Estandar cobit

21
ESTANDAR COBIT- Ing. Gina Paola Maestre G.

Transcript of Estandar cobit

ESTANDAR COBIT- Ing. Gina Paola Maestre G.

Control Objectives for Information and related Technology- COBIT

Estándar COBIT

Que es COBIT? Herramienta innovadora para el

gobierno o administración de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con la tecnología de información.

Estándar generalmente aplicable y aceptado para la práctica del control de TI

Misión CoBIT Investigar, desarrollar, publicar y

promover un conjunto de objetivos de control en TI, con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

UsuariosUsuario Propósito

Administración

Busca contribuir en la realización de balances entre las inversiones de control y los riesgos presentados en relación con las TI

Usuarios Con el fin de garantizar la seguridad y la utilización de controles en los servicios de TI presentados por la organización

Auditores de Sistemas

Brinda soporte de los juicios dados a la administración sobre los controles establecidos

Recursos de TI

Datos Incluye objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, grafica, sonidos , etc.

Aplicaciones

Se entiende como los sistemas de información que integran tanto procedimientos manuales como automatizados

Tecnología Incluye hardware, sistemas operativos, sistemas administradores de BD, de redes y telecomunicaciones

Instalaciones

Recursos necesarios para alojar y dar soporte a los Sistemas de Inf.

Personal Conocimiento, habilidades conciencia y productividad del personal para planear adquirir, prestar servicios, proporcionar soporte y monitorear sistemas y servicios de información.

Requerimientos de InformaciónRequerimiento Definición

Efectividad Se refiere a que la información sea relevante y pertinente para el proceso del negocio, así como cumplir con una entrega correcta y consistente

Eficiencia Proveer información mediante el empleo óptimo (la forma más productiva y económica)

Confidencialidad

Protección dada a la información sensible de divulgacion no autorizada

Integridad La información debe ser exacta y completa , así como su validez de acuerdo a las expectativas de la empresa

Requerimientos de InformaciónRequerimiento Definición

Disponibilidad La información debe estar disponible cuando es requerida y la protección de los recursos y capacidades asociadas

Cumplimiento Cumplimiento de las leyes, regulaciones, compromisos contractuales a los que esta sujeto la empresa

Confiablidad Sistemas de información que proveen la información adecuada para uso operativo y para ejercer las responsabilidades de reportes financieros y cumplimiento

Control: Objetivo de Control: definición del

resultado o propósito que se desea alcanzar implementando procedimientos de control específicos dentro de una actividad de TI.

Modelo Cobit

Gráficos en pantalla panorámica

Cobit define 34 objetivos de control teniendo en cuenta 3 niveles:

Dominios

Procesos

Actividades

Agrupamiento natural de procesos, frecuentemente reunidos en dominios de responsabilidad en una estructura organizacional

Una serie de actividades reunidas en puntos naturales de control

Acciones necesarias para lograr un resultado cuantificable. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas.

Dominios

CUBO COBIT

PLANEAR Y ORGANIZAR (PO)• ¿Están alineadas las estrategias de TI y del negocio?• ¿La empresa está alcanzando un uso óptimo de sus recursos?• ¿Entienden todas las personas dentro de la organización los objetivos de TI?• ¿Se entienden y administran los riesgos de TI?• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.

Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada

PO1 Definir un Plan Estratégico de TIPO2 Definir la Arquitectura de la InformaciónPO3 Determinar la Dirección TecnológicaPO4 Definir los Procesos, Organización y Relaciones de TIPO5 Administrar la Inversión en TIPO6 Comunicar las Aspiraciones y la Dirección de la GerenciaPO7 Administrar Recursos Humanos de TIPO8 Administrar la CalidadPO9 Evaluar y Administrar los Riesgos de TIPO10 Administrar Proyectos

ADQUIRIR E IMPLEMENTAR (AI)

• ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?• ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?• ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?• ¿Los cambios no afectarán a las operaciones actuales del negocio?

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio

ADQUIRIR E IMPLEMENTARAI1 Identificar soluciones automatizadasAI2 Adquirir y mantener software aplicativoAI3 Adquirir y mantener infraestructura tecnológicaAI4 Facilitar la operación y el usoAI5 Adquirir recursos de TIAI6 Administrar cambiosAI7 Instalar y acreditar soluciones y cambios

ENTREGAR Y DAR SOPORTE (DS)

• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?• ¿Están optimizados los costos de TI?• ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?• ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicioDS2 Administrar los servicios de tercerosDS3 Administrar el desempeño y la capacidadDS4 Garantizar la continuidad del servicioDS5 Garantizar la seguridad de los sistemasDS6 Identificar y asignar costosDS7 Educar y entrenar a los usuariosDS8 Administrar la mesa de servicio y los incidentesDS9 Administrar la configuraciónDS10 Administrar los problemasDS11 Administrar los datosDS12 Administrar el ambiente físicoDS13 Administrar las operaciones

MONITOREAR Y EVALUAR (ME)

• ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde?• ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?• ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?• ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeño de TIME2 Monitorear y Evaluar el Control InternoME3 Garantizar el Cumplimiento RegulatorioME4 Proporcionar Gobierno de TI