Modelo COBITMejores prcticas para Gestin de Tecnologas Informticas

CONCEPTO BSICOSEs el resultado de una investigacin con expertos de varios paises, desarrollada por la Information, Systems Audit and Control Association ISACA. Esta asociacin se ha constituido en el organismo normalizador y orientador en el control y la auditora de los sistemas de Informacin y Tecnologa (IT). El modelo CobIT ha sido aceptado y adoptado por organizaciones en el mbito mundial.

Modelo para evaluar y/o auditar la gestin y control de los de Sistemas de Informacin y Tecnologa relacionada (IT):MODELO COBIT(Control Objectives for Information Systems and related Technology)

MARCO UNICOREFERENCIAPRACTICASSEGURIDAD Y CONTROLINVERSION CONTROL TIBALANCE RIESGO/CONTROL BASE BENCHMARKINGACREDITACON CONTROL /SEGURIDAD POR AUDITORES O TERCEROSCONFUSIN ESTANDARESDESGASTE OPINION V.S. ALTA GCIA.CONSULTORES EN CONTROL/SEG. TICONCEPTO BSICOS

CONCEPTO BSICOSProveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TIConsolidar y armonizar estndares originados en diferentes pases desarrollados.Concientizar a la comunidad sobre importancia del control y la auditora de TI.Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xitoAplica a todo tipo de organizaciones independiente de sus plataformas de TIRatifica la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa

REGLA DE ORO DEL COBITA fin, de proveer la informacin que la organizacin requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.

POR QU COBIT?La Tecnologa se ve como un costo, no hay una terminologa comn con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prcticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : A mi no me va pasar..

POR QU COBIT?La Direccin, a travs de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de los sistemas de informacin.Gobierno de Tecnologa de Informacin El rol de la Direccin

QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS?Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas. Balancear el riesgo y la inversin en control de un ambiente a menudo impredecible

El Auditor para sustentar sus opiniones sobre los riesgos y la adecuacin de la tecnologa a las mejores prcticas. Ser asesores proactivos del negocio

ADEMS...El rea usuaria para saber que puede pedir a tecnologa y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnologa de Informacin se utilizan adecuadamente y les ayudan a alcanzar sus objetivosEl Gerente de Tecnologa para definir un acuerdo de servicios y justificar su inversinLos Organismos estatales de control, para saber que es lo mnimo que pueden exigir.

ORIENTACIN DE COBITSu orientacin hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar mtricas y modelos de madurez para medir su xito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.

DEFINICIONES

PRINCIPIOS

PRINCIPIOS

NECESIDAD DE RESPUESTA A LOS RETOS DE TIQu no se interrumpa el servicioQu aporte valorAdministrar los costosDominar la complejidadAlineacin con el NegocioCumplimiento de RegulacionesSeguridad.Los 7 retos:

BUEN GOBIERNO DE TI

Dirigir y controlar

Con responsabilidad

Con imputabilidad (Accountability)

Mediante actividades (Procesos)Principios, participantes, mbito, ventajas Los 4 principios:

NECESIDAD DE RESPUESTA A LOS RETOS DE TIPrincipios, participantes, mbito, ventajas

Los participantes (stakeholders):

InternosExternos

BUEN GOBIERNO DE TIPrincipios, participantes, mbito, ventajas Las 5 reas:

Alineacin estratgicaAportacin de ValorGestin de RiesgosGestin de RecursosMedidas de RendimientoIng. Vctor Manuel Montao Ardila

BUEN GOBIERNO DE TIPrincipios, participantes, mbito, ventajas

Las 5 ventajas:

Confianza de la Alta DireccinTI es co-responsable al negocioRetorno de Inversin SuperiorServicios ms confiablesMayor transparenciaIng. Vctor Manuel Montao Ardila

MARCOS DE BUEN GOBIERNO Y DE TI

Las 5 caractersticas generales de un buen marco:

Enfocado al NegocioOrientado a ProcesosGeneralmente aceptadoUtilice un lenguaje comnCumpla con los requisitos regulatoriosIng. Vctor Manuel Montao Ardila

Propuesta de Solucin

Expectativas sobre COBIT (1)

Alta Gerencia:Utilizar los procesos de COBIT para lograr un lenguaje comn entre el negocio y TI y asignar responsabilidades claras

Gerencias Usuarias:Utilizar los objetivos de control de COBIT para determinar las necesidades que sern cubiertas por los Acuerdos de Niveles de Servicio

Ing. Vctor Manuel Montao Ardila

Propuesta de SolucinExpectativas sobre COBIT (2)

Auditora Interna:Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar

Gerente TI:Utilizar los objetivos de control de COBIT para: Estructurar los procesos Establecer objetivos de los procesos Medir el desempeo de los procesos / gestin Generar polticas y procedimientos

Fase 1Levantamiento de procesos actuales

Procesos de trabajoRecursos de TICriteriosde InformacinDatosSistemas de AplicacinInfraestructura TecnolgicaInstalaciones Fsicas Recursos humanosPlaneacin y organizacinAdquisicin e implantacin de solucionesEntrega de servicio y soporteMonitoreoEfectividad EficienciaConfidencialidadIntegridadDisponibilidadCumplimiento Confiabilidad Ing. Vctor Manuel Montao Ardila

Fase 1Levantamiento de procesos actuales

Procesos de trabajoRecursos de TICriteriosde InformacinObjetivos de Control

Factores Crticos de xito

Indicadores de Resultados

Indicadores de DesempeoRecursos de TIIng. Vctor Manuel Montao Ardila

EL MODELO DEL MARCO DE TRABAJO DE COBITEl marco de trabajo COBIT, relaciona los requerimientos de informacin y de gobierno a los objetivos de la funcin de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las mtricas KGI y KPI de COBITAdministracin, Control, Alineacin y Monitoreo de Cobit.Ing. Vctor Manuel Montao Ardila

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROLDominiosProcesosActividadesEfectividadProcesos y Objetivos de Control de TIRecursos TIPersonasAplicacionesInfraestructuraDominiosProcesosActividadesInformacinEficienciaIntegridadDisponibilidadConfidencialidadConfiabilidadCumplimientoCriterios de Informacin

CLASIFICACINAgrupamiento lgico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnologa de Informacin. Una serie de actividades o tareas vinculadas con cortes (de control) naturales.Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.ProcesosActividades o tareasDominios

Resumen Ejecutivo Casos de Estudio Preguntas Frecuentes Presentaciones Power Point Guas de ImplementacinDiagnstico Conciencia AdministrativaDiagnstico Control de TI

Resumen EjecutivoMarco Referencial-Esquema Objetivos de Alto NivelLineamientos GerencialesObjetivos de Control DetalladosGuas de AuditoraModelos de MadurezFactores Crticos de ExitoIndicadores Clave de RendimientoIndicadores Clave de LogrosHerramientas de implementacinCobiT: enfoque e implementacinPrcticas de Control

DOMINIOS DEL COBITAbarca aspectos estratgicos y tcticos Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Planeacin y Organizacin

DOMINIOPlanificacin y OrganizacinProceso: PO1Definicin de un plan estratgico de TI

Proceso: PO2Definicin de la arquitectura de la informacin

Proceso: PO3Determinacin de la direccin tecnolgica

Proceso: PO4Definicin de la organizacin y el relacionamiento en TI

Proceso: PO5Administracin de la inversin en TI

Proceso: PO6Comunicacin de los objetivos y directivas de la gerencia

Proceso: PO7Administracin de los recursos humanos

Proceso: PO8Aseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9Evaluacin de riesgos

Proceso: PO10Administracin de proyectos

Proceso: PO11Administracin de la calidad

DOMINIOS DEL COBITIdentificacin, desarrollo o adquisicin de soluciones de Ti Implantacin e integracin en el proceso de negocio.Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.Adquisicin e Implementacin

DOMINIOAdquisicin e ImplementacinProceso: AI12Identificacin de soluciones

Proceso: AI13Adquisicin y mantenimiento de software de aplicacin

Proceso: AI14Adquisicin y mantenimiento de la infraestructura tecnolgica

Proceso: AI15Desarrollo y mantenimiento de procedimientos de TI

Proceso: AI16Instalacin y certificacin de sistemas

Proceso: AI17Administracin de cambios

DOMINIOS DEL COBITPrestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin.Procesos de soporte necesarios.Procesamiento real de los datos por los sistemas de aplicacin.

Entrega y Soporte

DOMINIOEntrega y SoporteProceso: DS18Definicin de los niveles del servicio

Proceso: DS19Administracin de los servicios prestados terceros

Proceso: DS20Administracin de la capacidad y del desempeo del sistema

Proceso: DS21Aseguramiento de la continuidad del servicio

Proceso: DS22Establecimiento de pautas para la seguridad de los sistemas

Proceso: DS23Identificacin e imputacin de costos

DOMINIOEntrega y SoporteProceso: DS24Educacin y capacitacin de los usuarios

Proceso: DS25Asistencia y asesoramiento a los clientes de TI

Proceso: DS26Administracin de la configuracin

Proceso: DS27Administracin de problemas e incidentes

Proceso: DS28Administracin de datos

Proceso: DS29Administracin de instalaciones

Proceso: DS30Administracin de las operaciones

DOMINIOS DE COBITEvaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organizacin Garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.Monitoreo

DOMINIOMonitoreoProceso: ME31Monitoreo de los procesos

Proceso: ME32Evaluacin de la adecuacin del control interno

Proceso: ME33Obtencin de aseguramiento independiente

Proceso: ME34Provisin de auditoria independiente

PROCESOSAI1Identificar soluciones de ITAdministrar los cambios Adquirir y mantener software aplicativoAdquirir y mantener arquitectura tecnolgicaDesarrollar y mantener procedimientos de ITInstalar y acreditar sistemasAI2AI3AI4AI5AI6PSPPSSPPSSPPSSSPSSPPPSP CRITERIOS RECURSOSEFECTIVIDADEFICIENCIACONFIDENCIALIDADINTEGRIDADDISPONIBILIDADCUMPLIMIENTOCONFIABILIDADAPLICACIONESTECNOCLOGAFACILIDADESDATOSPERSONASDOMINIO AI:Adquisicin eImplementacin COBITNavegacin(Matriz)

DEFINICIN DE PROCESOS DE TI PO1: Definir el Plan estratgico de ITLa funcin de servicios de informacin debera asegurar que hay planes a corto y largo plazo para administrar y orientar todos los recursos de IT de la organizacin. Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de la IT. La evaluacin de los sistemas existentes debe realizarse antes de desarrollar o modificar el plan estratgico de IT. As mismo, la funcin de administracin de los servicios de informacin debe asegurar que el plan estratgico de IT es consistente con los objetivos del negocio, y los planes a corto y largo plazo de la organizacin.

OBJETIVOS DE CONTROL DE TI - DETALLADOS 1La TI como parte de los planes a corto/largo plazo de laempresa 2

Plan a largo plazo dela TI 3Enfoque y estructura del Plan a largo plazo de la TI 4Cambios al Plan a largo plazo de la TI Plan corto plazo de la funcin de servicios de TI5PROCESO: PO1: Definir el Plan Estratgico de TI DOMINIO PO: Planeacin y OrganizacinObjetivos de Control - DetalladosY tiene en consideracin:Evaluacin objetivos de control detallados

PRODUCTOS DE COBIT

INTERRELACIN DE LOS COMPONENTES DE COBITNegocioProcesos de TIRequerimientosInformacin Objetivosde ControlPracticasde ControlGuas deAuditoraMetas delas ActividadesModelo deMadurezIndicadoresClave de MetasIndicadoresClave de DesempeoAuditado porMedida para Implementado conTransformado enPara desempeoPara MadurezControlado porLogrando Efectividad yEficiencia conPara resultados

*************