ESTANDAR COBIT-

Ing. Gina Paola Maestre G.

Control Objectives for Information and

related Technology- COBIT

Estándar COBIT

Que es COBIT?

Herramienta innovadora para el gobierno o

administración de TI que ayuda a la gerencia a

comprender y administrar los riesgos

asociados con la tecnología de información.

Estándar generalmente aplicable y aceptado

para la práctica del control de TI

Misión CoBIT

Investigar, desarrollar, publicar y promover un

conjunto de objetivos de control en TI, con

autoridad, actualizados, de carácter

internacional y aceptados generalmente para

el uso cotidiano de gerentes de empresas y

auditores.

Usuarios

Usuario Propósito

Administración Busca contribuir en la realización de balances entre las

inversiones de control y los riesgos presentados en relación

con las TI

Usuarios Con el fin de garantizar la seguridad y la utilización de

controles en los servicios de TI presentados por la

organización

Auditores de

Sistemas

Brinda soporte de los juicios dados a la administración sobre

los controles establecidos

Recursos de TI

Datos Incluye objetos de información en su sentido más amplio, considerando

información interna y externa, estructurada y no estructurada, grafica,

sonidos , etc.

Aplicaciones Se entiende como los sistemas de información que integran tanto

procedimientos manuales como automatizados

Tecnología Incluye hardware, sistemas operativos, sistemas administradores de

BD, de redes y telecomunicaciones

Instalaciones Recursos necesarios para alojar y dar soporte a los Sistemas de Inf.

Personal Conocimiento, habilidades conciencia y productividad del personal para

planear adquirir, prestar servicios, proporcionar soporte y monitorear

sistemas y servicios de información.

Requerimientos de Información

Requerimiento Definición

Efectividad Se refiere a que la información sea relevante y pertinente

para el proceso del negocio, así como cumplir con una

entrega correcta y consistente

Eficiencia Proveer información mediante el empleo óptimo (la forma

más productiva y económica)

Confidencialidad Protección dada a la información sensible de divulgacion

no autorizada

Integridad La información debe ser exacta y completa , así como su

validez de acuerdo a las expectativas de la empresa

Requerimientos de Información

Requerimiento Definición

Disponibilidad La información debe estar disponible cuando es requerida

y la protección de los recursos y capacidades asociadas

Cumplimiento Cumplimiento de las leyes, regulaciones, compromisos

contractuales a los que esta sujeto la empresa

Confiablidad Sistemas de información que proveen la información

adecuada para uso operativo y para ejercer las

responsabilidades de reportes financieros y cumplimiento

Control:

Objetivo de Control: definición del resultado

o propósito que se desea alcanzar

implementando procedimientos de control

específicos dentro de una actividad de TI.

Modelo Cobit

Gráficos en pantalla panorámica

Cobit define

34 objetivos

de control

teniendo en

cuenta 3

niveles:

Dominios

Procesos

Actividades

Agrupamiento natural de

procesos, frecuentemente reunidos en

dominios de responsabilidad en una

estructura organizacional

Una serie de actividades reunidas en

puntos naturales de control

Acciones necesarias para lograr un

resultado cuantificable. Las

actividades tienen un ciclo de vida,

mientras que las tareas son

discretas.

Dominios

CUBO COBIT

PLANEAR Y ORGANIZAR (PO)

• ¿Están alineadas las estrategias de

TI y del negocio?

• ¿La empresa está alcanzando un

uso óptimo de sus recursos?

• ¿Entienden todas las personas

dentro de la organización los

objetivos de TI?

• ¿Se entienden y administran los

riesgos de TI?

• ¿Es apropiada la calidad de los

sistemas de TI para las necesidades

del negocio?

Este dominio cubre las estrategias ylas tácticas, y tiene que ver conidentificar la manera en que TIpuede contribuir de la mejormanera al logro de los objetivosdel negocio.

Además, la realización de la visiónestratégica requiere serplaneada, comunicada yadministrada desde diferentesperspectivas. Finalmente, sedebe implementar una estructuraorganizacional y una estructuratecnológica apropiada

PO1 Definir un Plan Estratégico de TI

PO2 Definir la Arquitectura de la Información

PO3 Determinar la Dirección Tecnológica

PO4 Definir los Procesos, Organización y Relaciones de TI

PO5 Administrar la Inversión en TI

PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

PO7 Administrar Recursos Humanos de TI

PO8 Administrar la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

PO10 Administrar Proyectos

ADQUIRIR E IMPLEMENTAR

(AI)

• ¿Es probable que los nuevos

proyectos generan soluciones que

satisfagan las necesidades del

negocio?

• ¿Es probable que los nuevos

proyectos sean entregados a tiempo

y dentro del presupuesto?

• ¿Trabajarán adecuadamente los

nuevos sistemas una vez sean

implementados?

• ¿Los cambios no afectarán a las

operaciones actuales del negocio?

Para llevar a cabo laestrategia de TI, lassoluciones de TI necesitan seridentificadas, desarrolladas oadquiridas así comoimplementadas e integradasen los procesos del negocio.Además, el cambio y elmantenimiento de lossistemas existentes estácubierto por este dominio paragarantizar que las solucionessigan satisfaciendo losobjetivos del negocio

ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software aplicativo

AI3 Adquirir y mantener infraestructura tecnológica

AI4 Facilitar la operación y el uso

AI5 Adquirir recursos de TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

ENTREGAR Y DAR SOPORTE

(DS)

• ¿Se están entregando los servicios

de TI de acuerdo con las prioridades

del negocio?

• ¿Están optimizados los costos de

TI?

• ¿Es capaz la fuerza de trabajo de

utilizar los sistemas de TI de manera

productiva y segura?

• ¿Están implantadas de forma

adecuada la confidencialidad, la

integridad y la disponibilidad?

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio

DS2 Administrar los servicios de terceros

DS3 Administrar el desempeño y la capacidad

DS4 Garantizar la continuidad del servicio

DS5 Garantizar la seguridad de los sistemas

DS6 Identificar y asignar costos

DS7 Educar y entrenar a los usuarios

DS8 Administrar la mesa de servicio y los incidentes

DS9 Administrar la configuración

DS10 Administrar los problemas

DS11 Administrar los datos

DS12 Administrar el ambiente físico

DS13 Administrar las operaciones

MONITOREAR Y EVALUAR

(ME)

• ¿Se mide el desempeño de TI para

detectar los problemas antes de que

sea demasiado tarde?

• ¿La Gerencia garantiza que los

controles internos son efectivos y

eficientes?

• ¿Puede vincularse el desempeño

de lo que TI ha realizado con las

metas del negocio?

• ¿Se miden y reportan los

riesgos, el control, el cumplimiento y

el desempeño?

Todos los procesos de TIdeben evaluarse de formaregular en el tiempo encuanto a su calidad ycumplimiento de losrequerimientos de control.

Este dominio abarca laadministración deldesempeño, el monitoreodel control interno, elcumplimiento regulatorio yla aplicación del gobierno.

MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeño

de TI

ME2 Monitorear y Evaluar el Control

Interno

ME3 Garantizar el Cumplimiento

Regulatorio

ME4 Proporcionar Gobierno de TI