6. DEFINICIÓN
COBIT es un modelo de gestión y control de TI,
con el objetivo de consensuar:
•los riesgos del negocio
•las necesidades de control
•y los aspectos tecnológicos,
mediante la entrega de buenas prácticas aplicables
a una estructura lógica de procesos y actividades
7. “Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.”
MISIÓN
8. CARACTERÍSTICAS
Orientado al negocio
Alineado con estándares y regulaciones “de facto” (COSO,
IFAC, IIA, ISACA, AICPA)
Íntegro (basado en una revisión crítica y analítica de las tareas
y actividades en TI)
Flexible
9. Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Dependencia creciente del negocio frente a la
información
•La Tecnología soporta la cuasi totalidad de los
procesos del negocio
•Los desarrollos constantes en TI y en las prácticas
de negocio
•La responsabilidad por el uso de la tecnología se
extiende en la organización
•Los cambios más importantes se realizan pero igual
continúa la presión hacia el cambio
•Nivel de inversiones en tecnología
10. Razones que me llevan a considerar
implantar un modelo de gestión de TI
•Constante aumento de vulnerabilidades y un amplio
espectro de amenazas.
•Potencial de TI para efectuar cambios profundos en
las organizaciones, crear nuevas oportunidades de
negocios y reducir los costos
•Incremento de la necesidad de contar con un
modelo adecuado de gobernabilidad corporativa
(“corporate governance”)
•Nuevas normativas (Sarbanes-Oxley act,
comunicación 2003/179)
11. ¿Quién necesita un modelo de
gestión y control de TI ?
Gerentes
decisiones de inversión en TI
equilibrar riesgo y control de las inversiones
benchmark entre la situación de TI actual y la deseada
Usuarios
obtención de una seguridad adecuada sobre los
productos y servicios de TI que ellos adquieren,
internamente y externamente
Auditores
fundamentar las opiniones vertidas a la gerencia en
materia de control interno
aconsejar sobre los controles mínimos necesarios
13. COBIT 3ra EDICIÓN
Resumen
Ejecutivo
Marco Referencial-
Esquema Objetivos de
Alto Nivel
Lineamientos
Gerenciales
Objetivos de
Control
Detallados
Guías de
Auditoría
Modelos de
Madurez
Factores
Críticos
de Éxito
Indicadores
Clave de
Rendimiento
Indicadores
Clave de
Logros
Herramientas de
implementación
14. Executive Summary -- “Presentación del método”
Framework -- “Explicación del método”
Control Objectives -- “Controles mínimos”
Audit Guidelines -- “Como auditar”
Management Guidelines -- “Como medir la
performance”
Implementation Guide -- “Como implementar el
método”
ELEMENTOS
15. Resumen Ejecutivo
Documento dirigido a la alta gerencia
Presenta los antecedentes y la estructura
básica de COBIT.
Describe de manera general los procesos,
los recursos y los criterios de información,
los cuales conforman la “Columna
Vertebral” de COBIT.
16. Marco de Referencia
Incluye la introducción contenida en el
resumen ejecutivo
Presenta las guías de navegación para que
los lectores se orienten en la exploración del
material de COBIT.
Hace una presentación detallada de los 34
procesos contenidos en los cuatro
dominios.
17. Objetivos de Control
Integran en su contenido lo expuesto tanto
en el resumen ejecutivo como en el marco
de referencia
Presenta los objetivos de control detallados
para cada uno de los 34 procesos.
En total se describen 302 objetivos de
control (de 3 a 30 objetivos por cada uno de
los procesos)
18. Guías de Auditoría
Se hace una presentación del proceso de auditoría
generalmente aceptado (relevamiento de
información,evaluación de control, evaluación de
cumplimiento y evidenciación de los riesgos).
Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en
cuenta los 318 objetivos de control detallados.
19. Guías de Administración
Se enfoca de manera similar a los otros productos
Integra los principios del Balanced Businnes
Scorecard.
Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra los
conceptos de:
– Modelo de madurez CMM (prácticas de Control)
– Indicadores claves de Desempeño de los procesos de TI
– Factores Críticos de Éxito a tener en cuenta para
mentener bajo control los procesos de TI.
20. Herramientas de Implementación
Muestra algunas de las lecciones aprendidas
por aquellas organizaciones que han aplicado
CobiT
Incluye una guía de implementación con dos
herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
Respuestas a las 25 preguntas mas frecuentes
sobre CobiT
21. CD-ROM
El CD-ROM de CobiT contiene toda la
información relacionada con los objetivos
de Control y guías de Auditoría, facilitando.
su búsqueda y acceso.
Permite contar con las guías por objetivo de
control de una manera fácil y oportuna
cuando se están realizando labores de
auditoría.
23. PRINCIPIOS
El enfoque del control en TI se lleva a cabo
visualizando la información necesaria para
dar soporte a los procesos de negocio y
considerando a la información como el
resultado de la aplicación combinada de
recursos relacionados con las TI que deben
ser administrados por procesos de TI.
25. Requerimientos de la
Información para el Negocio
Requerimientos
de Calidad
Requerimientos
Financieros
(COSO)
Requerimientos
de Seguridad
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Calidad.
Costo.
Oportunidad.
Confidencialidad.
Integridad.
Disponibilidad.
26. Requerimientos de la
Información para el Negocio
EfectividadEfectividad: La información debe ser relevante y pertinente
para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
Eficiencia:Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
ConfidencialidadConfidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
Integridad:Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa.
27. Requerimientos de la
Información para el Negocio
DisponibilidadDisponibilidad: accesibilidad a la información cuando sea
requerida por los procesos del negocio y la salvaguarda de
los recursos y capacidades asociadas a los mismos.
CumplimientoCumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la empresa.
Confiabilidad:Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades de
los reportes financieros y de cumplimiento normativo.
28. DatosDatos: Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
Aplicaciones:Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
Tecnología:Tecnología:incluye hardware y software básico, sistemas
operativos, sistemas de administración de bases de datos, de
redes, telecomunicaciones, multimedia, etc.
Instalaciones:Instalaciones:Incluye los recursos necesarios para alojar y
dar soporte a los sistemas de información.
Recursos HumanosRecursos Humanos: Por la habilidad, conciencia y
productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de
Información.
RECURSOS DE TI
29. PROCESOS DE TI
“Los recursos de las Tecnologías de la
Información (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
información que la empresa necesita para
alcanzar sus objetivos”.
30. PROCESOS DE TI
Los procesos se agrupan en dominios:Los procesos se agrupan en dominios:
Planeación y OrganizaciónPlaneación y Organización (Planning and organization)
Adquisición e implementaciónAdquisición e implementación (Acquisition and
Implementation)
Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support)
SeguimientoSeguimiento (monitoring)
31. Procesos
Actividades
o tareas
Dominios
Agrupación natural de procesos, normalmente
corresponden a un dominio o una
responsabilidad organizacional
Conjuntos o series de actividades unidas con
delimitación o cortes de control.
Acciones requeridas para lograr un resultado
medible. Las actividades
tienen un ciclo de vida mientras que las tareas
son discretas.
PROCESOS DE TI
32. Adquisición e
Implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Planeación y
Organización
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
PROCESOS DE TI
33. Servicios y
Soporte
Definición del nivel de servicio
Administración del servicio de terceros
Administración de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
PROCESOS DE TI
37. Recursos de TI
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del
Negocio
Planeación y
Organización
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
Comunicación de la directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Adquisición e
Implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditoría independiente
Servicios y
Soporte
Definición del nivel de servicio
Admistración del servicio de terceros
Administración de la capacidad y el
desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
38. MARCO DE REFERENCIA
Procesos del
Negocio
Recursos de TI
Datos
Aplicaciones
Tecnología
Instalaciones
Recurso Humano
Información
Lo que usted
Obtiene
Lo que Usted
Necesita
Criterios
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
39. MARCO DE REFERENCIA
Prácticas
De Control
Objetivos
De control
Requerimientos
de negocios
Procesos de TI
El control de
que satisfacen
se habilitan por
Diagrama de cascada
40. ASISTENTE DE NAVEGACIÓN
personas
aplicaciones
tecnología
instalacionesdatos
Tres posiciones ventajosas
Criterios de
información
Procesos
de TI
Recursos
de TI
efectividad
eficiencia
Confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
S P
Declaraciones
de Control
Prácticas
de Control
e s habilitado po r las
co nside rando las
Procesos de TI
Elco nto lde lo s
Requerimientos
de Negocio
q ue satis face lo s
Planificación y
Organización
Adquisición e
Implementación
Entrega y
Soporte
Monitoreo
Vínculo entre Procesos,
Recursos y Criterios
41. El control sobre el proceso de:
administrar la seguridad de los
sistemas
Satisface los requerimientos del negocio:
salvaguardar información contra uso, difusión o modificaciones
no autorizadas, daño o pérdida
Considerando:
autorización, autenticación, uso de perfiles e
identificaciones, firewalls, detección y protección de
virus, manejo de incidentes, etc.
Es posible por:
controles de acceso lógico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido
a usuarios autorizados
Organización y
planeación
Adquisición e
implementación
Monitoreo
Entrega y
soporte
efectividadeficiencia
Confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
SSSPP
OBJETIVOS DE CONTROL DE ALTO
NIVEL: DS5
personas
aplicaciones
tecnología
instalacionesdatos
42. •Administrar Medidas de Seguridad
•Identificación, Autenticación y Acceso
•Seguridad de Acceso a Datos en Línea
•Administración de Cuentas de Usuario
•Revisión Gerencial de Cuentas de Usuario
•Control de Usuarios sobre Cuentas de
Usuario
•Vigilancia de Seguridad
•Clasificación de Datos
•Identificación y administración de
asignación de derechos
•Reportes de Violación y de Actividades de
Seguridad
•Manejo de Incidentes
•Reacreditación
•Confianza en Contrapartes
•Autorización de transacciones
•No negación
•Sendero Seguro
•Protección de funciones de seguridad
•Administración de Llaves Criptográficas
•Prevención, Detección y Corrección de
Software "Malicioso”
•Arquitectura de Fire Walls y conexión a
redes públicas
•Protección de Valores Electrónicos
Actividades de Control
44. Comparación de conceptos de ControlComparación de conceptos de Control
InternoInterno
CobiT 1996/1998
COSO 1992
SAC 1991/1994
SAS 55 - 1988
Definición de
Control Interno
Definición de Objetivos
de Control de T I
SAS 78 - 1995
Conceptos de
Control Interno
Conceptos de
Control Interno
enmienda
Contribuciones
al concepto de
Control Interno
45. Comparación de Conceptos de Control
COBIT SAC COSO SASs 55/78
Dirigido a: Administración, Usuarios, Auditores de
Sistemas Responsables de TI
Auditores Internos Administración Auditores Externos
El Control Interno es Visto
como
Conjunto de procesos incluyendo
políticas, procedimientos, prácticas y
estructura Organizacional
Conjunto de procesos,
subsistemas y personas
Procesos Procesos
Los Objetivos
Organizacionales de
Control Interno
Efectividad y Eficiencia de las
operaciones
Confidencialidad, Integridad y
disponibilidad de la información
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y normas
Efectividad y Eficiencia de
las operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Efectividad y Eficiencia de las
operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Efectividad y Eficiencia de las
operaciones
Confiabilidad en los reportes
financieros
Cumplimiento con leyes y
normas
Componentes o Dominios Dominios:
Planeación y Organización
Adquisición e implantación
Servicio y Soporte
Seguimiento
Componentes:
Ambiente de Control
Sistemas Manuales y
Automatizados.
Procedimientos de Control
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Componentes:
Ambiente de Control
Evaluación de Riesgo
Actividades de Control
Información y Comunicación
Seguimiento
Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros
Evaluación de la
Efectividad del Control I.
Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo
Responsable por el Control
Interno
Administración Administración Administración Administración
Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
47. COBIT DISPONIBILIZA MÚLTIPLES
ENFOQUES
La GerenciaLa Gerencia: para apoyar sus decisiones de inversión en TI y
control sobre el rendimiento de las mismas, analizar el costo
beneficio del control.
Los Usuarios FinalesLos Usuarios Finales: quienes obtienen una garantía sobre la
seguridad y el control de los productos que adquieren interna
y externamente
Los AuditoresLos Auditores : para soportar sus opiniones sobre los
controles de los proyectos de TI , su impacto en la
organización y determinar el control mínimo requerido.
Los Responsables de TILos Responsables de TI: para identificar los controles que
requieren en sus áreas
48. COBIT PERMITE
•Posibilidad de aplicar las prácticas en un amplio espectro de
sistemas de información, independientemente de la tecnología
empleada
•Cumplimiento de las generalmente aplicables y aceptadas
prácticas para el control de TI
•Aumentar el valor de la empresa
•Gestión orientada hacia el enfoque de dueños de procesos
•Alineación de objetivos de TI con objetivos del negocio
•Utilización eficiente y eficaz de los recursos de TI
49. COBIT NECESITA
•Concientización, capacitación y entrenamiento
•Adaptación a mi organización
•Ser complementada con otros modelos que me
permitan contar con un gobierno corporativo
adecuado
•Fijar roles y responsabilidades