Derechos reservados Lucio Augusto Molina Focazzio 1 Cobit Un estándar Global en Tecnología de Información (TI) Lucio Augusto Molina Focazzio Certified Information Systems Auditor, CISA
Derechos reservados Lucio Augusto Molina Focazzio 1
Cobit Un
estándar Global en Tecnología
de Información
(TI)
Cobit Un
estándar Global en Tecnología
de Información
(TI)Lucio Augusto Molina Focazzio
Certified Information Systems Auditor, CISA
Derechos reservados Lucio Augusto Molina Focazzio 2
AgendaAgenda IntroducciónProblemáticaCómo reducir el problema Cobit introducciónObjetivos de Control en los procesos de TIDirectrices Gerenciales Cómo utilizar Cobit Estrategias para la implementación de Cobit Conclusiones
IntroducciónProblemáticaCómo reducir el problema Cobit introducciónObjetivos de Control en los procesos de TIDirectrices Gerenciales Cómo utilizar Cobit Estrategias para la implementación de Cobit Conclusiones
Derechos reservados Lucio Augusto Molina Focazzio 3
AgendaAgenda IntroducciónProblemática
IntroducciónProblemática
Derechos reservados Lucio Augusto Molina Focazzio 4
Nuevo ambiente de negociosNuevo ambiente de negocios Competencia global sin proteccionismo Mayor poder de negociación de clientes y
proveedores Encarecimiento de recursos Demanda de valor agregado Exigencia de mayor velocidad en servicios Adelgazamiento de márgenes de utilidad Nuevas oportunidades de negocios internacionales
Competencia global sin proteccionismo Mayor poder de negociación de clientes y
proveedores Encarecimiento de recursos Demanda de valor agregado Exigencia de mayor velocidad en servicios Adelgazamiento de márgenes de utilidad Nuevas oportunidades de negocios internacionales
Derechos reservados Lucio Augusto Molina Focazzio 5
Competencia
Productividad
Costos
Tipos de cambio
Protección del patrimonioCrecimiento
Clientes
AcreedoresAccionistas
Utilidades
Nuevos mercados
Impuestos
Que hay en la mente de los Que hay en la mente de los directores......directores......
Proveedores
Derechos reservados Lucio Augusto Molina Focazzio 6
Respuesta de la administraciónRespuesta de la administración Aseguramiento de Calidad Reingeniería (orientación a procesos)
Mejoramiento enfocado Rediseño procesos Innovación
Administración del cambio cultural Medición del desempeño Costeo basado en actividades (ABC)
Aseguramiento de Calidad Reingeniería (orientación a procesos)
Mejoramiento enfocado Rediseño procesos Innovación
Administración del cambio cultural Medición del desempeño Costeo basado en actividades (ABC)
Derechos reservados Lucio Augusto Molina Focazzio 7
Espectativas de la GerenciaEspectativas de la Gerencia Right Sizing (Organizaciónes altamente competitivas)
Procesamiento Distribuido
Organizaciones aplanadas
Outsourcing
Right Sizing (Organizaciónes altamente competitivas)
Procesamiento Distribuido
Organizaciones aplanadas
Outsourcing
Derechos reservados Lucio Augusto Molina Focazzio 8
El rol de la tecnología de informaciónEl rol de la tecnología de información
Como habilitador de las mejoras derivadas de reingeniería
Por el valor de la información para las empresas Por el empleo competitivo de la tecnología de
información Como piedra angular en iniciativas de:
Incremento de velocidad en operaciones Incremento de la calidad del servicio Reducción de los costos de operación
Como habilitador de las mejoras derivadas de reingeniería
Por el valor de la información para las empresas Por el empleo competitivo de la tecnología de
información Como piedra angular en iniciativas de:
Incremento de velocidad en operaciones Incremento de la calidad del servicio Reducción de los costos de operación
Derechos reservados Lucio Augusto Molina Focazzio 9
Responsabilidades del área de TIResponsabilidades del área de TI
Salvaguarda de los activos
La información es el activo más valioso
Salvaguarda de los activos
La información es el activo más valioso
Derechos reservados Lucio Augusto Molina Focazzio 10
Una relación de dependenciaUna relación de dependenciaN
ivel
de
depe
nden
cia
Nivel de utilización de TI
A mayor utilización mayor dependencia en TI
y mayores riesgos…..
A mayor utilización mayor dependencia en TI
y mayores riesgos…..
RIESGOSRIESGOS
Derechos reservados Lucio Augusto Molina Focazzio 11
Cual es la realidadCual es la realidad
Expectativas de las EmpresasExpectativas de las Empresas
BRECHA
Niv
el
Tiempo
Capacidad de TI (resultados)
Capacidad de TI (resultados)
Derechos reservados Lucio Augusto Molina Focazzio 12
Los proyectos de TILos proyectos de TI Proyectos que no terminan a tiempo Proyectos que exceden su presupuesto Proyectos que nunca se concluyen Proyectos que se concluyen y nunca son utilizados Proyectos que no satisfacen las expectativas de los
usuarios Proyectos que son un prodigio tecnológico pero
nada que ver con las necesidades de negocio
Proyectos que no terminan a tiempo Proyectos que exceden su presupuesto Proyectos que nunca se concluyen Proyectos que se concluyen y nunca son utilizados Proyectos que no satisfacen las expectativas de los
usuarios Proyectos que son un prodigio tecnológico pero
nada que ver con las necesidades de negocio
Derechos reservados Lucio Augusto Molina Focazzio 13
Origen del ProblemaOrigen del Problema
PlaneaciónAnálisis
DiseñoProgramación
Mantenimiento0
20
40
60
80
100
Recursos dedicadosRecursos dedicados Impacto de erroresImpacto de errores
Derechos reservados Lucio Augusto Molina Focazzio 14
La efectividad de TILa efectividad de TI
Competencia
Entonces, ¿me dijo que la pantalla la quería con o sin
la ventanita de Windows?
YOYO
Derechos reservados Lucio Augusto Molina Focazzio 15
Insatisfacción con los Sistemas de Inf.Insatisfacción con los Sistemas de Inf.
A B C D0
10
20
30
40
50
60
70
80
90
A B C D
1998
1999
2000
A. Falta de acceso a información gerencialB. Dificultad para modificarseC. Falta de respuesta a nuevas necesidades de negocioD. Inconsistentes con nuevas tecnologías
71 77 84 65 66 84 67 73 82 36 52 71
Fuente:Encuesta anual 500 empresas.
%
Derechos reservados Lucio Augusto Molina Focazzio 16
AgendaAgenda IntroducciónProblemáticaCómo reducir el problema
IntroducciónProblemáticaCómo reducir el problema
Derechos reservados Lucio Augusto Molina Focazzio 17
Control internoControl interno
Es un conjunto de elementos de administración Incluye estructuras, procedimientos, políticas,
personas, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos
Es un conjunto de elementos de administración Incluye estructuras, procedimientos, políticas,
personas, etc. Apoya el logro de metas y objetivos de negocio Evita la ocurrencia de eventos negativos
Derechos reservados Lucio Augusto Molina Focazzio 18
Control InternoControl Interno Control InternoControl Interno
Conjunto de procesos, funciones, actividades, subsistemas y personas que se encuentran agrupados o segregados conscientemente para asegurar el logro efectivo de metas y objetivos.
Instituto Norteamericano de Auditores Internos
Conjunto de procesos, funciones, actividades, subsistemas y personas que se encuentran agrupados o segregados conscientemente para asegurar el logro efectivo de metas y objetivos.
Instituto Norteamericano de Auditores Internos
Derechos reservados Lucio Augusto Molina Focazzio 19
Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones; Confiabilidad de información financiera y Cumplimiento con leyes y regulaciones aplicables
Committee of Sponsoring Organizations of the Treadway Comission (COSO)
Proceso establecido por el Consejo de Dirección, la Administración y otro personal de una empresa, designado para proporcionar certeza razonable sobre el cumplimiento de objetivos en las siguientes categorías: Efectividad y eficiencia de las operaciones; Confiabilidad de información financiera y Cumplimiento con leyes y regulaciones aplicables
Committee of Sponsoring Organizations of the Treadway Comission (COSO)
Control InternoControl InternoControl InternoControl Interno
Derechos reservados Lucio Augusto Molina Focazzio 20
Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos.
ISACA –Governance, Control Objectives for Information and Related Technology (CobiT)
Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar una certeza razonable de que los objetivos de negocio serán alcanzados y que eventos indeseables serán prevenidos o detectados y corregidos.
ISACA –Governance, Control Objectives for Information and Related Technology (CobiT)
Control InternoControl InternoControl InternoControl Interno
ISACA: Information Systems Audit and Control Association
Derechos reservados Lucio Augusto Molina Focazzio 21
Es una sentencia de los resultados esperados o propósitos que se desea alcanzar mediante la implementación de controles y procedimientos en una actividad en particular.
ISACA -Control Objectives for Information and Related Technology (CobiT)
Es una sentencia de los resultados esperados o propósitos que se desea alcanzar mediante la implementación de controles y procedimientos en una actividad en particular.
ISACA -Control Objectives for Information and Related Technology (CobiT)
Objetivo de ControlObjetivo de ControlObjetivo de ControlObjetivo de Control
Derechos reservados Lucio Augusto Molina Focazzio 22
Apoyo a los objetivos de negocioApoyo a los objetivos de negocio
EMPRESAEMPRESA
Productos o Servicios
Productividad
Clientes
Impacto en la comunidadRH
Posicionamiento Competitivo
Imagen
Rentabilidad
Crecimiento InstitucionalCalidad
Derechos reservados Lucio Augusto Molina Focazzio 23
AgendaAgenda IntroducciónProblemáticaCómo reducir el problema Cobit introducción
IntroducciónProblemáticaCómo reducir el problema Cobit introducción
Derechos reservados Lucio Augusto Molina Focazzio 24
CCOBIOBITTCCOBIOBITTUn estándar globalUn estándar global
Derechos reservados Lucio Augusto Molina Focazzio 25
CCOBIOBITT … sus antecedentes … sus antecedentes La comunidad de profesionales relacionados con TI
mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés
La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia
ISACF Information Systems Audit and Control Foundation
La comunidad de profesionales relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés
La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia
ISACF Information Systems Audit and Control Foundation
Derechos reservados Lucio Augusto Molina Focazzio 26
CCOBIOBITT … sus antecedentes … sus antecedentes
Integra y concilia normas y reglamentaciones existentes Estándares técnicos de
ISO, EDIFACT Códigos de conducta
Consejo Europeo, OECD Criterios de calificación para sistemas y procesos
ITSEC, ISO 9000-3, TCSEC Estándares profesionales
COSO, GAO, IFAC, IIA, ISACA, AICPA, etc
Integra y concilia normas y reglamentaciones existentes Estándares técnicos de
ISO, EDIFACT Códigos de conducta
Consejo Europeo, OECD Criterios de calificación para sistemas y procesos
ITSEC, ISO 9000-3, TCSEC Estándares profesionales
COSO, GAO, IFAC, IIA, ISACA, AICPA, etc
Derechos reservados Lucio Augusto Molina Focazzio 27
CCOBIOBITT … sus antecedentes … sus antecedentes
Integra y concilia normas y reglamentaciones existentes Prácticas y requerimientos de la Industria
ESF-4 Requerimientos gubernamentales
IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias
E-banking, EDI, Comercio Electrónico
Integra y concilia normas y reglamentaciones existentes Prácticas y requerimientos de la Industria
ESF-4 Requerimientos gubernamentales
IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias
E-banking, EDI, Comercio Electrónico
Derechos reservados Lucio Augusto Molina Focazzio 28
CCOBIOBITT … su definición … su definición
C Control
OB OBjectives
I for Information
T and Related Technology
Derechos reservados Lucio Augusto Molina Focazzio 29
CCOBIOBITT … su definición … su definición
COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).
COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).
Derechos reservados Lucio Augusto Molina Focazzio 30
CCOBIOBITT … su definición … su definición
Ahora COBIT es:
Governance indica que el Cobit también incluye directrices gerenciales
Control and
Audit for
Information and
Related Technology
Ahora COBIT es:
Governance indica que el Cobit también incluye directrices gerenciales
Control and
Audit for
Information and
Related Technology
Derechos reservados Lucio Augusto Molina Focazzio 31
CCOBIOBITT … su misión … su misión
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.
Derechos reservados Lucio Augusto Molina Focazzio 32
CCOBIOBITT … sus usuarios … sus usuarios La alta gerencia puede fundamentar decisiones sobre
inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener una garantía
sobre la seguridad y el control de productos adquiridos en forma externa
Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa
Los responsables de TI pueden identificar los controles que requieren establecer en su área
La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas
Los usuarios de TI pueden obtener una garantía sobre la seguridad y el control de productos adquiridos en forma externa
Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa
Los responsables de TI pueden identificar los controles que requieren establecer en su área
Derechos reservados Lucio Augusto Molina Focazzio 33
CCOBIOBITT … sus características … sus características Orientación al negocio Alineación con estándares y regulaciones “de jure” y
“de facto” Basado en una revisión critica de tareas y actividades
en tecnología de información. Alineamiento con estándares de control y auditoría:
COSO, IFAC, IIA, ISACA, AICPA
Orientación al negocio Alineación con estándares y regulaciones “de jure” y
“de facto” Basado en una revisión critica de tareas y actividades
en tecnología de información. Alineamiento con estándares de control y auditoría:
COSO, IFAC, IIA, ISACA, AICPA
Derechos reservados Lucio Augusto Molina Focazzio 34
CCOBIOBITT … Marco referencial … Marco referencialOrientado a los controles
Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización
Utilizado por la Administración, los Auditores y los usuarios
Orientado a los controles
Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización
Utilizado por la Administración, los Auditores y los usuarios
Derechos reservados Lucio Augusto Molina Focazzio 35
CCOBIOBITT … los productos … los productos Resumen ejecutivo Para la Alta Gerencia
Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas
Objetivos de control Para la Gerencia media
Guías de auditoría Para los Auditores de Sistemas
Directrices Gereciales Para la alta Dirección
Resumen ejecutivo Para la Alta Gerencia
Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas
Objetivos de control Para la Gerencia media
Guías de auditoría Para los Auditores de Sistemas
Directrices Gereciales Para la alta Dirección
Derechos reservados Lucio Augusto Molina Focazzio 36
Resumen Ejecutivo
Resumen con Objetivos de Control de Alto Nivel
Factores Críticos de éxito
Indicadores clave de desempeño
Ind. clave por Objetivo
Herramientas de Implementación
Guías de Auditoría
Directrices Gerenciales
- Resumen Ejecutivo- Estudio de casos- FAQs- Presentaciones en Power point - Guías de Implementación + Diagnóstico de la Administración + Diagnóstico de Control en TI
Objetivos de Con- trol detallados
EstructuraCCOBIOBITTCCOBIOBITT
Derechos reservados Lucio Augusto Molina Focazzio 37
CCOBIOBITT … Resumen ejecutivo … Resumen ejecutivo
El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.
El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.
Derechos reservados Lucio Augusto Molina Focazzio 38
CCOBIOBITT … Marco referencial … Marco referencial
El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT.
El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.
El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT.
El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.
Derechos reservados Lucio Augusto Molina Focazzio 39
CCOBIOBITT … Objetivos de Control … Objetivos de Control
Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.
Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.
Derechos reservados Lucio Augusto Molina Focazzio 40
CCOBIOBITT … Guías de Auditoría … Guías de AuditoríaLas guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan
Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan
Derechos reservados Lucio Augusto Molina Focazzio 41
CCOBIOBITT … Directrices Gerenciales … Directrices GerencialesDirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:
¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?
¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?
Dirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:
¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?
¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?
Derechos reservados Lucio Augusto Molina Focazzio 42
La Gerencia necesita CLa Gerencia necesita COBIOBITT Tomar decisiones relacionadas con la inversión en TI
Balancear los riesgos y los controles de las inversiones en TI
Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro
Tomar decisiones relacionadas con la inversión en TI
Balancear los riesgos y los controles de las inversiones en TI
Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro
Derechos reservados Lucio Augusto Molina Focazzio 43
Los usuarios necesitan CLos usuarios necesitan COBIOBITT
Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.
Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.
Derechos reservados Lucio Augusto Molina Focazzio 44
Los Auditores necesitan CLos Auditores necesitan COBIOBITT
Soportar ante la Gerencia la opinión sobre los controles internos.
Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?
Soportar ante la Gerencia la opinión sobre los controles internos.
Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?
Derechos reservados Lucio Augusto Molina Focazzio 45
Principios de la InfraestructuraPrincipios de la Infraestructura
EVENTOS
• PERSONAS• OBJETOS
mensajeentrada
serviciosalida
INFORMACION
TECNOLOGIATECNOLOGIA
INSTALACIONESINSTALACIONES
PERSONASPERSONAS
Sistemas de AplicaciónSistemas de AplicaciónDatosDatos
Derechos reservados Lucio Augusto Molina Focazzio 46
Marco referencialMarco referencialPROCESOS
DE NEGOCIOPROCESOS
DE NEGOCIO
INFORMACIONINFORMACION
RECURSOS DE TIRECURSOS DE TI
• datos• sistemas de aplicación• tecnología• instalaciones• personas
• datos• sistemas de aplicación• tecnología• instalaciones• personas
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
CriteriosCriterios
¿ Concuerdan ?
Derechos reservados Lucio Augusto Molina Focazzio 47
En re
sum
en …
..PROCESOS
DE NEGOCIOPROCESOS
DE NEGOCIO
INFORMACIONINFORMACION
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
Criterios
COBITCOBIT
RECURSOSDE TI
RECURSOSDE TI
• datos• sistemas de aplicación• tecnología• instalaciones• personas
• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y
ORGANIZACIONPLANEACON Y ORGANIZACION
ADQUISICION EIMPLEMENTACION
ADQUISICION EIMPLEMENTACION
PRESTACION DE SERVICIOS Y
SOPORTE
PRESTACION DE SERVICIOS Y
SOPORTE
MONITOREOMONITOREO
Derechos reservados Lucio Augusto Molina Focazzio 48
Proc
esos
de
TI y
sus
dom
inio
s
RECURSOSDE TI
• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y
ORGANIZACION
ADQUISICION EIMPLEMENTACION
PRESTACION DE SERVICIOS Y
SOPORTE
MONITOREO
Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de InformaciónDeterminación de la dirección tecnológicaDefinición de la Organización y de las Relaciones de TIManejo de la Inversión en Tecnología de InformaciónComunicación de la dirección y aspiraciones de la gerenciaAdministración de Recursos HumanosAseguramiento del Cumplimiento de Requerimientos ExternosEvaluación de RiesgosAdministración de proyectosAdministración de Calidad
Identificación de SolucionesAdquisición y Mantenimiento de Software de AplicaciónAdquisición y Mantenimiento de Arquitectura de TecnologíaDesarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de InformaciónInstalación y Acreditación de SistemasAdministración de Cambios
Monitoreo del procesosObtención de aseguramiento independiente
Definición de Niveles de ServicioAdministración de Servicios prestados por TercerosAdministración de Desempeño y CapacidadAseguramiento de Servicio ContinuoGarantizar la Seguridad de SistemasIdentificación y Asignación de CostosEducación y Entrenamiento de UsuariosApoyo y Asistencia a los Clientes de Tecnología de InformaciónAdministración de la ConfiguraciónAdministración de Problemas e IncidentesAdministración de DatosAdministración de InstalacionesAdministración de Operaciones
Derechos reservados Lucio Augusto Molina Focazzio 49
El “Cubo” de El “Cubo” de COBICOBITT
Pro
ces
os
de
TI
pers
onas
Sis
tem
asT
ecno
logí
aIn
stal
acio
nes
Dat
os
Recursos d
e TI
Calidad
Cumplimiento
Segur
idad
Criterios de información
Dominios
Procesos
Actividades
Relaciones Relaciones vs vs componentcomponenteses
Derechos reservados Lucio Augusto Molina Focazzio 50
Estructura de COBITEstructura de COBIT
El control de
Que satisface
Es habilitado por
Considerando
Proceso de TI
Requerimiento de Negocio
Declaración de Control
Prácticas de control
Derechos reservados Lucio Augusto Molina Focazzio 51
Ayudas de NavegaciónAyudas de Navegación
Tres puntos de posición Ayudas de Navegación
Dominios de TI Recu
rsos
de
TI
Criterios de Información
Planeación y Organización
Adquisición e Implementación
Prestación de servicios y soporte
Monitoreope
rsona
sap
licacio
nes
tecno
logía
instal
acion
esda
tos
efec
tivida
d
efici
encia
conf
idenc
ialida
d
integ
ridad
dispo
nibilid
ad
cum
plim
iento
conf
iabilid
ad
SS PP
Derechos reservados Lucio Augusto Molina Focazzio 52
Como se relacionan Como se relacionan
Procesos de trabajoProcesos de trabajo
Recursos de TI
Recursos de TI Requerimientos
de negocioRequerimientos
de negocio
Datos Sistemas de
Información Tecnología Instalaciones Recursos
humanos
Planeación y organización
Adquisición e implementación
Prestación de servicios y soporte
Monitoreo
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de
la información
Derechos reservados Lucio Augusto Molina Focazzio 53
Dominios (procesos)
Req
ue
rimien
tos
Recursos
Da
tos
Sis
tem
as
de
in
form
aci
ón
Te
cno
log
ía
Inst
ala
cio
ne
s
pe
rso
na
s
Planeación y organización
Adquisición e implementación
Monitoreo
Prestación de servicio y soporte
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad de la información
El proceso de planeación debe
tomar en consideración los requerimientos de
integridad de datos
Derechos reservados Lucio Augusto Molina Focazzio 54
Recursos de TIRecursos de TI Datos: Incluye a los objetos de información en su sentido más amplio,
considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.
Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)
Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.
Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.
Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)
Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.
Derechos reservados Lucio Augusto Molina Focazzio 55
Procesos de TIProcesos de TI
Procesos Series de actividades unidas con cortes naturales de control.
Actividades o tareas
Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas.
DominiosAgrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional
Derechos reservados Lucio Augusto Molina Focazzio 56
DominiosDominios
Planeación y Organización - Planning and organization -
Adquisición e Implementación - Acquisition and implementation -
Prestación de Servicios y Soporte - Delivery and support -
Monitoreo - Monitoring -
Planeación y Organización - Planning and organization -
Adquisición e Implementación - Acquisition and implementation -
Prestación de Servicios y Soporte - Delivery and support -
Monitoreo - Monitoring -
Derechos reservados Lucio Augusto Molina Focazzio 57
ProcesosProcesos Planeación y Organización
Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad
Planeación y Organización Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad
Derechos reservados Lucio Augusto Molina Focazzio 58
ProcesosProcesos
Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos
relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios
Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos
relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios
Derechos reservados Lucio Augusto Molina Focazzio 59
ProcesosProcesos Prestación de Servicios y Soporte:
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de
Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
Prestación de Servicios y Soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de
Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
Derechos reservados Lucio Augusto Molina Focazzio 60
ProcesosProcesos Monitoreo:
Monitorear el proceso Obtener aseguramiento independiente
Monitoreo: Monitorear el proceso Obtener aseguramiento independiente
Derechos reservados Lucio Augusto Molina Focazzio 61
Objetivos de controlObjetivos de control3. Prestación de servicio y soporte (dominio)
DS.2Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea).
3. Prestación de servicio y soporte (dominio)DS.2Administrar servicios de terceros (proceso)
2.3 Contratos con terceros (actividad o tarea).
Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”.
Derechos reservados Lucio Augusto Molina Focazzio 62
Objetivos de ControlObjetivos de Control Encadena los procesos a los Objetivos de Control
Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas
Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento
Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI
Encadena los procesos a los Objetivos de Control
Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas
Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento
Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI
Derechos reservados Lucio Augusto Molina Focazzio 63
Requerimientos de negocioRequerimientos de negocio Efectividad: Se refiere a que la información debe ser relevante
y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.
Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.
Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa
Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.
Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.
Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa
Derechos reservados Lucio Augusto Molina Focazzio 64
Requerimientos de negocio Requerimientos de negocio Disponibilidad: Se refiere a la accesibilidad a la información
cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.
Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa
Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.
Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.
Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa
Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.
Derechos reservados Lucio Augusto Molina Focazzio 65
Como se relacionan los elementosComo se relacionan los elementos
Procesos de trabajoProcesos de trabajo
Recursos de TI
Recursos de TI Requerimientos
de negocioRequerimientos
de negocio
Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos
controles no sean efectivos los requerimientos de
negocio se verán afectados
Derechos reservados Lucio Augusto Molina Focazzio 66