Upload
japaricio2180
View
5.644
Download
0
Embed Size (px)
Citation preview
Asignación AdicionalAnálisis del Manual
COBIT 4.1
Presentado por:
Abrego Luis
Aparicio Jennifer
Denis David
Olmos Yadira
COBIT ¿Qué es?
COBIT: Objetivos de Control para la Informacion y Tecnologías Relacionadas
Son las mejores prácticas de la Industria en Seguridad y tecnologías de Información, condensadas en Objetivos de Control.
Fue creada por ISACA (Information System Audit and Control Association e IT Governance
Institute)
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI).
Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar.
Las organizaciones exitosas, sin embargo, también comprenden y administran los riesgos asociados con la
implementación de nuevas tecnologías.
La dependencia en la información
electrónica y en los sistemas de TI son
esenciales para soportar los procesos
críticos del negocio.
La administración de los riesgos relacionados
con TI está siendo entendido como un aspecto
clave en el gobierno o dirección empresarial
Gobierno de TI
(IT Governance) es un
término que representa
el sistema de
control o administración
que establece la
alta gerencia para asegurar
el logro de los
objetivos de la Organización.
COBIT Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.
Objetivos de Control• Los Objetivos de Control muestran una relación clara y
distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría.
• Los objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios.
• Los Objetivos de Control, aseguran que se
proporciona un sistema de control adecuado
para el ambiente de tecnología de
información.
Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.
Sumado con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: – Planeación y organización,– Adquisición e implementación, – Entrega (de servicio) y ,– Monitoreo.
Planeación y organización.
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio.
Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
Adquisición e implementación.Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Entrega y soporte.En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de
los datos por sistemas de aplicación,
frecuentemente clasificados como
controles de aplicación.
• Monitoreo.Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Control se define como:Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
Objetivo de control en TI se define como:Una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
El concepto fundamental de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio
A continuación los requerimientos para la Información - por COBIT:
• Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
• Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.
• Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada.
• Integridad. Se refiere a la precisión y
suficiencia de la información, así como a
su validez de acuerdo con los
valores y expectativas del negocio.
• Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
• Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.
• Confiabilidad. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuación:
• Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.
• Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.
• Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de
administración de bases de datos,
redes, multimedia, etc.
• Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
• Personal. Habilidades del personal, conocimiento,
conciencia y productividad para planear,organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
Específicamente Cobit provee Modelos de Madurez para el
control sobre los procesos de TI, de tal forma que la
administración pueda ubicarse en el punto donde la
organización está hoy, donde está en relación con los
“mejores de su clase” en su industria y
con los estándares internacionales
y así mismo determinar a donde
quiere llegar.
Modelos de Madurez
Para el control sobre los procesos TI consisten en el desarrollo de un método de puntaje que una organización puede graduar desde un no existente a un optimizado, es decir, de 0 a 5.
Contra estos niveles se desarrolló para cada uno de los 34 objetivos de procesos de Cobit la administración puede mapear:
• El estado actual de la organización – es decir donde la organización está hoy día.
• El estado actual de (los mejores en su clase) la industria – comparación
• El estado actual de los estándares internacionales – comparación adicional
• Y la estrategia de la organización
para mejorar – es decir,
donde la organización desea estar.
MODELO GENERICO DE MADUREZ
• 0 No-Existente. Falta completa de cualquier proceso reconocible. La organización no ha reconocido aún que hay un elemento a ser dirigido.
• 1 Inicial. No hay procesos estándares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado.
• 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitación formal o comunicación de procedimientos estándares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los
conocimientos individuales y por lo tanto,
los errores son probables.
• 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a través de capacitación. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones serán detectadas. Los procedimientos no son terminados pero formalizan las practicas existentes.
• 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando éstos no estén trabajando efectivamente. Los procesos están bajo constante mejoramiento y proveen de buenas practicas. La automatización y herramientas son utilizadas en forma limitada.
• 5 Optimizado. Los procesos se han refinado al nivel de mejores prácticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez.
La TI es usada como una forma integrada
para automatizar los flujos de trabajo,
entregando herramientas para mejorar
la calidad y la efectividad, permitiendo
a la empresa adaptarse.
FIN