02 COBIT Foundations.pptx

COBIT Foundations
Introduction – Part I
Miguel Medina
ma_medina@hotmail.com

• COBIT es un marco de trabajo para la industria que
describe un conjunto de métodos para la gestión,
control y aseguramiento de TI, organizados en un
esquema lógico compuesto por 34 procesos TI.
• Conceptos Clave:
– Metas Corporativas / Metas TI
– Criterios de Información
– Procesos TI
– Recursos TI
COBIT Definición
© 2012 ISACA. All rights reserved. 2

• El título corresponde a las siglas en idioma inglés
“Control Objectives for Information and related
Technology”(Objetivos de Control para Informática
y otras Tecnologías relacionadas).
• Se centra en el “qué” y no en el “cómo”
• Constituye un esquema de gobierno y control así
como un repositorio de conocimientos para los
procesos TI y su gestión.
• Se trata mas bien de una herramienta práctica de
control que de un “estándar definitivo”.
COBIT Definición

COBIT Evolución
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/7
2000
1998
Evolution
of
scope
1996 2012
Val IT 2.0
(2008)
Risk IT
(2009)
a un Marco de Gobierno de las TI
De una herramienta de auditoría…

Areas de Gobierno TIC

COBIT Principios
Dirección y Control: Encargado de Ejecución y Responsible de las Actividades

COBIT Interesados
Cualquier individuo que posea una responsabilidad en TI o
espera algo de la función de TI de la empresa es un
interesado(stakeholder) de la iniciativa de Gobierno de TI.

COBIT Alcance

Características de un Esquema de Control:
• Centrado en la Actividad Comercial
• Orientado a Procesos
• Cuenta con Aceptación General
• Utiliza un Lenguaje Común
• Facilita la Conformidad Legal
COBIT Esquema

Beneficios del Gobierno de TI:
• Confianza de la Alta Gerencia
• Capacidad de Respuesta de TI frente a la
Actividad Comercial
• Incremento del Retorno de Inversión
• Servicios más Confiables
• Mayor Transparencia
COBIT Beneficios

Gobierno TI vs Gestión TI
Gobierno TI:
Crear una estructura
con la que se pueda
gestionar
efectivamente.
Gestión TI:
Tomar decisiones
operativas

COBIT Premisas
COBIT ofrece estructura y directrices para la
implementación de Gobierno de TI
El esquema COBIT se basa sobre la premisa de que TI
debe entregar la información requerida por la empresa para
alcanzar sus objetivos.

COBIT Principios
Conectar las expectativas y las responsabilidades de
la gestión de TI con el objetivo de facilitar su
Gobierno

COBIT Componentes
• La organización depende de información y datos confiables y
oportunos.
• COBIT ofrece un esquema integral para la entrega de valor TI que
toma en cuenta la gestión de riesgo y control sobre datos e
información.

COBIT Componentes

• Para satisfacer objetivos empresariales, la
información debe ajustarse a ciertos criterios
llamados requerimientos empresariales.
• COBIT combina los principios considerados
en modelos de referencia conocidos:
– Requerimientos de Calidad
– Requerimientos Fiduciarios
– Requerimientos de Seguridad
Criterios de Información

Requerimientos de Información

• Información: datos manejados por sistemas
de información.
• Aplicaciones: sistemas automatizados y
procedimientos manuales para el tratamiento
de la información.
• Infraestructura: tecnología e instalaciones
• Personas: personal requerido para planificar,
organizar, adquirir, implementar, entregar,
dar soporte, monitorizar y evaluar los
servicios y sistemas de información.
Recursos de TI

Los procesosTI están clasificados en cuatro
dominios:
• Planificar y Organizar (PO)
• Adquirir e Implantar (AI)
• Entregar y Dar Soporte (DS)
• Monitorizar y Evaluar (ME)
COBIT Dominios

• COBIT 4.1 define un total de 34 procesos
estándar.
• Los procesos están compuestos de
actividades(ciclos de vida) y/o
tareas(discretas).
• La entrega de información se verifica a
través de objetivos de control.
COBIT Actividades

COBIT satisface los requerimientos de un
esquema de control para el Gobierno de TI
• Brindando una visión más nítida de la actividad comercial
de la empresa.
• Garantizando una gestión orientada a procesos.
• Contando con aceptación general entre organizaciones.
• Definiendo un leguaje común.
• Asistiendo a alcanzar los requerimientos legales y
regulatorios.
COBIT Marco de Control

Las directrices de gestión ofrecen un vínculo esencial
entre el Control y el Gobierno de TI.
• Entradas y Salidas (interrelaciones entre los Procesos TI)
• Tareas y Responsabilidades (Diagramas RACI)
• Metas...
– Empresariales
– TI
– Procesos
– Actividades y Tareas
• Métricas
• Modelos de Madurez
Herramientas de Gestión

• Las entradas de un proceso identifican los
elementos necesarios (y el origen de los mismos)
para su realización.
• Las salidas identifican los resultados esperados y
a qué proceso deben ser entregados.
COBIT Entradas y Salidas

COBIT define para cada proceso un diagrama RACI en el que
se identifican las relaciones entre funciones y
responsabilidades para las actividades del proceso.
RACI proviene de:
• Responsible (Encargado)
• Accountable (Responsable)
• Consulted (Consultado)
• Informed (Informado)
COBIT Diagramas RACI

Métricas KGIs y KPIs
(KGIs): Key Goal Indicators - Indicadores Clave de Metas
(KPIs): Key Performance Indicators - Indicadores Clave de
Rendimiento

Modelos de Madurez
Método de tasación para evaluar el grado
de madurez de un proceso TI específico

Comparación
Madurez promedio del proceso
DS01–Definir y gestionar niveles de servicio.
Comparación (Benchmark) de COBIT Online www.itgi.org)

COBIT Resumen

COBIT y otros Estándares

COBIT Foundations

COBIT Foundations
Introduction – Part II

• Recientes escándalos corporativos.
• Globalización creciente del comercio.
• Uso generalizado de TI, redes e Internet
Han aumentado la presión regulatoria sobre los Comités
Directivos en la implantación de controles efectivos y la
publicación de informes financieros (balances).
En Estados Unidos (2002), por ejemplo, se introdujo la
ley Sabarnes-Oxley(SOX) para recuperar la confianza
pública en los mercados de capital incrementando la
responsabilidad de la Gerencia Ejecutiva respecto a los
accionistas.
Requerimientos Legales

COBIT está diseñado para ser utilizado por tres
tipos de audiencia:
• Gerencia– como ayuda para balancear riesgos y
controlar la inversión de TI en un entorno
generalmente impredecible.
• Usuarios– para obtener garantía de seguridad y
controles sobre los servicios TI ofrecidos por
terceros.
• Auditores– como esquema que les asiste al formar
una opinión del nivel de garantía de un tema
particular que se esté auditando y/u ofrecer consejo
acerca de los controles internos.
COBIT Audiencia

Esquema de COBIT

COBIT Áreas Clave
• Entregar información necesaria para apoyar los
objetivos y requerimientos empresariales.
• Procesar la información utilizando los recursos de TI
gestionados a través de procesos de TI.

COBIT Modelo de Procesos

PO - Planificar y Organizar
• Objetivo: Identificar formas en las que TI
puede contribuir a lograr los objetivos
empresariales. Se centra en garantizar una
organización y gobierno apropiados.
• Alcance:
– Estrategia y Táctica
– Visión Planificada
– Organización e Infraestructura
COBIT Dominio PO

AI - Adquirir e Implementar
• Objetivo: Identificar soluciones TI, adquirir
y/o desarrollar, implementar e integrar
soluciones TI a los procesos empresariales.
Gestionar aplicación de cambios y
mantenimiento de los sistemas.
• Alcance:
– Soluciones TI
– Cambios y Mantenimiento
COBIT Dominio AI

DS - Entregar y Dar Soporte
• Objetivo: Proveer los servicios requeridos y
diseñar los procesos de soporte necesarios.
• Alcance:
– Entrega de servicios requeridos
– Implantación de procesos de apoyo
COBIT Dominio DS

ME - Monitorizar y Evaluar
• Objetivo: Evaluar regularmente la calidad y
conformidad de los procesos TI con
requerimientos de control y manejar una
visión general de los procesos de control de
la organización.
• Alcance:
– Evaluación regular/Aseguramiento de la Entrega
– Visión general del Sistema de Control
– Medición del Rendimiento
COBIT Dominio ME

• PO1 – Definir un plan estratégico de TI.
• PO2 – Definir la arquitectura de la información.
• PO3 – Determinar la dirección tecnológica.
• PO4 – Definir los procesos, organización y relaciones de TI.
• PO5 – Administrar la inversión en TI.
• PO6 – Comunicar las aspiraciones y la dirección de la
gerencia.
• PO7 – Administrar recursos humanos de TI.
• PO8 – Administrar la calidad.
• PO9 – Evaluar y administrar los riesgos de TI.
• PO10 – Administrar proyectos.
Planificar y Organizar

• AI1 – Identificar soluciones automatizadas.
• AI2 – Adquirir y mantener software aplicativo.
• AI3 – Adquirir y mantener infraestructura tecnológica.
• AI4 – Facilitar la operación y el uso.
• AI5 – Adquirir recursos de TI.
• AI6 – Administrar cambios
• AI7 – Instalar y acreditar soluciones y cambios.
Adquirir e Implementar

• DS1 – Definir y administrar los niveles de servicio.
• DS2 – Administrar los servicios de terceros.
• DS3 – Administrar el desempeño y la capacidad.
• DS4 – Garantizar la continuidad del servicio.
• DS5 – Garantizar la seguridad de los sistemas.
• DS6 – Identificar y asignar costos.
• DS7 – Educar y entrenar a los usuarios.
• DS8 – Administrar el Service Desk y los incidentes.
• DS9 – Administrar la configuración.
• DS10 – Administrar problemas.
• DS11 – Administrar los datos.
• DS12 – Administrar el ambiente físico.
• DS13 – Administrar las operaciones.
Entregar y Dar Soporte

• ME1 – Monitorizar y evaluar el desempeño de TI.
• ME2 – Monitorizar y evaluar el control interno.
• ME3 – Garantizar el cumplimiento regulatorio.
• ME4 – Proporcionar gobierno de TI.
Monitorizar y Evaluar

COBIT Recursos TI
• Información se refiere a los datos
(en todos sus formatos)
manejados por los sistemas de
información.
• Aplicaciones son sistemas de
usuario automatizados y
procedimientos manuales que
procesan la información.
• Infraestructura incluye la
tecnología e instalaciones que
facilitan el procesamiento por
parte de las aplicaciones.
• Personas se refiere al personal
requerido para planificar,
organizar, adquirir, implementar,
entregar, dar soporte, monitorizar
y evaluar los sistemas de
información y servicios.

Recursos y Servicios TI

Requerimientos Información

Requerimientos de Calidad

Requerimientos Seguridad

Requerimientos Fiduciarios

• Efectividad: la información debe ser relevante y pertinente
a los procesos empresariales; y debe proporcionarse de
manera oportuna, correcta, consistente y utilizable.
• Eficiencia: debe generarse a través del uso óptimo de los
recursos necesarios.
• Confidencialidad: la información “sensible” debe
protegerse de su revelación no autorizada.
• Integridad: la información debe ser precisa y completa;
también debe ser válida según los valores y expectativas
empresariales.

• Disponibilidad: la información debe estar accesible en todo
momento para el proceso empresarial. Involucra la
protección de recursos y capacidades asociadas.
• Conformidad: debe acatar las disposiciones de leyes,
reglamentos y acuerdos contractuales.
• Confiabilidad: la información debe ser obtenida
apropiadamente para garantizar su fidelidad.

• Control: conjunto de políticas, procedimientos, prácticas y
estructuras organizativas diseñadas para ofrecer garantía
razonable de que se alcanzarán los objetivos
empresariales y que los eventos indeseados serán
prevenidos o detectados y corregidos.
• Objetivo de Control TI: afirmación del resultado deseado o
propósito a alcanzar implantando procedimientos de control
en cierta actividad específica.
Objetivos de Control

Diagrama de Cascada

Guia de Aseguramiento
• Proporciona una guía de
cómo utilizar COBIT para
soportar una variedad de
actividades de
aseguramiento junto con
los pasos de prueba
sugeridos para todos los
procesos de TI y
objetivos de control.
• Ayuda al auditor a definir
controles.

Pasos para Aseguramiento

COBIT Quick Start
• Descripción: es una
versión reducida de
CobiT.
• Audiencia: medianas y
pequeñas empresas.
• Contiene: 59 Objetivos
de Control detallados
Es una herramienta simple para
gestores de TI de organizaciones
no tan grandes que orienta la
implantación de los objetivos de
control TI críticos.

• http://www.isaca.org/cobitonline
• Representa un repositorio de información
acerca de COBIT en Internet.
• Permite que los usuarios naveguen,
busquen, compartan y utilicen la base de
datos de conocimiento.
• Presenta áreas exclusivas para los
asociados.
COBIT Online

• Descarga de archivos PDF.
• Comparación (Benchmark).
• Cuestionarios de evaluación.
• Foros, blogs (comunidad) para compartir
ideas con otros usuarios.
COBIT Recursos

COBIT Foundations

02 COBIT Foundations.pptx

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a 02 COBIT Foundations.pptx

Semelhante a 02 COBIT Foundations.pptx (20)

Mais de EngineerMBA1

Mais de EngineerMBA1 (8)

Último

Último (13)

02 COBIT Foundations.pptx