Cobit

COBITCOBIT

Ing. Byron Yong YongIng. Byron Yong Yong

20052005

Reconocida como líder mundial en el gobierno, control y evaluación de TI.

PRESENTACIÓN INSTITUCIONAL

ÍNDICE

•INTRODUCCIÓN

•EL PRODUCTO COBIT

•PRESENTACIÓN DEL MÉTODO

•EXPLICACIÓN DEL MÉTODO

•CONCLUSIONES

ÍNDICE

•INTRODUCCIÓNINTRODUCCIÓN




•COMPARACIÓN CON OTROS MÉTODOS

•CONCLUSIONES

CControl

OBOBjectives

forIInformation

and Related TTechnology

(Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas)

DEFINICIÓN

DEFINICIÓN

COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar:

•los riesgos del negocio

•las necesidades de control

•y los aspectos tecnológicos,

mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades

“Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.”

MISIÓN

CARACTERÍSTICAS

Orientado al negocioAlineado con estándares y regulaciones “de facto” (COSO, IFAC, IIA, ISACA, AICPA)Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI)Flexible

Razones que me llevan a considerar implantar un modelo de gestión de TI

•Dependencia creciente del negocio frente a la información•La Tecnología soporta la cuasi totalidad de los procesos del negocio•Los desarrollos constantes en TI y en las prácticas de negocio•La responsabilidad por el uso de la tecnología se extiende en la organización•Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio•Nivel de inversiones en tecnología

Razones que me llevan a considerar implantar un modelo de gestión de TI

•Constante aumento de vulnerabilidades y un amplio espectro de amenazas.

•Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos

•Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”)

•Nuevas normativas (Sarbanes-Oxley act, comunicación 2003/179)

¿Quién necesita un modelo de gestión y control de TI ? Gerentes

decisiones de inversión en TIequilibrar riesgo y control de las inversionesbenchmark entre la situación de TI actual y la deseada

Usuariosobtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamente

Auditoresfundamentar las opiniones vertidas a la gerencia en materia de control internoaconsejar sobre los controles mínimos necesarios

ÍNDICE

•INTRODUCCIÓN

•EL PRODUCTO COBITEL PRODUCTO COBIT




•CONCLUSIONES

COBIT 3ra EDICIÓN

Resumen Ejecutivo

Marco Referencial-Esquema Objetivos de

Alto Nivel

Lineamientos Gerenciales

Objetivos de Control

Detallados

Guías de Auditoría

Modelos de Madurez

Factores Críticos de Éxito

Indicadores Clave de

Rendimiento

Indicadores Clave de Logros

Herramientas de implementación

Executive Summary -- “Presentación del método”Framework -- “Explicación del método”Control Objectives -- “Controles mínimos”Audit Guidelines -- “Como auditar”Management Guidelines -- “Como medir la performance”Implementation Guide -- “Como implementar el método”

ELEMENTOS

Resumen Ejecutivo

Documento dirigido a la alta gerenciaPresenta los antecedentes y la estructura

básica de COBIT.Describe de manera general los procesos,

los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.

Marco de Referencia

Incluye la introducción contenida en el resumen ejecutivo

Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT.

Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.

Objetivos de Control

Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia

Presenta los objetivos de control detallados para cada uno de los 34 procesos.

En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

Guías de Auditoría

Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos).

Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guías de Administración

Se enfoca de manera similar a los otros productos Integra los principios del Balanced Businnes

Scorecard. Para ayudar a determinar cuales son los adecuados

niveles de seguridad y control integra los conceptos de:– Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI– Factores Críticos de Éxito a tener en cuenta para

mentener bajo control los procesos de TI.

Herramientas de Implementación

Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT

Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI

Respuestas a las 25 preguntas mas frecuentes sobre CobiT

CD-ROM

El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso.

Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.

ÍNDICE

•INTRODUCCIÓN


•PRESENTACIÓN DEL MÉTODOPRESENTACIÓN DEL MÉTODO



•CONCLUSIONES

PRINCIPIOS

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

PRINCIPIOS

REQUERIMIENTOS DE INFORMACIÓN

DEL NEGOCIO

RECURSOSDE TI

PROCESOS DE TI

Requerimientos de la Información para el Negocio

Requerimientos de Calidad

Requerimientos Financieros

(COSO)

Requerimientos de Seguridad

Efectividad y eficiencia operacional.

Confiabilidad de los reportes financieros.

Cumplimiento de leyes y regulaciones.

Calidad.

Costo.

Oportunidad.

Confidencialidad.

Integridad.

Disponibilidad.


EfectividadEfectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia:Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica)ConfidencialidadConfidencialidad: Protección de la información sensitiva contra divulgación no autorizadaIntegridad:Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.


DisponibilidadDisponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.

CumplimientoCumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

Confiabilidad:Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.

DatosDatos: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc.Aplicaciones:Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.Tecnología:Tecnología:incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.Instalaciones:Instalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.Recursos HumanosRecursos Humanos: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

RECURSOS DE TI

PROCESOS DE TI

“Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

PROCESOS DE TI

Los procesos se agrupan en dominios:Los procesos se agrupan en dominios:

Planeación y OrganizaciónPlaneación y Organización (Planning and organization)Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation)Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support)SeguimientoSeguimiento (monitoring)

Procesos

Actividades o tareas

DominiosAgrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Conjuntos o series de actividades unidas con delimitación o cortes de control.

Acciones requeridas para lograr un resultado medible. Las actividadestienen un ciclo de vida mientras que las tareas son discretas.

PROCESOS DE TI

Adquisición eImplementación

Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios

Planeación y Organización

Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad

PROCESOS DE TI

Servicios y Soporte

Definición del nivel de servicioAdministración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones

Seguimiento

Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente

PROCESOS DE TI

INFORMACIÓN

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

EVENTOS

Objetivos de negocio

Oportunidades de negocio

Requerimientos externos

RegulaciónRiesgos

DatosApplicaciones

TecnologíaInstalaciones

Recursos Humanos

ESTRUCTURA

ÍNDICE

•INTRODUCCIÓN



•EXPLICACIÓN DEL MÉTODOEXPLICACIÓN DEL MÉTODO


•CONCLUSIONES

Vista de los

Usuarios

Pro

ces

os

TI Dominios

Procesos

Actividades

Relación entre loscomponentes

Da

tos

Ap

plic

aci

on

es

Te

cno

log

ía

Inst

ala

cio

ne

s

Re

cu

rso

Hu

ma

no

Recursos d

e TI

Calidad

Confiabilid

ad

Segurid

ad

Criterios de la Información (7)

Vista de la Gerencia de TI y especialistas

Vista de la Dirección

CUBO COBIT

Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

Cumplimiento, Confiabilidad

CobiT

Objetivos del Negocio


Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad


Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios

Seguimiento

Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente

Servicios y Soporte

Definición del nivel de servicioAdmistración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones

MARCO DE REFERENCIA

Procesos del Negocio

Recursos de TI

DatosAplicacionesTecnología

InstalacionesRecurso Humano

Información

Lo que usted Obtiene

Lo que Usted Necesita

Criterios

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

Concuerdan

MARCO DE REFERENCIA

Prácticas

De Control

ObjetivosDe control

Requerimientos

de negocios

Procesos de TI

El control de

que satisfacen

se habilitan por

Diagrama de cascada

ASISTENTE DE NAVEGACIÓN

pers

onas

aplic

acio

nes

tecn

olog

ía

inst

alac

ione

sda

tos

Tres posiciones ventajosas

Criterios de información

Procesosde TI

Recursosde TI

efec

tivi

dad

efic

ienc

ia

Conf

iden

cial

idad

inte

grid

ad

disp

onib

ilida

d

cum

plim

ient

o

conf

iabi

lidad

S P

Declaraciones de Control

Prácticas de Control

es habilitado por las

considerando las

Procesos de TI

El contol de los

Requerimientosde Negocio

que satisface los

Planificación yOrganización


Entrega ySoporte

Monitoreo

Vínculo entre Procesos, Recursos y Criterios

El control sobre el proceso de:

administrar la seguridad de los sistemas

Satisface los requerimientos del negocio:

salvaguardar información contra uso, difusión o modificaciones no autorizadas, daño o pérdida

Considerando:

autorización, autenticación, uso de perfiles e identificaciones, firewalls, detección y protección de

virus, manejo de incidentes, etc.

Es posible por:

controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido

a usuarios autorizados

Organización y planeación

Adquisición e implementación

Monitoreo

Entrega y soporte

efec

tivi

dad

efic

ienc

ia

Conf

iden

cial

idad

inte

grid

ad

disp

onib

ilida

d

cum

plim

ient

o

conf

iabi

lidad

SSSPP

OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5

pers

onas

aplic

acio

nes

tecn

olog

ía

inst

alac

ione

sda

tos

•Administrar Medidas de Seguridad

•Identificación, Autenticación y Acceso

•Seguridad de Acceso a Datos en Línea

•Administración de Cuentas de Usuario

•Revisión Gerencial de Cuentas de Usuario

•Control de Usuarios sobre Cuentas de Usuario

•Vigilancia de Seguridad

•Clasificación de Datos

•Identificación y administración de asignación de derechos

•Reportes de Violación y de Actividades de Seguridad

•Manejo de Incidentes

•Reacreditación

•Confianza en Contrapartes

•Autorización de transacciones

•No negación

•Sendero Seguro

•Protección de funciones de seguridad

•Administración de Llaves Criptográficas

•Prevención, Detección y Corrección de Software "Malicioso”

•Arquitectura de Fire Walls y conexión a redes públicas

•Protección de Valores Electrónicos

Actividades de Control

ÍNDICE

•INTRODUCCIÓN




•COMPARACIÓN CON OTROS MÉTODOSCOMPARACIÓN CON OTROS MÉTODOS

•CONCLUSIONES

Comparación de conceptos de Control Comparación de conceptos de Control InternoInterno

CobiT 1996/1998

COSO 1992SAC 1991/1994

SAS 55 - 1988

Definición deControl Interno

Definición de Objetivos de Control de T I

SAS 78 - 1995

Conceptos de Control Interno

Conceptos de Control Interno

enmienda

Contribucionesal concepto de Control Interno

Comparación de Conceptos de Control

COBIT SAC COSO SASs 55/78

Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI

Auditores Internos Administración Auditores Externos

El Control Interno es Visto como

Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional

Conjunto de procesos, subsistemas y personas

Procesos Procesos

Los Objetivos Organizacionales de Control Interno

Efectividad y Eficiencia de las operaciones

Confidencialidad, Integridad y disponibilidad de la información

Confiabilidad en los reportes financieros

Cumplimiento con leyes y normas










Componentes o Dominios Dominios:


Adquisición e implantación

Servicio y Soporte

Seguimiento

Componentes:

Ambiente de Control

Sistemas Manuales y Automatizados.

Procedimientos de Control

Componentes:

Ambiente de Control

Evaluación de Riesgo


Información y Comunicación

Seguimiento

Componentes:

Ambiente de Control

Evaluación de Riesgo


Información y Comunicación

Seguimiento

Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros

Evaluación de la Efectividad del Control I.

Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo

Responsable por el Control Interno

Administración Administración Administración Administración

Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos

ÍNDICE

•INTRODUCCIÓN





•CONCLUSIONESCONCLUSIONES

COBIT DISPONIBILIZA MÚLTIPLES ENFOQUES

La GerenciaLa Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.Los Usuarios FinalesLos Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamenteLos AuditoresLos Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.Los Responsables de TILos Responsables de TI: para identificar los controles que requieren en sus áreas

COBIT PERMITE•Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información, independientemente de la tecnología empleada

•Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI

•Aumentar el valor de la empresa

•Gestión orientada hacia el enfoque de dueños de procesos

•Alineación de objetivos de TI con objetivos del negocio

•Utilización eficiente y eficaz de los recursos de TI

•Gestión medible y auditable

COBIT NECESITA

•Concientización, capacitación y entrenamiento

•Adaptación a mi organización

•Ser complementada con otros modelos que me permitan contar con un gobierno corporativo adecuado

•Fijar roles y responsabilidades

PREGUNTAS

????

?

?

?

?

?

?

?

MUCHAS GRACIAS

WWW.ISACA.ORG

WWW.ISACA.ORG.UY

Cobit

Documents

Transcript of Cobit