SlideShare une entreprise Scribd logo

Cobit

Télécharger en tant que PPT, PDF
Iván Sanchez Vera
Iván Sanchez Vera
1  sur  51
COBITCOBIT Ing. Byron Yong YongIng. Byron Yong Yong 20052005
Reconocida como líder mundial en el gobierno, control y evaluación de TI. PRESENTACIÓN INSTITUCIONAL
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •CONCLUSIONES
ÍNDICE •INTRODUCCIÓNINTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
CControl OBOBjectives forIInformation and Related TTechnology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas) DEFINICIÓN
DEFINICIÓN COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: •los riesgos del negocio •las necesidades de control •y los aspectos tecnológicos, mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades
“Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.” MISIÓN
CARACTERÍSTICAS Orientado al negocio Alineado con estándares y regulaciones “de facto” (COSO, IFAC, IIA, ISACA, AICPA) Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI) Flexible
Razones que me llevan a considerar implantar un modelo de gestión de TI •Dependencia creciente del negocio frente a la información •La Tecnología soporta la cuasi totalidad de los procesos del negocio •Los desarrollos constantes en TI y en las prácticas de negocio •La responsabilidad por el uso de la tecnología se extiende en la organización •Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio •Nivel de inversiones en tecnología
Razones que me llevan a considerar implantar un modelo de gestión de TI •Constante aumento de vulnerabilidades y un amplio espectro de amenazas. •Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos •Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”) •Nuevas normativas (Sarbanes-Oxley act, comunicación 2003/179)
¿Quién necesita un modelo de gestión y control de TI ? Gerentes decisiones de inversión en TI equilibrar riesgo y control de las inversiones benchmark entre la situación de TI actual y la deseada Usuarios obtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamente Auditores fundamentar las opiniones vertidas a la gerencia en materia de control interno aconsejar sobre los controles mínimos necesarios
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBITEL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
COBIT 3ra EDICIÓN Resumen Ejecutivo Marco Referencial- Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Modelos de Madurez Factores Críticos de Éxito Indicadores Clave de Rendimiento Indicadores Clave de Logros Herramientas de implementación
Executive Summary -- “Presentación del método” Framework -- “Explicación del método” Control Objectives -- “Controles mínimos” Audit Guidelines -- “Como auditar” Management Guidelines -- “Como medir la performance” Implementation Guide -- “Como implementar el método” ELEMENTOS
Resumen Ejecutivo Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura básica de COBIT. Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
Marco de Referencia Incluye la introducción contenida en el resumen ejecutivo Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
Guías de Auditoría  Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos).  Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
Guías de Administración  Se enfoca de manera similar a los otros productos  Integra los principios del Balanced Businnes Scorecard.  Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: – Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI – Factores Críticos de Éxito a tener en cuenta para mentener bajo control los procesos de TI.
Herramientas de Implementación Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI Respuestas a las 25 preguntas mas frecuentes sobre CobiT
CD-ROM El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso. Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODOPRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
PRINCIPIOS El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
PRINCIPIOS REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI
Requerimientos de la Información para el Negocio Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad. Costo. Oportunidad. Confidencialidad. Integridad. Disponibilidad.
Requerimientos de la Información para el Negocio EfectividadEfectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia:Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) ConfidencialidadConfidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad:Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
Requerimientos de la Información para el Negocio DisponibilidadDisponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. CumplimientoCumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad:Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
DatosDatos: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones:Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología:Tecnología:incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones:Instalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recursos HumanosRecursos Humanos: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. RECURSOS DE TI
PROCESOS DE TI “Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.
PROCESOS DE TI Los procesos se agrupan en dominios:Los procesos se agrupan en dominios: Planeación y OrganizaciónPlaneación y Organización (Planning and organization) Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation) Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support) SeguimientoSeguimiento (monitoring)
Procesos Actividades o tareas Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. PROCESOS DE TI
Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad PROCESOS DE TI
Servicios y Soporte Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente PROCESOS DE TI
INFORMACIÓN Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos Datos Applicaciones Tecnología Instalaciones Recursos Humanos ESTRUCTURA
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODOEXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
Vista de los Usuarios ProcesosTI Dominios Procesos Actividades Relación entre los componentes Datos Applicaciones Tecnología Instalaciones RecursoHumano Recursos de TI Calidad Confiabilidad Seguridad Criterios de la Información (7) Vista de la Gerencia de TI y especialistas Vista de la Dirección CUBO COBIT
Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente Servicios y Soporte Definición del nivel de servicio Admistración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones
MARCO DE REFERENCIA Procesos del Negocio Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Información Lo que usted Obtiene Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan
MARCO DE REFERENCIA Prácticas De Control Objetivos De control Requerimientos de negocios Procesos de TI El control de que satisfacen se habilitan por Diagrama de cascada
ASISTENTE DE NAVEGACIÓN personas aplicaciones tecnología instalacionesdatos Tres posiciones ventajosas Criterios de información Procesos de TI Recursos de TI efectividad eficiencia Confidencialidad integridad disponibilidad cumplimiento confiabilidad S P Declaraciones de Control Prácticas de Control e s habilitado po r las co nside rando las Procesos de TI Elco nto lde lo s Requerimientos de Negocio q ue satis face lo s Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo Vínculo entre Procesos, Recursos y Criterios
El control sobre el proceso de: administrar la seguridad de los sistemas Satisface los requerimientos del negocio: salvaguardar información contra uso, difusión o modificaciones no autorizadas, daño o pérdida Considerando: autorización, autenticación, uso de perfiles e identificaciones, firewalls, detección y protección de virus, manejo de incidentes, etc. Es posible por: controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizados Organización y planeación Adquisición e implementación Monitoreo Entrega y soporte efectividadeficiencia Confidencialidad integridad disponibilidad cumplimiento confiabilidad SSSPP OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5 personas aplicaciones tecnología instalacionesdatos
•Administrar Medidas de Seguridad •Identificación, Autenticación y Acceso •Seguridad de Acceso a Datos en Línea •Administración de Cuentas de Usuario •Revisión Gerencial de Cuentas de Usuario •Control de Usuarios sobre Cuentas de Usuario •Vigilancia de Seguridad •Clasificación de Datos •Identificación y administración de asignación de derechos •Reportes de Violación y de Actividades de Seguridad •Manejo de Incidentes •Reacreditación •Confianza en Contrapartes •Autorización de transacciones •No negación •Sendero Seguro •Protección de funciones de seguridad •Administración de Llaves Criptográficas •Prevención, Detección y Corrección de Software "Malicioso” •Arquitectura de Fire Walls y conexión a redes públicas •Protección de Valores Electrónicos Actividades de Control
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOSCOMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
Comparación de conceptos de ControlComparación de conceptos de Control InternoInterno CobiT 1996/1998 COSO 1992 SAC 1991/1994 SAS 55 - 1988 Definición de Control Interno Definición de Objetivos de Control de T I SAS 78 - 1995 Conceptos de Control Interno Conceptos de Control Interno enmienda Contribuciones al concepto de Control Interno
Comparación de Conceptos de Control COBIT SAC COSO SASs 55/78 Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI Auditores Internos Administración Auditores Externos El Control Interno es Visto como Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional Conjunto de procesos, subsistemas y personas Procesos Procesos Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la información Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeación y Organización Adquisición e implantación Servicio y Soporte Seguimiento Componentes: Ambiente de Control Sistemas Manuales y Automatizados. Procedimientos de Control Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros Evaluación de la Efectividad del Control I. Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo Responsable por el Control Interno Administración Administración Administración Administración Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONESCONCLUSIONES
COBIT DISPONIBILIZA MÚLTIPLES ENFOQUES La GerenciaLa Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios FinalesLos Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente Los AuditoresLos Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TILos Responsables de TI: para identificar los controles que requieren en sus áreas
COBIT PERMITE •Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información, independientemente de la tecnología empleada •Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI •Aumentar el valor de la empresa •Gestión orientada hacia el enfoque de dueños de procesos •Alineación de objetivos de TI con objetivos del negocio •Utilización eficiente y eficaz de los recursos de TI
COBIT NECESITA •Concientización, capacitación y entrenamiento •Adaptación a mi organización •Ser complementada con otros modelos que me permitan contar con un gobierno corporativo adecuado •Fijar roles y responsabilidades
PREGUNTAS ? ??? ? ? ? ? ? ? ?
MUCHAS GRACIAS WWW.ISACA.ORG WWW.ISACA.ORG.UY

Recommandé

COBIT
COBITCOBIT
COBIT90706050
 
Cobit
CobitCobit
Cobitnikifitz
 
Cobit
CobitCobit
Cobitjesumayen
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobittorres_0110
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Cobit
CobitCobit
CobitLUIS ALBERTO GONZAGA CORTEZ
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Qué es cobit
Qué es cobitQué es cobit
Qué es cobitevapalomamartinez
 

Recommandé

COBIT
COBITCOBIT
COBIT90706050
 
Cobit
CobitCobit
Cobitnikifitz
 
Cobit
CobitCobit
Cobitjesumayen
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobittorres_0110
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Cobit
CobitCobit
CobitLUIS ALBERTO GONZAGA CORTEZ
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Qué es cobit
Qué es cobitQué es cobit
Qué es cobitevapalomamartinez
 
Cobit
CobitCobit
CobitMary Bautista
 
Cobit
CobitCobit
Cobityudiariascruz
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las ticfelipe rebolledo barriga
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Cobit
CobitCobit
CobitKarencientis
 
Cobit
CobitCobit
Cobitsiammese
 
Procesos Cobit 4
Procesos Cobit 4Procesos Cobit 4
Procesos Cobit 4UNAM Facultad de Contaduría, Administración e Informática
 
Cobit4
Cobit4Cobit4
Cobit4Israel Rey
 
CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoRoberto Soriano Domenech
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacioncarlosskovar
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBITjaparicio2180
 
Cobit ppt
Cobit pptCobit ppt
Cobit pptAlexander Velasque Rimac
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y OrganizarPUCE
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especialabueladelniaka28
 
Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobitjulioandres55
 
Cobit
Cobit Cobit
Cobit Miguel Suarez
 
Cobit
CobitCobit
CobitIsaacutfv
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 

Contenu connexe

Tendances

C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacioncarlosskovar
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y OrganizarPUCE
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1RMVTITO
 

Tendances (20)

Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las tic
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Procesos Cobit 4
Procesos Cobit 4Procesos Cobit 4
Procesos Cobit 4
 
Cobit4
Cobit4Cobit4
Cobit4
 
CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De Gobierno
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacion
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y Organizar
 
Cobit asignacion especial
Cobit asignacion especialCobit asignacion especial
Cobit asignacion especial
 
Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobit
 
Cobit
Cobit Cobit
Cobit
 
Cobit
CobitCobit
Cobit
 
COBIT 4.1
COBIT 4.1COBIT 4.1
COBIT 4.1
 

Similaire à Cobit

COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1RMVTITO
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSANTOS400018
 
F:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItF:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItTECNOLOGIA DE INFORMACION
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe cosoArmando Pomaire
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitJackieHee27
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicionoliviachurme
 
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptx
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptxCOBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptx
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptxmoisesmtzbackend1998
 
Cobit 4
Cobit 4Cobit 4
Cobit 4Martha
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 

Similaire à Cobit (20)

COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
 
Cobit 4.1
Cobit 4.1Cobit 4.1
Cobit 4.1
 
AudInf-COBIT.ppt
AudInf-COBIT.pptAudInf-COBIT.ppt
AudInf-COBIT.ppt
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
 
Cobit
CobitCobit
Cobit
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
COBIT
COBITCOBIT
COBIT
 
F:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De ItF:\Tecnologia De La Informacion\Gobernanza De It
F:\Tecnologia De La Informacion\Gobernanza De It
 
Cobit
CobitCobit
Cobit
 
Grupo 2.pptx
Grupo 2.pptxGrupo 2.pptx
Grupo 2.pptx
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Estándares cobit e informe coso
Estándares cobit e informe cosoEstándares cobit e informe coso
Estándares cobit e informe coso
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
 
Tema de exposicion
Tema de exposicionTema de exposicion
Tema de exposicion
 
Cobit
CobitCobit
Cobit
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptx
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptxCOBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptx
COBIT 4 MOISES MARTINEZ FLORES FDE GESTION.pptx
 
Cobit mals
Cobit malsCobit mals
Cobit mals
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0
 

Plus de Iván Sanchez Vera

Intro Inteligencia Artificial (AI)
Intro Inteligencia Artificial (AI)Intro Inteligencia Artificial (AI)
Intro Inteligencia Artificial (AI)Iván Sanchez Vera
 
Trajectory clustering - Traclus Algorithm
Trajectory clustering - Traclus AlgorithmTrajectory clustering - Traclus Algorithm
Trajectory clustering - Traclus AlgorithmIván Sanchez Vera
 
Social databases - A brief overview
Social databases - A brief overviewSocial databases - A brief overview
Social databases - A brief overviewIván Sanchez Vera
 
(Draft) Nuevos caminos de innovación en tecnología
(Draft) Nuevos caminos de innovación en tecnología(Draft) Nuevos caminos de innovación en tecnología
(Draft) Nuevos caminos de innovación en tecnologíaIván Sanchez Vera
 
Pin payments presentation final (4)
Pin payments presentation final (4)Pin payments presentation final (4)
Pin payments presentation final (4)Iván Sanchez Vera
 
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptx
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptxImpacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptx
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptxIván Sanchez Vera
 
Economia de Recursos Naturales y Economia Tradicional
Economia de Recursos Naturales y Economia TradicionalEconomia de Recursos Naturales y Economia Tradicional
Economia de Recursos Naturales y Economia TradicionalIván Sanchez Vera
 
Nociones básica de ecología y recursos naturales.
Nociones básica de ecología y recursos naturales. Nociones básica de ecología y recursos naturales.
Nociones básica de ecología y recursos naturales. Iván Sanchez Vera
 
Economia de Recursos Naturales
Economia de Recursos NaturalesEconomia de Recursos Naturales
Economia de Recursos NaturalesIván Sanchez Vera
 
Proceso de Adquisiciones de Tecnologia
Proceso de Adquisiciones de TecnologiaProceso de Adquisiciones de Tecnologia
Proceso de Adquisiciones de TecnologiaIván Sanchez Vera
 
Proceso de Compra de Tecnologia
Proceso de Compra de TecnologiaProceso de Compra de Tecnologia
Proceso de Compra de TecnologiaIván Sanchez Vera
 

Plus de Iván Sanchez Vera (20)

Git res baz ec - final
Git res baz ec - finalGit res baz ec - final
Git res baz ec - final
 
Intro a Metodos Numericos
Intro a Metodos NumericosIntro a Metodos Numericos
Intro a Metodos Numericos
 
Intro Inteligencia Artificial (AI)
Intro Inteligencia Artificial (AI)Intro Inteligencia Artificial (AI)
Intro Inteligencia Artificial (AI)
 
Trajectory clustering - Traclus Algorithm
Trajectory clustering - Traclus AlgorithmTrajectory clustering - Traclus Algorithm
Trajectory clustering - Traclus Algorithm
 
Proofs on cryptocurrencies
Proofs on cryptocurrenciesProofs on cryptocurrencies
Proofs on cryptocurrencies
 
Social databases - A brief overview
Social databases - A brief overviewSocial databases - A brief overview
Social databases - A brief overview
 
(Draft) Nuevos caminos de innovación en tecnología
(Draft) Nuevos caminos de innovación en tecnología(Draft) Nuevos caminos de innovación en tecnología
(Draft) Nuevos caminos de innovación en tecnología
 
Pin payments presentation final (4)
Pin payments presentation final (4)Pin payments presentation final (4)
Pin payments presentation final (4)
 
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptx
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptxImpacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptx
Impacto de las Actividades Economicas sobre las Funciones de la Biosfera.pptx
 
Funciones Economicas Biosfera
Funciones Economicas BiosferaFunciones Economicas Biosfera
Funciones Economicas Biosfera
 
Economia de Recursos Naturales y Economia Tradicional
Economia de Recursos Naturales y Economia TradicionalEconomia de Recursos Naturales y Economia Tradicional
Economia de Recursos Naturales y Economia Tradicional
 
Nociones básica de ecología y recursos naturales.
Nociones básica de ecología y recursos naturales. Nociones básica de ecología y recursos naturales.
Nociones básica de ecología y recursos naturales.
 
Economia de Recursos Naturales
Economia de Recursos NaturalesEconomia de Recursos Naturales
Economia de Recursos Naturales
 
Tolerencia de fallas
Tolerencia de fallasTolerencia de fallas
Tolerencia de fallas
 
Ingenieria software
Ingenieria softwareIngenieria software
Ingenieria software
 
Pruebas de Software
Pruebas de SoftwarePruebas de Software
Pruebas de Software
 
Proceso de Adquisiciones de Tecnologia
Proceso de Adquisiciones de TecnologiaProceso de Adquisiciones de Tecnologia
Proceso de Adquisiciones de Tecnologia
 
Proceso de Compra de Tecnologia
Proceso de Compra de TecnologiaProceso de Compra de Tecnologia
Proceso de Compra de Tecnologia
 
Pasos para elaborar RFP
Pasos para elaborar RFPPasos para elaborar RFP
Pasos para elaborar RFP
 
Redes ieee 802_11n
Redes ieee 802_11nRedes ieee 802_11n
Redes ieee 802_11n
 

Cobit

  • 1. COBITCOBIT Ing. Byron Yong YongIng. Byron Yong Yong 20052005
  • 2. Reconocida como líder mundial en el gobierno, control y evaluación de TI. PRESENTACIÓN INSTITUCIONAL
  • 3. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •CONCLUSIONES
  • 4. ÍNDICE •INTRODUCCIÓNINTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
  • 5. CControl OBOBjectives forIInformation and Related TTechnology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas) DEFINICIÓN
  • 6. DEFINICIÓN COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: •los riesgos del negocio •las necesidades de control •y los aspectos tecnológicos, mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades
  • 7. “Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.” MISIÓN
  • 8. CARACTERÍSTICAS Orientado al negocio Alineado con estándares y regulaciones “de facto” (COSO, IFAC, IIA, ISACA, AICPA) Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI) Flexible
  • 9. Razones que me llevan a considerar implantar un modelo de gestión de TI •Dependencia creciente del negocio frente a la información •La Tecnología soporta la cuasi totalidad de los procesos del negocio •Los desarrollos constantes en TI y en las prácticas de negocio •La responsabilidad por el uso de la tecnología se extiende en la organización •Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio •Nivel de inversiones en tecnología
  • 10. Razones que me llevan a considerar implantar un modelo de gestión de TI •Constante aumento de vulnerabilidades y un amplio espectro de amenazas. •Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos •Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”) •Nuevas normativas (Sarbanes-Oxley act, comunicación 2003/179)
  • 11. ¿Quién necesita un modelo de gestión y control de TI ? Gerentes decisiones de inversión en TI equilibrar riesgo y control de las inversiones benchmark entre la situación de TI actual y la deseada Usuarios obtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamente Auditores fundamentar las opiniones vertidas a la gerencia en materia de control interno aconsejar sobre los controles mínimos necesarios
  • 12. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBITEL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
  • 13. COBIT 3ra EDICIÓN Resumen Ejecutivo Marco Referencial- Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Modelos de Madurez Factores Críticos de Éxito Indicadores Clave de Rendimiento Indicadores Clave de Logros Herramientas de implementación
  • 14. Executive Summary -- “Presentación del método” Framework -- “Explicación del método” Control Objectives -- “Controles mínimos” Audit Guidelines -- “Como auditar” Management Guidelines -- “Como medir la performance” Implementation Guide -- “Como implementar el método” ELEMENTOS
  • 15. Resumen Ejecutivo Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura básica de COBIT. Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.
  • 16. Marco de Referencia Incluye la introducción contenida en el resumen ejecutivo Presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT. Hace una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
  • 17. Objetivos de Control Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)
  • 18. Guías de Auditoría  Se hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información,evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos).  Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.
  • 19. Guías de Administración  Se enfoca de manera similar a los otros productos  Integra los principios del Balanced Businnes Scorecard.  Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: – Modelo de madurez CMM (prácticas de Control) – Indicadores claves de Desempeño de los procesos de TI – Factores Críticos de Éxito a tener en cuenta para mentener bajo control los procesos de TI.
  • 20. Herramientas de Implementación Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado CobiT Incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI Respuestas a las 25 preguntas mas frecuentes sobre CobiT
  • 21. CD-ROM El CD-ROM de CobiT contiene toda la información relacionada con los objetivos de Control y guías de Auditoría, facilitando. su búsqueda y acceso. Permite contar con las guías por objetivo de control de una manera fácil y oportuna cuando se están realizando labores de auditoría.
  • 22. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODOPRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
  • 23. PRINCIPIOS El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
  • 25. Requerimientos de la Información para el Negocio Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad. Costo. Oportunidad. Confidencialidad. Integridad. Disponibilidad.
  • 26. Requerimientos de la Información para el Negocio EfectividadEfectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia:Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) ConfidencialidadConfidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad:Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
  • 27. Requerimientos de la Información para el Negocio DisponibilidadDisponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. CumplimientoCumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad:Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
  • 28. DatosDatos: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Aplicaciones:Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología:Tecnología:incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones:Instalaciones:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recursos HumanosRecursos Humanos: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. RECURSOS DE TI
  • 29. PROCESOS DE TI “Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.
  • 30. PROCESOS DE TI Los procesos se agrupan en dominios:Los procesos se agrupan en dominios: Planeación y OrganizaciónPlaneación y Organización (Planning and organization) Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation) Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support) SeguimientoSeguimiento (monitoring)
  • 31. Procesos Actividades o tareas Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. PROCESOS DE TI
  • 32. Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad PROCESOS DE TI
  • 33. Servicios y Soporte Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente PROCESOS DE TI
  • 35. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODOEXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
  • 36. Vista de los Usuarios ProcesosTI Dominios Procesos Actividades Relación entre los componentes Datos Applicaciones Tecnología Instalaciones RecursoHumano Recursos de TI Calidad Confiabilidad Seguridad Criterios de la Información (7) Vista de la Gerencia de TI y especialistas Vista de la Dirección CUBO COBIT
  • 37. Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios Seguimiento Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente Servicios y Soporte Definición del nivel de servicio Admistración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones
  • 38. MARCO DE REFERENCIA Procesos del Negocio Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Información Lo que usted Obtiene Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan
  • 39. MARCO DE REFERENCIA Prácticas De Control Objetivos De control Requerimientos de negocios Procesos de TI El control de que satisfacen se habilitan por Diagrama de cascada
  • 40. ASISTENTE DE NAVEGACIÓN personas aplicaciones tecnología instalacionesdatos Tres posiciones ventajosas Criterios de información Procesos de TI Recursos de TI efectividad eficiencia Confidencialidad integridad disponibilidad cumplimiento confiabilidad S P Declaraciones de Control Prácticas de Control e s habilitado po r las co nside rando las Procesos de TI Elco nto lde lo s Requerimientos de Negocio q ue satis face lo s Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo Vínculo entre Procesos, Recursos y Criterios
  • 41. El control sobre el proceso de: administrar la seguridad de los sistemas Satisface los requerimientos del negocio: salvaguardar información contra uso, difusión o modificaciones no autorizadas, daño o pérdida Considerando: autorización, autenticación, uso de perfiles e identificaciones, firewalls, detección y protección de virus, manejo de incidentes, etc. Es posible por: controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizados Organización y planeación Adquisición e implementación Monitoreo Entrega y soporte efectividadeficiencia Confidencialidad integridad disponibilidad cumplimiento confiabilidad SSSPP OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5 personas aplicaciones tecnología instalacionesdatos
  • 42. •Administrar Medidas de Seguridad •Identificación, Autenticación y Acceso •Seguridad de Acceso a Datos en Línea •Administración de Cuentas de Usuario •Revisión Gerencial de Cuentas de Usuario •Control de Usuarios sobre Cuentas de Usuario •Vigilancia de Seguridad •Clasificación de Datos •Identificación y administración de asignación de derechos •Reportes de Violación y de Actividades de Seguridad •Manejo de Incidentes •Reacreditación •Confianza en Contrapartes •Autorización de transacciones •No negación •Sendero Seguro •Protección de funciones de seguridad •Administración de Llaves Criptográficas •Prevención, Detección y Corrección de Software "Malicioso” •Arquitectura de Fire Walls y conexión a redes públicas •Protección de Valores Electrónicos Actividades de Control
  • 43. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOSCOMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONES
  • 44. Comparación de conceptos de ControlComparación de conceptos de Control InternoInterno CobiT 1996/1998 COSO 1992 SAC 1991/1994 SAS 55 - 1988 Definición de Control Interno Definición de Objetivos de Control de T I SAS 78 - 1995 Conceptos de Control Interno Conceptos de Control Interno enmienda Contribuciones al concepto de Control Interno
  • 45. Comparación de Conceptos de Control COBIT SAC COSO SASs 55/78 Dirigido a: Administración, Usuarios, Auditores de Sistemas Responsables de TI Auditores Internos Administración Auditores Externos El Control Interno es Visto como Conjunto de procesos incluyendo políticas, procedimientos, prácticas y estructura Organizacional Conjunto de procesos, subsistemas y personas Procesos Procesos Los Objetivos Organizacionales de Control Interno Efectividad y Eficiencia de las operaciones Confidencialidad, Integridad y disponibilidad de la información Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Efectividad y Eficiencia de las operaciones Confiabilidad en los reportes financieros Cumplimiento con leyes y normas Componentes o Dominios Dominios: Planeación y Organización Adquisición e implantación Servicio y Soporte Seguimiento Componentes: Ambiente de Control Sistemas Manuales y Automatizados. Procedimientos de Control Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Componentes: Ambiente de Control Evaluación de Riesgo Actividades de Control Información y Comunicación Seguimiento Enfocado a Tecnología de Información Tecnología de Información Toda la Organización Estados Financieros Evaluación de la Efectividad del Control I. Por un periodo de tiempo Por un periodo de tiempo En un punto en el tiempo Por un periodo de tiempo Responsable por el Control Interno Administración Administración Administración Administración Tamaño 187 páginas en 4 volúmenes 1193 páginas en 12 módulos 353 páginas en 4 volúmenes 63 páginas en 2 documentos
  • 46. ÍNDICE •INTRODUCCIÓN •EL PRODUCTO COBIT •PRESENTACIÓN DEL MÉTODO •EXPLICACIÓN DEL MÉTODO •COMPARACIÓN CON OTROS MÉTODOS •CONCLUSIONESCONCLUSIONES
  • 47. COBIT DISPONIBILIZA MÚLTIPLES ENFOQUES La GerenciaLa Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios FinalesLos Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente Los AuditoresLos Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TILos Responsables de TI: para identificar los controles que requieren en sus áreas
  • 48. COBIT PERMITE •Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información, independientemente de la tecnología empleada •Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI •Aumentar el valor de la empresa •Gestión orientada hacia el enfoque de dueños de procesos •Alineación de objetivos de TI con objetivos del negocio •Utilización eficiente y eficaz de los recursos de TI
  • 49. COBIT NECESITA •Concientización, capacitación y entrenamiento •Adaptación a mi organización •Ser complementada con otros modelos que me permitan contar con un gobierno corporativo adecuado •Fijar roles y responsabilidades