo O ME1.3 Mtodo de Monitoreo O ME1.4 Evaluacin del Desempeo O ME1.5 Reportes al Consejo Directivo y a Ejecutivos O ME1.6 Acciones Correctivas

ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO

Establecer un programa de control interno efectivo para TI requiere un proceso bien definido de monitoreo. Este proceso incluye el monitoreo y el reporte de las excepcin es de control, resultados de las auto-evaluaciones y revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables.

Que satisface el requerimiento del negocio de TI para proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Enfocndose en el monitoreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones de mejoramiento Se logra con O La definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI O Monitorear y reportar la efectividad de los controles internos sobre TI O Reportar las excepciones de control a la gerencia para tomar acciones

Y se mide con O Nmero de brechas importantes del control interno O Nmero de iniciativas para la mejora del control O Nmero y cubrimiento de auto evaluaciones de control

Objetivos de Control O ME2.1 Monitoreo del Marco de Trabajo de Control Interno O ME2.2 Revisiones de Auditora O ME2.3 Excepciones de Control O ME2.4 Auto Evaluacin del Control O ME2.5 Aseguramiento del Control Interno O ME2.6 Control Interno para Terceros O ME2.7 Acciones Correctivas