Post on 14-Jun-2015
COBIT 4.1
COBIT
El siguiente marco teórico de trabajo, nos muestra que es una herramienta muy fundamental para el gobierno de (TI). COBIT nos muestra políticas claras para organizaciones y muy buenas prácticas de control de (TI).
Este hace un énfasis, en un verdadero cumplimiento de origen reglamentario y su objetivo es ayudar a las organizaciones aumentar el valor de (TI), en los aspectos importantes como podemos destacar los vínculos entre los objetivos del negocio (TI), pero simplificando la implementación del marco de trabajo de COBIT, para que todas las entidades regulen y mas bien administren de una forma muy correcta los riesgos tecnológicos.
OBJETIVOS Estándares generalmente aplicados y aceptados
para las buenas prácticas de control en TI (Tecnologías de la Información).
Para Sistemas de Información de la Organización
Fundamentado en una estructura de control de las TI.
Basado en los Objetivos de Control .
Salvaguardar Activos
La Información Como el ACTIVO más importante
RESPONSABILIDADES ADMINISTRATIVAS TI
NECESIDAD DEL CONTROL TI
Administradores
Usuarios
Auditores
Son las politicas, procesamientos, practicas y estructura organizacional, diseñadas para proveer una razonable seguridad de que los objetivos del negocio seran alcanzados y para que los eventos indeseados seran prevenidos, detectados y corregidos.
CONTROL
Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones.
Lograr mantener un diccionario, de datos empresarial que incluya las reglas de sintaxis de datos del negocio.
Establecer un esquema de clasificación que aplique a todo el negocio esto es (publica, confidencial y secreta).
Implementar procesos para garantizar la integridad y consistencia de los datos guardados en almacenamientos de tipo electrónico como en una base de datos.
OBJETIVOS DE CONTROL
CRITERIOS DE INFORMACIÓN DE COBIT.
para que los negocios puedan satisfacer sus propios objetivos, es sumamente importante que la información pueda adaptarse a ciertos criterios de control, ya que estos en COBIT se refieren a requerimientos de información del negocio que a continuación los mostraremos cada uno de ellos.
CRITERIOS.
Efectividad
•La información tiene que ser orientada totalmente a los procesos del negocio de manera correcta, oportuna, consistente y utilizable
Eficienci
a
•La información tiene que ser manejada productivamente con el mas mínimo uso de recursos
Confidencialid
ad
•Consiste a la protección de la información, contra la revelación de información no autorizada.
Integridad
•Esta totalmente relacionada con toda la información, con su aceptación conforme a los valores y expectativas del negocio
Disponibilida
d
•Consiste en que la información este disponible en cualquier momento que lo requieran los procesos del negocio
Cumplimient
o
•Acatar los acuerdos a los cuales esta sujeto el negocio, leyes y reglamentos, así también como las políticas interna
Confiabilidad
•Brindar la información acertada para que la gerencia pueda administrar al negocio con responsabilidad fiduciarias y de gobierno
RECURSOS DE (TI)
los recursos de TI en COBIT, los podemos
resumir de la siguiente manera
APLICACIONESUtilizan sistemas de usuarios para, procedimientos manuales que puedan procesar la información
INFORMACIONson los datos de entrada, procesos y generados por los sistemas de información en cualquier forma que sean utilizados por el negocio
INFRAESTRUCTURATecnologías e instalaciones (hardware, sistema O, administración de BD, redes, etc. así también el lugar donde se encuentra y ambiente que lo soporta.
PERSONASEs el personal requerido para (planear, organizar, adquirir, implementar, entregar, soportar, monitorear los sistemas de información).
COBIT define las actividades de TI en un modelo de procesos organizado en 4 dominios importantes que son.
Planear y Organizar (PO)
• estrategias y tácticas. esto identifica la manera en que (TI), contribuya de la mejor manera a los objetivos del negocio
Adquirir e Implementar (AI)
• Identificación de las soluciones, desarrollo, cambios y mantenimiento de los sistemas existentes.
Entregar y Dar Soporte (DS)
• Cubre en totalidad la entrega de los servicios requeridos, incluye la prestación del servicio, también la administración de la seguridad, el soporte a los usuarios, la administración de los datos y las instalaciones operacionales. Recibe soluciones utilizables por los usuarios finales.
Monitorear y Evaluar (ME)
• Monitorea exactamente que todos los procesos de TI, deben evaluarse de forma periódica en cuanto a su calidad y cumplimiento de los requerimientos de control, este dominio cubre la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y aplicación del gobierno.
DOMINIO (PLANEAR Y ORGANIZAR)
Definición de un plan estratégico Definición de una arquitectura de información. Determinación de la dirección de la organización. Definición de la organización de sus relaciones. Manejo de inversión. Políticas y objetivos de la dirección. Administración del recurso humano. Requerimientos de organismos controladores externos. Evaluación de riesgos Administración de proyectos. Administracion de calidad.
Encontrar soluciones. Adquirir software de aplicaciones. Adquirir y mantener arquitectura de
tecnología. Desarrollar y mantener recursos de TI Instalación y acreditación de sistemas. Administrar cambios.
DOMINIO (ADQUIRIR E IMPLEMENTAR)
o Definir niveles de servicio.o Administrar servicios de terceros.o Administrar desempeño y capacidad.o Asegurar el servicio continuo.o Asegurar (seguridad del sistema).o Identificar y atribuir costos.o Adecuar y capacitar a usuarios.o Aconsejar clientes de TI.o Administrar la configuración.o Administrar problemas y percances.o Administrar datos.o Administrar instalaciones.o Administrar operaciones.
DOMINIO (ENTREGAR Y DAR SOPORTE)
• Monitorear y evaluar los procesos.• Evaluar la el control interno.• Lograr garantía independiente.• Disponer de auditoria interna.
Dominio (monitoreo y evaluar)
Necesidad básica de toda empresa, es el de comprender el estado de sus sistemas de TI y elegir que nivel de administración y control debe proporcionar.
Para decidir un nivel correcto la gerencia de un negocio tiene que hacerse dos interrogantes
1. ¿Hasta donde debemos ir?
2. ¿Esta el costo justificado por el beneficio?
Las empresas deben medir donde se encuentran y donde se requieren mejora. COBIT atiende estos temas atravez de:
IMPORTANCIA DE LA MEDICION
• Facilita la evaluación por medio benchmarking y la identificación de las. mejoras necesarias
Modelos de madurez
• Muestran como los procesos satisfacen las necesidades del negocio y de TI, se usan para medir desempeños basados en los principios de un marcador de puntuación balanceada
Metas y mediciones de desempeño para los procesos de TI
• facilitar el desempeño efectivo de los procesos
Metas de actividades
MODELOS DE MADUREZ
Si se utiliza los modelos de madurez desarrollados para cada uno de los procesos de TI de COBIT, la gerencia de la empresa podrá identificar lo siguiente:
Donde se encuentra la empresa hoy. El estatus actual de la industria E objetivo de la empresa – hacia donde quiere llegar.Crecimiento requerido “como es y como será”
MODELOS GENERICOS DE MADUREZ
0 No existe. Escases completa de cualquier proceso reconocible. La empresa no ha reconocido que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos 2 Repetible. Se han desarrollado los procesos hasta el punto que se siguen procedimientos similares en diferentes ares en donde se realizan las mismas tareas. 3 Definido. Los procedimientos se han estandarizado y se han documentado, sin embargo, se deja que el individuo decida utilizar estos procesos.
4 Administrado. Se puede monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma correcta. 5 Optimizado. Los procesos han refinado hasta un nivel de mejor practica, se basan en los resultados de mejoras continuas.