Principios De Cobit

DEFINICIÓN DE COBIT

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA

RELACIONADA

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA

RELACIONADA

MISIÓN COBIT

Investigar, desarrollar, publicar y promover un conjunto de

objetivos de control para tecnología de información, que

sea internacional y este actualizado para uso cotidiano de

gerentes, auditores y usuarios.

VISIÓN COBIT

Ser el modelo de control para la TI.

REGLA DE ORO DE COBIT

Para proveer la información que requiere la

organización para lograr sus objetivos, los recursos

de TI deben ser administrados por un conjunto de

procesos, agrupados de forma adecuada y

ejecutados acorde a prácticas normalmente

aceptadas.

USUARIOS COBIT

• La Gerencia: Apoyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo

y el control de la inversión en un ambiente a menudo impredecible.

• Los Usuarios Finales: Obtienen una garantía sobre el control y seguridad de los productos que

adquieren interna y externamente.

• Los Auditores: :Soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la

organización y determinar el control mínimo requerido.

• Los Responsables de TI: Para identificar los controles que requieren en sus áreas.

• Organismos estatales de control: Para saber que es lo mínimo que pueden exigir.

QUE SON LAS TI(Tecnologías de Informática) (Tecnologías de Informática)

Se encargan de

Por medio de

SISTEMAS INFORMATICOS

DE

INFORMACION

DISEÑODISEÑO FOMENTOFOMENTODESARROLLO

DESARROLLO

MANTENIMIENTO

MANTENIMIENTO

ADMINISTRACION

ADMINISTRACION

PRINCIPIOS COBIT

REQUERIMIENTOS DE INFORMACIÓN

DEL NEGOCIO

REQUERIMIENTOS DE INFORMACIÓN

DEL NEGOCIO

RECURSOSDE TI

RECURSOSDE TI

PROCESOS DE TI

PROCESOS DE TI

REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Requerimientos de Calidad

Requerimientos de Calidad

Requerimientos Financieros

(COSO)

Requerimientos Financieros

(COSO)

Requerimientos de Seguridad

Requerimientos de Seguridad

Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones.

Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado)

Confidencialidad.

Integridad.

Disponibilidad.

CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Efectividad

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Eficiencia

Relativa a la protección de la información sensitiva de su revelación no autorizada.

Relativa a la protección de la información sensitiva de su revelación no autorizada.

Confidencialidad

Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.

Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio.

Integridad


Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Disponibilidad

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.

Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio.

Cumplimiento

Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión.

Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión.

Confiabilidad


RECURSOS DE TI

Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.

Tecnología: IIncluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Microcomputador o terminal==========================

Aplicaciones en funcionamiento(1),(2),(3),(4),(8),(10),(11)

Red local===============(1),(2),(3),(4),(5),(6),(7),(8),(9),(10),(11)

Sistema de comunicaciones(8),(11)

Seguridad de lainformación

Seguridad física

(1) Sistemas Operacionales

(2) Software de Seguridad

(3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos

(4) Monitores de Teleprocesamiento

(5) Ayudas para el desarrollo de programas

(6) Control del Cambio y Administración de librerías

(7) Editores en línea

(8) Software de Telecomunicaciones

(9) Sistema de soporte a operaciones

(10) Sistemas de oficina

(11) Intercambio electrónico de datos

Equipo central =========================

Operación del sistema(1),(2),(6),(7),(8),(9)

RECURSOS DE TI

PROCESOS DE TI - LOS 3 NIVELES

Dominios

Agrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional

Procesos

Conjuntos de actividades unidas con delimitación o cortes de control.

Actividadeso tareas Acciones requeridas para

lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

DOMINIOS DE TI

Planeación y Organización

Adquisición e implementación

Prestación de Servicios y Soporte

Seguimiento o monitoreo

Planeación y Organización

Se vincula con la identificación de la forma en que la tecnología de

información puede contribuir de la manera más adecuada con el logro de los

objetivos del negocio.

• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa

está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas

las personas dentro de la organización los objetivos de TI? • ¿Se

entienden y administran los riesgos de TI? • ¿Es apropiada la

calidad de los sistemas de TI para las necesidades del negocio?

DOMINIOS DE TI

PROCESOS DE TI

Planeación y OrganizaciónPlaneación y Organización

PROCESOS DE TI


Que satisface el requisito de negocio para

Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional

Toma en consideración

• Definición de los objetivos de negocio y necesidades para las TI• Inventario de soluciones tecnológicas e infraestructura actual• Cambios organizativos• Estudio de viabilidad oportuno• Existencia de evaluaciones de sistemas

PROCESOS DE TI



Una mejor organización de los sistemas de información


• Documentación• Diccionario de datos• Reglas sintácticas de datos• Propiedad de datos y clasificación crítica

PROCESOS DE TI



Tomar ventaja de la tecnología disponible y emergente


• Adecuación y evolución de la capacidad de la infraestructura actual• Monitorización de los desarrollos tecnológicos• Contingencias• Planes de adquisición

PROCESOS DE TI



Entregar los servicios de las TI


• Comité de dirección• Consejo de nivel de responsabilidad• Propiedad, custodia• Supervisión• Segregación de obligaciones• Roles y responsabilidades• Descripciones del trabajo• Provisión de niveles• Clave personal

PROCESOS DE TI



Garantizar la consolidación y controlar el gasto de los recursos financieros


• Consolidación de alternativas• Control del gasto efectivo• Justificación de los costes• Justificación de los beneficios

PROCESOS DE TI



Garantizar el conocimiento del usuario y entendimiento de esos fines


• Código de conducta/ética• Directrices de tecnología• Conformidad• Comisión de calidad• Políticas de seguridad• Políticas de control interno

PROCESOS DE TI



Maximizar las contribuciones del personal a los procesos de TI


• Refuerzo y promoción• Requisitos de calidad• Entrenamiento• Construcción del conocimiento• Evaluación de la ejecución objetiva y medible

PROCESOS DE TI



La mejora continua y medible de la calidad de los servicios prestados por TI


• Plan de estructura de la calidad• Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas• Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad

PROCESOS DE TI



De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI

Toma en consideración• Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.)• Alcance: global o sistemas específicos• Evaluación de riesgos hasta la fecha• Metodología de análisis de riesgos• Medidas de riesgo cuantitativas y/o cualitativas• Plan de acción de riesgos

P L A N E A R Y O R G A N I Z A R

PO9 Evaluar y administrar los riesgos de TI

BS 7799 Security Standard

"BS 7799-3:2005 sistemas de gestión seguridad de la información. Directrices para la gestión de riesgos de seguridad de la información "

Abarca las siguientes:# Evaluación de riesgos# Tratamiento del riesgo# Gestión de la toma de decisiones# Nueva evaluación de riesgo# La vigilancia y el examen de perfil de riesgo# Riesgo de la seguridad de la información en el contexto de la gobernanza empresarial# El cumplimiento de otras normas basadas en los riesgos y los reglamentos

PROCESOS DE TI

PROCESOS DE TI



La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados.


• Marco de trabajo para la administración de programas de inversión en TI • Marco de trabajo para la administración de proyectos • Interrupción de tareas• Distribución de responsabilidades• Proyecto y fase de aprobación• Costes y presupuesto del personal• Planes de seguridad de la calidad y métodos•Recursos del proyecto

Adquisición e Implementación

Cambios y mantenimiento de los sistemas existentes para

garantizar la natural continuidad del ciclo de vida para estos

sistemas.

• ¿Los nuevos proyectos generan soluciones que

satisfagan las necesidades del negocio? • ¿Los nuevos

proyectos son entregados a tiempo y dentro del

presupuesto? • ¿Trabajarán adecuadamente los nuevos

sistemas una vez sean implementados? • ¿Los cambios

afectarán las operaciones actuales del negocio?

DOMINIOS DE TI

PROCESOS DE TI

Adquisición eImplementación


PROCESOS DE TI




Asegurar la mejor aproximación para satisfacer los requisitos del usuario


• Definición de la información de requisitos• Estudios factibles (costes, beneficios, alternativas, etc.)• Requisitos de usuario• Arquitectura de la información• Seguridad del coste-efectivo• Contratación externa

PROCESOS DE TI




Suministrar funciones automáticas que soporten de forma efectiva los procesos de negocio


•Requisitos de usuario•Diseño de alto nivel •Diseño detallado •Archivo, gasto, proceso y requisitos externos•Interfaz de la máquina-usuario•Controles de aplicación y requisitos de seguridad•Documentación

PROCESOS DE TI




Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI


• Asentamiento de la tecnología• Mantenimiento del hardware preventivo• Seguridad del sistema software, instalación, mantenimiento y cambio de controles

PROCESOS DE TI




Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio.


• Plan para soluciones de operación• Transferencia de conocimiento a la gerencia del negocio• Transferencia de conocimiento a usuarios finales• Transferencia de conocimiento al personal de operaciones y soporte

PROCESOS DE TI




Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio.


• Control de adquisición• Administración de contratos con proveedores• Selección de proveedores• Adquisición de software• Adquisición de recursos de desarrollo• Adquisición de infraestructura, instalaciones y servicios relacionados

PROCESOS DE TI




Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio.

Toma en consideración•Estándares y procedimientos para cambios•Evaluación de impacto, priorización y autorización•Cambios de emergencia•Seguimiento y reporte del estatus de cambio•Cierre y documentación del cambio

A D Q U I R I R E I M P L A N T A R

AI06 Administrar cambios

Iso/iec12207 5.2 Suministro 5.5 Mantenimiento 7.3 Mejoras

5.2 Suministro:El proceso de suministro contiene las actividades y tareas del proveedor:

Actividades

• Inicio• Preparación de respuesta• Contrato• Planificación• Ejecución y control• Revisión y evaluación• Entrega y finalización

PROCESOS DE TI

PROCESOS DE TI




Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación

Toma en consideración•Entrenamiento•Plan de prueba•Plan de implantación•Ambiente de prueba•Conversión de sistema y datos•Distribución del sistema

Prestación de Servicios y Soporte

Prestación efectiva de los servicios requeridos, comprenden desde las

operaciones tradicionales sobre aspectos de seguridad y continuidad

hasta capacitación.

•¿Se están entregando los servicios de TI de acuerdo con las

prioridades del negocio? •¿Están optimizados los costos de TI?

•¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de

manera productiva y segura? •¿Están implantadas de forma

adecuada la confidencialidad, la integridad y la disponibilidad?

DOMINIOS DE TI

PROCESOS DE TI

Prestación de Servicio y Soporte


PROCESOS DE TI




Asegurar la alineación de los servicios claves de TI con la estrategia del negocio


• Definición de servicios • Definición de responsabilidades• Garantías de integridad• Monitoreo y reporte del cumplimento de los niveles de servicio • Revisión de los acuerdos de niveles de servicio y de los contratos

ENTREGAR Y DA R SOPORTEDefinir y administrar los niveles de servicio

SLA (Service Level Agreement) o Acuerdo de Nivel de Servicio es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad del servicio.

Si se utiliza correctamente debe:

* Identificar y definir las necesidades del cliente * Proporcionar un marco para la comprensión * Simplificar cuestiones complejas * Reducir las zonas de conflicto * Alentar el diálogo en caso de litigio * Eliminar las expectativas poco realistas

Concretamente, debe abarcar una amplia gama de cuestiones. Entre estos suelen ser los siguientes:

Servicios a ser entregadosRendimiento, seguimiento y presentación de informesProblema de gestiónCumplimiento legal y Resolución de ConflictosDeberes y Responsabilidades del clienteSeguridadDerechos de propiedad intelectual y la información confidencialTerminación

PROCESOS DE TI




Asegurar que las reglas y las responsabilidades de terceras partes están definidas de forma clara, adheridas y continuar satisfaciendo los requisitos


• Identificación de las relaciones con todos los proveedores • Administración de las relaciones con los proveedores • Administración de riesgos del proveedor • Monitoreo del desempeño del proveedor

PROCESOS DE TI




Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio.


• Disponibilidad y cumplimiento de los requisitos• Capacidad y desempeño actual • Capacidad y desempeño futuros • Disponibilidad de recursos TI• Monitoreo y reporte

PROCESOS DE TI




Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor


• Clasificación crítica• Plan de continuidad documentado• Recursos críticos de TI • Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI

PROCESOS DE TI




Salvaguardar la información contra el uso no autorizado, descubrimiento o modificación, daño o pérdida


• Autorización• Autenticidad• Acceso• Uso de protección e identificación• Gestión de clave criptográfica• Detección y prevención de virus• Cortafuegos

PROCESOS DE TI




Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI


• Recursos identificables y medibles• Modelación de costos y cargos • Imponer valores

PROCESOS DE TI




Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados


• Plan de estudios de entrenamiento• Campañas de conocimiento• Técnicas de conocimiento

PROCESOS DE TI




Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y preguntas.


• Cuestiones del cliente y respuestas al problema• Monitorización de cuestiones y aclaraciones• Análisis de tendencias e información

PROCESOS DE TI




Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una gestión de cambio firme


• Medios de registro• Gestión del cambio de configuración• Chequeo del software no autorizado• Controles de almacenamiento de software

PROCESOS DE TI




Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para prevenir una nueva aparición de estos


• Reglas suficientes de auditoría de problemas y soluciones• Resolución oportuna de problemas anunciados• Informes de incidentes

PROCESOS DE TI




Asegurar que los datos permanecen completos, correctos y válidos durante su introducción, actualización y almacenamiento


• Diseño del modelo• Controles de entrada• Controles de proceso• Controles de salida• Almacenamiento multimedia y gestión de copias de seguridad• Autenticidad e integridad

PROCESOS DE TI




Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre


• Identificación de la situación• Seguridad física• Salud y seguridad del personal• Protección de amenazas del entorno

PROCESOS DE TI




Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada


• Manual de procedimiento de operaciones• Documentación del proceso puesto en marcha• Gestión de servicios de la red• Planificación del trabajo y el personal

Monitoreo/Seguimiento

Evaluar regularmente todos los procesos de TI para determinar su

calidad y el cumplimiento de los requerimientos de control.

•¿Se mide el desempeño de TI para detectar los problemas antes

de que sea demasiado tarde? •¿La Gerencia garantiza que los

controles internos son efectivos y eficientes? •¿Puede

vincularse el desempeño de lo que TI ha realizado con las

metas del negocio? •¿Se miden y reportan los riesgos, el

control, el cumplimiento y el desempeño?

DOMINIOS DE TI

PROCESOS DE TI

Monitoreo / SeguimientoMonitoreo / Seguimiento

PROCESOS DE TI



Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno.


•Método de monitoreo •Evaluación del desempeño •Reportes al consejo directivo y a ejecutivos •Acciones correctivas

PROCESOS DE TI



Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI.

Toma en consideración•Monitorear el marco de trabajo de control interno •Revisiones de Auditoría •Auto-evaluación de control •Control interno para terceros •Acciones correctivas

Monitorear y evaluarMonitorear y evaluar el control interno

control interno situaciones a informar

Como ya se indicó las "situaciones a informar", son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, que a su juicio podrían afectar negativamente la capacidad de la organización.

Deficiencia en el diseño de la estructura del control internoDiseño inadecuado de la estructura del control interno en general.

- Ausencia de una adecuada segregación de funciones, acorde con los objetivos de control establecidos.- Falta de revisión y aprobación adecuada de las transacciones, pólizas contables o reportes emitidos.

Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la entidad, como consecuencia de omisiones en la aplicación de los procedimientos de control.

- Violación intencional de los controles establecidos, por parte de personal de alto nivel jerárquico.

- Fallas en la protección de los activos, contra pérdidas, daños o uso indebido de los mismos.

PROCESOS DE TI



Cumplir las leyes y regulaciones.

Toma en consideración•Identificar las leyes y regulaciones con impacto potencial sobre TI •Optimizar la respuesta a requerimientos regulatorios •Evaluación del cumplimiento con requerimientos regulatorios •Aseguramiento positivo del cumplimiento •Reportes integrados

PROCESOS DE TI



La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones

Toma en consideración•Establecer un marco de trabajo de gobierno para TI •Alineamiento estratégico •Entrega de valor •Administración de recursos •Administración de riesgos•Medición del desempeño

Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad, Cumplimiento,

Confiabilidad

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad, Cumplimiento,

Confiabilidad

CobiT

Objetivos del Negocio

Objetivos del Negocio




SeguimientoSeguimiento



1. Monitorear y Evaluar el desempeño de TI2. Monitorear y Evaluar el control interno3. Garantizar el cumplimiento regulatorio4. Proporcionar gobierno de TI

1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Facilitar la Operación y el uso5. Adquirir recursos de TI6. Administrar Cambios7. Instalar y acreditar soluciones y cambios

1. Definir un plan estratégico de TI2. Definir la arquitectura de información3. Determinar la dirección tecnológica4. Definir la organización y relaciones de la

Función TI5. Administrar la inversión en TI6. Comunicación de la directrices Gerenciales7. Administración del Recurso Humano8. Administrar la Calidad9. Evaluación y Administración de Riesgos10. Administración de Proyectos

1. Definición del nivel de servicio2. Administración del servicio de terceros3. Administración de la capacidad y el desempeño4. Asegurar el servicio continuo5. Garantizar la seguridad del sistema6. Identificación y asignación de costos7. Capacitación de usuarios8. Soporte a los clientes de TI9. Administración de la configuración10. Administración de problemas e incidentes11. Administración de datos12. Administración de Instalaciones (Ambiente Físico)13. Administración de Operaciones

RESUMEN Y CONCLUSIONES

BIBLIOGRAFIA

• COBIT 4.0 (PDF).

• Planificación y Gestión de Sistemas de Información. TRABAJO DE TEORÍA. Roberto Sobrinos Sánchez. 19 de Mayo de 1999.

• COBIT: Herramienta de IT Governance. Fernando Ferrer Olivares, CISA - Presidente ISACA – Colombia.

• Administración de Riesgos de TI. Fernando Izquierdo Duarte, CISA - Ingeniero de Sistemas.

THANKS!

Principios De Cobit

Business

Transcript of Principios De Cobit