Derechos reservados Lucio Augusto Molina Focazzio 1 Cobit Un estándar Global en Tecnología de Información (TI) Cobit Un estándar Global en Tecnología

Derechos reservados Lucio Augusto Molina Focazzio 1

Cobit Un

estándar Global en Tecnología

de Información

(TI)

Cobit Un

estándar Global en Tecnología

de Información

(TI)Lucio Augusto Molina Focazzio

Certified Information Systems Auditor, CISA


AgendaAgenda IntroducciónProblemáticaCómo reducir el problema Cobit introducciónObjetivos de Control en los procesos de TIDirectrices Gerenciales Cómo utilizar Cobit Estrategias para la implementación de Cobit Conclusiones

IntroducciónProblemáticaCómo reducir el problema Cobit introducciónObjetivos de Control en los procesos de TIDirectrices Gerenciales Cómo utilizar Cobit Estrategias para la implementación de Cobit Conclusiones


AgendaAgenda IntroducciónProblemática

IntroducciónProblemática


Nuevo ambiente de negociosNuevo ambiente de negocios Competencia global sin proteccionismo Mayor poder de negociación de clientes y

proveedores Encarecimiento de recursos Demanda de valor agregado Exigencia de mayor velocidad en servicios Adelgazamiento de márgenes de utilidad Nuevas oportunidades de negocios internacionales

Competencia global sin proteccionismo Mayor poder de negociación de clientes y

proveedores Encarecimiento de recursos Demanda de valor agregado Exigencia de mayor velocidad en servicios Adelgazamiento de márgenes de utilidad Nuevas oportunidades de negocios internacionales


Competencia

Productividad

Costos

Tipos de cambio

Protección del patrimonioCrecimiento

Clientes

AcreedoresAccionistas

Utilidades

Nuevos mercados

Impuestos

Que hay en la mente de los Que hay en la mente de los directores......directores......

Proveedores


Respuesta de la administraciónRespuesta de la administración Aseguramiento de Calidad Reingeniería (orientación a procesos)

Mejoramiento enfocado Rediseño procesos Innovación

Administración del cambio cultural Medición del desempeño Costeo basado en actividades (ABC)

Aseguramiento de Calidad Reingeniería (orientación a procesos)

Mejoramiento enfocado Rediseño procesos Innovación

Administración del cambio cultural Medición del desempeño Costeo basado en actividades (ABC)


Espectativas de la GerenciaEspectativas de la Gerencia Right Sizing (Organizaciónes altamente competitivas)

Procesamiento Distribuido

Organizaciones aplanadas

Outsourcing

Right Sizing (Organizaciónes altamente competitivas)

Procesamiento Distribuido

Organizaciones aplanadas

Outsourcing


El rol de la tecnología de informaciónEl rol de la tecnología de información

Como habilitador de las mejoras derivadas de reingeniería

Por el valor de la información para las empresas Por el empleo competitivo de la tecnología de

información Como piedra angular en iniciativas de:

Incremento de velocidad en operaciones Incremento de la calidad del servicio Reducción de los costos de operación

Como habilitador de las mejoras derivadas de reingeniería

Por el valor de la información para las empresas Por el empleo competitivo de la tecnología de

información Como piedra angular en iniciativas de:

Incremento de velocidad en operaciones Incremento de la calidad del servicio Reducción de los costos de operación


Responsabilidades del área de TIResponsabilidades del área de TI

Salvaguarda de los activos

La información es el activo más valioso

Salvaguarda de los activos

La información es el activo más valioso


Una relación de dependenciaUna relación de dependenciaN

ivel

de

depe

nden

cia

Nivel de utilización de TI

A mayor utilización mayor dependencia en TI

y mayores riesgos…..

A mayor utilización mayor dependencia en TI

y mayores riesgos…..

RIESGOSRIESGOS


Cual es la realidadCual es la realidad

Expectativas de las EmpresasExpectativas de las Empresas

BRECHA

Niv

el

Tiempo

Capacidad de TI (resultados)

Capacidad de TI (resultados)


Los proyectos de TILos proyectos de TI Proyectos que no terminan a tiempo Proyectos que exceden su presupuesto Proyectos que nunca se concluyen Proyectos que se concluyen y nunca son utilizados Proyectos que no satisfacen las expectativas de los

usuarios Proyectos que son un prodigio tecnológico pero

nada que ver con las necesidades de negocio

Proyectos que no terminan a tiempo Proyectos que exceden su presupuesto Proyectos que nunca se concluyen Proyectos que se concluyen y nunca son utilizados Proyectos que no satisfacen las expectativas de los

usuarios Proyectos que son un prodigio tecnológico pero

nada que ver con las necesidades de negocio


Origen del ProblemaOrigen del Problema

PlaneaciónAnálisis

DiseñoProgramación

Mantenimiento0

20

40

60

80

100

Recursos dedicadosRecursos dedicados Impacto de erroresImpacto de errores


La efectividad de TILa efectividad de TI

Competencia

Entonces, ¿me dijo que la pantalla la quería con o sin

la ventanita de Windows?

YOYO


Insatisfacción con los Sistemas de Inf.Insatisfacción con los Sistemas de Inf.

A B C D0

10

20

30

40

50

60

70

80

90

A B C D

1998

1999

2000

A. Falta de acceso a información gerencialB. Dificultad para modificarseC. Falta de respuesta a nuevas necesidades de negocioD. Inconsistentes con nuevas tecnologías

71 77 84 65 66 84 67 73 82 36 52 71

Fuente:Encuesta anual 500 empresas.

%


AgendaAgenda IntroducciónProblemáticaCómo reducir el problema

IntroducciónProblemáticaCómo reducir el problema


Control internoControl interno

Es un conjunto de elementos de administración Incluye estructuras, procedimientos, políticas,

personas, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos

Es un conjunto de elementos de administración Incluye estructuras, procedimientos, políticas,

personas, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos


Control InternoControl Interno Control InternoControl Interno

Conjunto de procesos, funciones, actividades, subsistemas y personas que se encuentran agrupados o segregados conscientemente para asegurar el logro efectivo de metas y objetivos.

Instituto Norteamericano de Auditores Internos

Conjunto de procesos, funciones, actividades, subsistemas y personas que se encuentran agrupados o segregados conscientemente para asegurar el logro efectivo de metas y objetivos.

Instituto Norteamericano de Auditores Internos


Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones; Confiabilidad de información financiera y Cumplimiento con leyes y regulaciones aplicables

Committee of Sponsoring Organizations of the Treadway Comission (COSO)

Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones; Confiabilidad de información financiera y Cumplimiento con leyes y regulaciones aplicables

Committee of Sponsoring Organizations of the Treadway Comission (COSO)

Control InternoControl InternoControl InternoControl Interno


Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos.

ISACA –Governance, Control Objectives for Information and Related Technology (CobiT)

Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos.

ISACA –Governance, Control Objectives for Information and Related Technology (CobiT)

Control InternoControl InternoControl InternoControl Interno

ISACA: Information Systems Audit and Control Association


Es una sentencia de los resultados esperados o propósitos que se desea alcanzar mediante la implementación de controles y procedimientos en una actividad en particular.

ISACA -Control Objectives for Information and Related Technology (CobiT)

Es una sentencia de los resultados esperados o propósitos que se desea alcanzar mediante la implementación de controles y procedimientos en una actividad en particular.

ISACA -Control Objectives for Information and Related Technology (CobiT)

Objetivo de ControlObjetivo de ControlObjetivo de ControlObjetivo de Control


Apoyo a los objetivos de negocioApoyo a los objetivos de negocio

EMPRESAEMPRESA

Productos o Servicios

Productividad

Clientes

Impacto en la comunidadRH

Posicionamiento Competitivo

Imagen

Rentabilidad

Crecimiento InstitucionalCalidad


AgendaAgenda IntroducciónProblemáticaCómo reducir el problema Cobit introducción

IntroducciónProblemáticaCómo reducir el problema Cobit introducción


CCOBIOBITTCCOBIOBITTUn estándar globalUn estándar global


CCOBIOBITT … sus antecedentes … sus antecedentes La comunidad de profesionales relacionados con TI

mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés

La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia

ISACF Information Systems Audit and Control Foundation

La comunidad de profesionales relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés

La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia

ISACF Information Systems Audit and Control Foundation


CCOBIOBITT … sus antecedentes … sus antecedentes

Integra y concilia normas y reglamentaciones existentes Estándares técnicos de

ISO, EDIFACT Códigos de conducta

Consejo Europeo, OECD Criterios de calificación para sistemas y procesos

ITSEC, ISO 9000-3, TCSEC Estándares profesionales

COSO, GAO, IFAC, IIA, ISACA, AICPA, etc

Integra y concilia normas y reglamentaciones existentes Estándares técnicos de

ISO, EDIFACT Códigos de conducta

Consejo Europeo, OECD Criterios de calificación para sistemas y procesos

ITSEC, ISO 9000-3, TCSEC Estándares profesionales

COSO, GAO, IFAC, IIA, ISACA, AICPA, etc


CCOBIOBITT … sus antecedentes … sus antecedentes

Integra y concilia normas y reglamentaciones existentes Prácticas y requerimientos de la Industria

ESF-4 Requerimientos gubernamentales

IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias

E-banking, EDI, Comercio Electrónico

Integra y concilia normas y reglamentaciones existentes Prácticas y requerimientos de la Industria

ESF-4 Requerimientos gubernamentales

IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias

E-banking, EDI, Comercio Electrónico


CCOBIOBITT … su definición … su definición

C Control

OB OBjectives

I for Information

T and Related Technology



COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).

COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).



Ahora COBIT es:

Governance indica que el Cobit también incluye directrices gerenciales

Control and

Audit for

Information and

Related Technology

Ahora COBIT es:

Governance indica que el Cobit también incluye directrices gerenciales

Control and

Audit for

Information and

Related Technology


CCOBIOBITT … su misión … su misión

Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.

Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.


CCOBIOBITT … sus usuarios … sus usuarios La alta gerencia puede fundamentar decisiones sobre

inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener una garantía

sobre la seguridad y el control de productos adquiridos en forma externa

Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa

Los responsables de TI pueden identificar los controles que requieren establecer en su área

La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas

Los usuarios de TI pueden obtener una garantía sobre la seguridad y el control de productos adquiridos en forma externa

Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa

Los responsables de TI pueden identificar los controles que requieren establecer en su área


CCOBIOBITT … sus características … sus características Orientación al negocio Alineación con estándares y regulaciones “de jure” y

“de facto” Basado en una revisión critica de tareas y actividades

en tecnología de información. Alineamiento con estándares de control y auditoría:

COSO, IFAC, IIA, ISACA, AICPA

Orientación al negocio Alineación con estándares y regulaciones “de jure” y

“de facto” Basado en una revisión critica de tareas y actividades

en tecnología de información. Alineamiento con estándares de control y auditoría:

COSO, IFAC, IIA, ISACA, AICPA


CCOBIOBITT … Marco referencial … Marco referencialOrientado a los controles

Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización

Utilizado por la Administración, los Auditores y los usuarios

Orientado a los controles

Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización

Utilizado por la Administración, los Auditores y los usuarios


CCOBIOBITT … los productos … los productos Resumen ejecutivo Para la Alta Gerencia

Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas

Objetivos de control Para la Gerencia media

Guías de auditoría Para los Auditores de Sistemas

Directrices Gereciales Para la alta Dirección

Resumen ejecutivo Para la Alta Gerencia

Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas

Objetivos de control Para la Gerencia media

Guías de auditoría Para los Auditores de Sistemas

Directrices Gereciales Para la alta Dirección


Resumen Ejecutivo

Resumen con Objetivos de Control de Alto Nivel

Factores Críticos de éxito

Indicadores clave de desempeño

Ind. clave por Objetivo

Herramientas de Implementación

Guías de Auditoría

Directrices Gerenciales

- Resumen Ejecutivo- Estudio de casos- FAQs- Presentaciones en Power point - Guías de Implementación + Diagnóstico de la Administración + Diagnóstico de Control en TI

Objetivos de Con- trol detallados

EstructuraCCOBIOBITTCCOBIOBITT


CCOBIOBITT … Resumen ejecutivo … Resumen ejecutivo

El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.

El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.


CCOBIOBITT … Marco referencial … Marco referencial

El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT.

El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.

El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT.

El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.


CCOBIOBITT … Objetivos de Control … Objetivos de Control

Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.

Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.


CCOBIOBITT … Guías de Auditoría … Guías de AuditoríaLas guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan

Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan


CCOBIOBITT … Directrices Gerenciales … Directrices GerencialesDirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:

¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?

¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?

Dirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:

¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?

¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?


La Gerencia necesita CLa Gerencia necesita COBIOBITT Tomar decisiones relacionadas con la inversión en TI

Balancear los riesgos y los controles de las inversiones en TI

Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro

Tomar decisiones relacionadas con la inversión en TI

Balancear los riesgos y los controles de las inversiones en TI

Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro


Los usuarios necesitan CLos usuarios necesitan COBIOBITT

Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.

Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.


Los Auditores necesitan CLos Auditores necesitan COBIOBITT

Soportar ante la Gerencia la opinión sobre los controles internos.

Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?

Soportar ante la Gerencia la opinión sobre los controles internos.

Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?


Principios de la InfraestructuraPrincipios de la Infraestructura

EVENTOS

• PERSONAS• OBJETOS

mensajeentrada

serviciosalida

INFORMACION

TECNOLOGIATECNOLOGIA

INSTALACIONESINSTALACIONES

PERSONASPERSONAS

Sistemas de AplicaciónSistemas de AplicaciónDatosDatos


Marco referencialMarco referencialPROCESOS

DE NEGOCIOPROCESOS

DE NEGOCIO

INFORMACIONINFORMACION

RECURSOS DE TIRECURSOS DE TI

• datos• sistemas de aplicación• tecnología• instalaciones• personas


• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad


CriteriosCriterios

¿ Concuerdan ?


En re

sum

en …

..PROCESOS

DE NEGOCIOPROCESOS

DE NEGOCIO

INFORMACIONINFORMACION



Criterios

COBITCOBIT

RECURSOSDE TI

RECURSOSDE TI


• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y

ORGANIZACIONPLANEACON Y ORGANIZACION

ADQUISICION EIMPLEMENTACION


PRESTACION DE SERVICIOS Y

SOPORTE


SOPORTE

MONITOREOMONITOREO


Proc

esos

de

TI y

sus

dom

inio

s

RECURSOSDE TI

• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y

ORGANIZACION



SOPORTE

MONITOREO

Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de InformaciónDeterminación de la dirección tecnológicaDefinición de la Organización y de las Relaciones de TIManejo de la Inversión en Tecnología de InformaciónComunicación de la dirección y aspiraciones de la gerenciaAdministración de Recursos HumanosAseguramiento del Cumplimiento de Requerimientos ExternosEvaluación de RiesgosAdministración de proyectosAdministración de Calidad

Identificación de SolucionesAdquisición y Mantenimiento de Software de AplicaciónAdquisición y Mantenimiento de Arquitectura de TecnologíaDesarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de InformaciónInstalación y Acreditación de SistemasAdministración de Cambios

Monitoreo del procesosObtención de aseguramiento independiente

Definición de Niveles de ServicioAdministración de Servicios prestados por TercerosAdministración de Desempeño y CapacidadAseguramiento de Servicio ContinuoGarantizar la Seguridad de SistemasIdentificación y Asignación de CostosEducación y Entrenamiento de UsuariosApoyo y Asistencia a los Clientes de Tecnología de InformaciónAdministración de la ConfiguraciónAdministración de Problemas e IncidentesAdministración de DatosAdministración de InstalacionesAdministración de Operaciones


El “Cubo” de El “Cubo” de COBICOBITT

Pro

ces

os

de

TI

pers

onas

Sis

tem

asT

ecno

logí

aIn

stal

acio

nes

Dat

os

Recursos d

e TI

Calidad

Cumplimiento

Segur

idad

Criterios de información

Dominios

Procesos

Actividades

Relaciones Relaciones vs vs componentcomponenteses


Estructura de COBITEstructura de COBIT

El control de

Que satisface

Es habilitado por

Considerando

Proceso de TI

Requerimiento de Negocio

Declaración de Control

Prácticas de control


Ayudas de NavegaciónAyudas de Navegación

Tres puntos de posición Ayudas de Navegación

Dominios de TI Recu

rsos

de

TI

Criterios de Información

Planeación y Organización

Adquisición e Implementación

Prestación de servicios y soporte

Monitoreope

rsona

sap

licacio

nes

tecno

logía

instal

acion

esda

tos

efec

tivida

d

efici

encia

conf

idenc

ialida

d

integ

ridad

dispo

nibilid

ad

cum

plim

iento

conf

iabilid

ad

SS PP


Como se relacionan Como se relacionan

Procesos de trabajoProcesos de trabajo

Recursos de TI

Recursos de TI Requerimientos

de negocioRequerimientos

de negocio

Datos Sistemas de

Información Tecnología Instalaciones Recursos

humanos

Planeación y organización

Adquisición e implementación

Prestación de servicios y soporte

Monitoreo

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de

la información


Dominios (procesos)

Req

ue

rimien

tos

Recursos

Da

tos

Sis

tem

as

de

in

form

aci

ón

Te

cno

log

ía

Inst

ala

cio

ne

s

pe

rso

na

s

Planeación y organización

Adquisición e implementación

Monitoreo

Prestación de servicio y soporte

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad de la información

El proceso de planeación debe

tomar en consideración los requerimientos de

integridad de datos


Recursos de TIRecursos de TI Datos: Incluye a los objetos de información en su sentido más amplio,

considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.

Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)

Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.

Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.

Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)

Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.


Procesos de TIProcesos de TI

Procesos Series de actividades unidas con cortes naturales de control.

Actividades o tareas

Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas.

DominiosAgrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional


DominiosDominios

Planeación y Organización - Planning and organization -

Adquisición e Implementación - Acquisition and implementation -

Prestación de Servicios y Soporte - Delivery and support -

Monitoreo - Monitoring -

Planeación y Organización - Planning and organization -

Adquisición e Implementación - Acquisition and implementation -

Prestación de Servicios y Soporte - Delivery and support -

Monitoreo - Monitoring -


ProcesosProcesos Planeación y Organización

Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad

Planeación y Organización Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad


ProcesosProcesos

Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos

relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios

Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos

relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios


ProcesosProcesos Prestación de Servicios y Soporte:

Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de

Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones

Prestación de Servicios y Soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de

Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones


ProcesosProcesos Monitoreo:

Monitorear el proceso Obtener aseguramiento independiente

Monitoreo: Monitorear el proceso Obtener aseguramiento independiente


Objetivos de controlObjetivos de control3. Prestación de servicio y soporte (dominio)

DS.2Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea).

3. Prestación de servicio y soporte (dominio)DS.2Administrar servicios de terceros (proceso)

2.3 Contratos con terceros (actividad o tarea).

Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”.


Objetivos de ControlObjetivos de Control Encadena los procesos a los Objetivos de Control

Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas

Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento

Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI

Encadena los procesos a los Objetivos de Control

Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas

Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento

Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI


Requerimientos de negocioRequerimientos de negocio Efectividad: Se refiere a que la información debe ser relevante

y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.

Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.

Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa

Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.

Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.

Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa


Requerimientos de negocio Requerimientos de negocio Disponibilidad: Se refiere a la accesibilidad a la información

cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.

Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa

Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.

Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.

Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa

Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.


Como se relacionan los elementosComo se relacionan los elementos

Procesos de trabajoProcesos de trabajo

Recursos de TI

Recursos de TI Requerimientos

de negocioRequerimientos

de negocio

Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos

controles no sean efectivos los requerimientos de

negocio se verán afectados


Documents

Derechos reservados Lucio Augusto Molina Focazzio 1 Cobit Un estándar Global en Tecnología de Información (TI) Cobit Un estándar Global en Tecnología