Derechos reservados Lucio Augusto Molina Focazzio 1 C OBI T Un estándar global.

Derechos reservados Lucio Augusto Molina Focazzio 1

CCOBIOBITTCCOBIOBITTUn estándar globalUn estándar global


CCOBIOBITT … sus antecedentes … sus antecedentes La comunidad de profesionales relacionados con

TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés

La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia

ISACF Information Systems Audit and Control Foundation

La comunidad de profesionales relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés

La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia

ISACF Information Systems Audit and Control Foundation


CCOBIOBITT … sus antecedentes … sus antecedentesIntegra y concilia normas y reglamentaciones

existentes Estándares técnicos de

ISO, EDIFACT Códigos de conducta

Consejo Europeo, OECD Criterios de calificación para sistemas y procesos

ITSEC, ISO 9000-3, TCSEC Estándares profesionales

COSO, GAO, IFAC, IIA, ISACA, AICPA, etc

Integra y concilia normas y reglamentaciones existentes

Estándares técnicos de ISO, EDIFACT

Códigos de conducta Consejo Europeo, OECD

Criterios de calificación para sistemas y procesos ITSEC, ISO 9000-3, TCSEC

Estándares profesionales COSO, GAO, IFAC, IIA, ISACA, AICPA, etc


CCOBIOBITT … sus antecedentes … sus antecedentesIntegra y concilia normas y reglamentaciones

existentes Prácticas y requerimientos de la Industria

ESF-4 Requerimientos gubernamentales

IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias

E-banking, EDI, Comercio Electrónico

Integra y concilia normas y reglamentaciones existentes

Prácticas y requerimientos de la Industria ESF-4

Requerimientos gubernamentales IBAG, NIST, DTI

Requerimientos específicos de nuevas tendencias E-banking, EDI, Comercio Electrónico


CCOBIOBITT … su definición … su definición

C Control

OB OBjectives

I for Information

T and Related Technology


CCOBIOBITT … su definición … su definiciónCOBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).

COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas).


CCOBIOBITT … su definición … su definiciónAhora COBIT es:

Governance indica que el Cobit también incluye directrices gerenciales

Control and

Audit for

Information and

Related Technology

Ahora COBIT es:

Governance indica que el Cobit también incluye directrices gerenciales

Control and

Audit for

Information and

Related Technology


CCOBIOBITT … su misión … su misiónInvestigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.

Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.


CCOBIOBITT … sus usuarios … sus usuarios La alta gerencia puede fundamentar decisiones

sobre inversiones en TI y el rendimiento de las mismas

Los usuarios de TI pueden obtener una garantía sobre la seguridad y el control de productos adquiridos en forma externa

Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa

Los responsables de TI pueden identificar los controles que requieren establecer en su área

La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas

Los usuarios de TI pueden obtener una garantía sobre la seguridad y el control de productos adquiridos en forma externa

Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa

Los responsables de TI pueden identificar los controles que requieren establecer en su área


CCOBIOBITT … sus características … sus características Orientación al negocio Alineación con estándares y regulaciones “de

jure” y “de facto” Basado en una revisión critica de tareas y

actividades en tecnología de información. Alineamiento con estándares de control y

auditoría: COSO, IFAC, IIA, ISACA, AICPA

Orientación al negocio Alineación con estándares y regulaciones “de

jure” y “de facto” Basado en una revisión critica de tareas y

actividades en tecnología de información. Alineamiento con estándares de control y

auditoría: COSO, IFAC, IIA, ISACA, AICPA


CCOBIOBITT … Marco referencial … Marco referencialOrientado a los controles

Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización

Utilizado por la Administración, los Auditores y los usuarios

Orientado a los controles

Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización

Utilizado por la Administración, los Auditores y los usuarios


CCOBIOBITT … los productos … los productos Resumen ejecutivo Para la Alta Gerencia

Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas

Objetivos de control Para la Gerencia media

Guías de auditoría Para los Auditores de Sistemas

Directrices Gereciales Para la alta Dirección

Resumen ejecutivo Para la Alta Gerencia

Marco referencial (framework) Para los gerentes de Sistemas y Auditores de Sistemas

Objetivos de control Para la Gerencia media

Guías de auditoría Para los Auditores de Sistemas

Directrices Gereciales Para la alta Dirección


Resumen Ejecutivo

Resumen con Objetivos de Control de Alto Nivel

Factores Críticos de éxito

Indicadores clave de desempeño

Ind. clave por Objetivo

Herramientas de Implementación

Guías de Auditoría

Directrices Gerenciales

- Resumen Ejecutivo- Estudio de casos- FAQs- Presentaciones en Power point - Guías de Implementación + Diagnóstico de la Administración + Diagnóstico de Control en TI

Objetivos de Con- trol detallados

EstructuraCCOBIOBITTCCOBIOBITT


CCOBIOBITT … Resumen ejecutivo … Resumen ejecutivoEl resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.

El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT.


CCOBIOBITT … Marco referencial … Marco referencialEl marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.

El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios.


CCOBIOBITT … Objetivos de Control … Objetivos de ControlLos objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.

Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel.


CCOBIOBITT … Guías de Auditoría … Guías de AuditoríaLas guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan

Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de controlOtras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan


CCOBIOBITT … Directrices Gerenciales … Directrices GerencialesDirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:

¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?

¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?

Dirigidas a la Alta gerenciaGenéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:

¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio?

¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar?


La Gerencia necesita CLa Gerencia necesita COBIOBITT Tomar decisiones relacionadas con la inversión en TI

Balancear los riesgos y los controles de las inversiones en TI

Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro

Tomar decisiones relacionadas con la inversión en TI

Balancear los riesgos y los controles de las inversiones en TI

Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro


Los usuarios necesitan CLos usuarios necesitan COBIOBITT

Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.

Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente.


Los Auditores necesitan CLos Auditores necesitan COBIOBITT

Soportar ante la Gerencia la opinión sobre los controles internos.

Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?

Soportar ante la Gerencia la opinión sobre los controles internos.

Preguntarse y responder: ¿cuáles son los controles mínimos necesarios?


Principios de la InfraestructuraPrincipios de la Infraestructura

EVENTOS

• PERSONAS• OBJETOS

mensajeentrada

serviciosalida

INFORMACION

TECNOLOGIATECNOLOGIA

INSTALACIONESINSTALACIONES

PERSONASPERSONAS

Sistemas de AplicaciónSistemas de AplicaciónDatosDatos


Marco referencialMarco referencialPROCESOS

DE NEGOCIOPROCESOS

DE NEGOCIO

INFORMACIONINFORMACION

RECURSOS DE TIRECURSOS DE TI

• datos• sistemas de aplicación• tecnología• instalaciones• personas


• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad


CriteriosCriterios

¿ Concuerdan ?


En re

sum

en …

..PROCESOS

DE NEGOCIOPROCESOS

DE NEGOCIO

INFORMACIONINFORMACION



Criterios

COBITCOBIT

RECURSOSDE TI

RECURSOSDE TI


• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y

ORGANIZACIONPLANEACON Y ORGANIZACION

ADQUISICION EIMPLEMENTACION


PRESTACION DE SERVICIOS Y

SOPORTE


SOPORTE

MONITOREOMONITOREO


Proc

esos

de

TI y

sus

dom

inio

s

RECURSOSDE TI

• datos• sistemas de aplicación• tecnología• instalaciones• personas PLANEACON Y

ORGANIZACION



SOPORTE

MONITOREO

Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de InformaciónDeterminación de la dirección tecnológicaDefinición de la Organización y de las Relaciones de TIManejo de la Inversión en Tecnología de InformaciónComunicación de la dirección y aspiraciones de la gerenciaAdministración de Recursos HumanosAseguramiento del Cumplimiento de Requerimientos ExternosEvaluación de RiesgosAdministración de proyectosAdministración de Calidad

Identificación de SolucionesAdquisición y Mantenimiento de Software de AplicaciónAdquisición y Mantenimiento de Arquitectura de TecnologíaDesarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de InformaciónInstalación y Acreditación de SistemasAdministración de Cambios

Monitoreo del procesosObtención de aseguramiento independiente

Definición de Niveles de ServicioAdministración de Servicios prestados por TercerosAdministración de Desempeño y CapacidadAseguramiento de Servicio ContinuoGarantizar la Seguridad de SistemasIdentificación y Asignación de CostosEducación y Entrenamiento de UsuariosApoyo y Asistencia a los Clientes de Tecnología de InformaciónAdministración de la ConfiguraciónAdministración de Problemas e IncidentesAdministración de DatosAdministración de InstalacionesAdministración de Operaciones


El “Cubo” de El “Cubo” de COBICOBITT

Pro

ces

os

de

TI

pers

onas

Sis

tem

asT

ecno

logí

aIn

stal

acio

nes

Dat

os

Recursos d

e TI

Calidad

Cumplimiento

Segur

idad

Criterios de información

Dominios

Procesos

Actividades

Relaciones Relaciones vs vs componentcomponenteses


Estructura de COBITEstructura de COBIT

El control de

Que satisface

Es habilitado por

Considerando

Proceso de TI

Requerimiento de Negocio

Declaración de Control

Prácticas de control


Ayudas de Ayudas de NavegaciónNavegación

Tres puntos de posición Ayudas de Navegación

Dominios de TI Recu

rsos

de

TI

Criterios de Información

Planeación y Organización

Adquisición e Implementación

Prestación de servicios y soporte

Monitoreope

rsona

sap

licacio

nes

tecno

logía

instal

acion

esda

tos

efec

tivida

d

efici

encia

conf

idenc

ialida

d

integ

ridad

dispo

nibilid

ad

cum

plim

iento

conf

iabilid

ad

SS PP


Como se relacionan Como se relacionan

Procesos de trabajoProcesos de trabajo

Recursos de TI

Recursos de TI Requerimientos

de negocioRequerimientos

de negocio

Datos Sistemas de

Información Tecnología Instalaciones Recursos

humanos

Planeación y organización

Adquisición e implementación

Prestación de servicios y soporte

Monitoreo

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de

la información


Dominios (procesos)

Req

ue

rimien

tos

Recursos

Da

tos

Sis

tem

as

de

in

form

aci

ón

Te

cno

log

ía

Inst

ala

cio

ne

s

pe

rso

na

s

Planeación y organización

Adquisición e implementación

Monitoreo

Prestación de servicio y soporte

Efectividad

Eficiencia

Confidencialidad

Integridad

Disponibilidad

Cumplimiento

Confiabilidad de la información

El proceso de planeación debe

tomar en consideración los requerimientos de

integridad de datos


Recursos de TIRecursos de TI Datos: Incluye a los objetos de información en su sentido más amplio,

considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.

Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)

Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.

Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc.

Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología)

Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información.


Procesos de TIProcesos de TI

Procesos Series de actividades unidas con cortes naturales de control.

Actividades o tareas

Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas.

DominiosAgrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional


DominiosDominios

Planeación y Organización - Planning and organization -

Adquisición e Implementación - Acquisition and implementation -

Prestación de Servicios y Soporte - Delivery and support -

Monitoreo - Monitoring -

Planeación y Organización - Planning and organization -

Adquisición e Implementación - Acquisition and implementation -

Prestación de Servicios y Soporte - Delivery and support -

Monitoreo - Monitoring -


ProcesosProcesos Planeación y Organización

Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad

Planeación y Organización Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad


ProcesosProcesos Adquisición e Implementación:

Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos

relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios

Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos

relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios


ProcesosProcesos Prestación de Servicios y Soporte:

Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de

Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones

Prestación de Servicios y Soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de

Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones


ProcesosProcesos Monitoreo:

Monitorear el proceso Obtener aseguramiento independiente

Monitoreo: Monitorear el proceso Obtener aseguramiento independiente


Objetivos de controlObjetivos de control3. Prestación de servicio y soporte (dominio)

DS.2Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea).

3. Prestación de servicio y soporte (dominio)DS.2Administrar servicios de terceros (proceso)

2.3 Contratos con terceros (actividad o tarea).

Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”.


Objetivos de ControlObjetivos de Control Encadena los procesos a los Objetivos de Control

Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas

Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento

Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI

Encadena los procesos a los Objetivos de Control

Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas

Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento

Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI


Requerimientos de negocioRequerimientos de negocio Efectividad: Se refiere a que la información debe ser

relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.

Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.

Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa

Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos.

Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada.

Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa


Requerimientos de negocio Requerimientos de negocio Disponibilidad: Se refiere a la accesibilidad a la

información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.

Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa

Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.

Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos.

Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa

Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas.


Como se relacionan los Como se relacionan los elementoselementos

Procesos de trabajoProcesos de trabajo

Recursos de TI

Recursos de TI Requerimientos

de negocioRequerimientos

de negocio

Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos

controles no sean efectivos los requerimientos de

negocio se verán afectados

Derechos reservados Lucio Augusto Molina Focazzio 1 C OBI T Un estándar global.

Documents

Transcript of Derechos reservados Lucio Augusto Molina Focazzio 1 C OBI T Un estándar global.