SlideShare une entreprise Scribd logo

Optimización de la información para el negocio

Télécharger en tant que PPT, PDF
Nehomar Labrador Joves
Nehomar Labrador Joves

Este documento resume el proceso PO7 Administración de Recursos Humanos de COBIT, el cual incluye 7 objetivos relacionados con el reclutamiento, capacitación, evaluación del desempeño y gestión general del personal de TI. El proceso busca asegurar que el personal esté calificado y entrenado para cumplir los objetivos estratégicos de la organización.

1  sur  44
Republica Bolivariana de Venezuela Ministerio del Poder Popular Para la Educación Superior Universidad Nacional Experimental Politécnica de las Fuerzas Armadas Bolivarianas de Venezuela UNEFA. San Cristóbal, Edo. Táchira. COBIT 4.1 Integrantes: Labrador J. Nehomar A. Peña L. Yoel A. Análisis de Sistemas
C Control OB OBjectives I For Information T and Related Technology
ORIGEN DE COBIT  Actualización de los objetivos de control de ISACF  Expansión del enfoque a las necesidades de la Administración y el Usuario  Perspectiva Global  Comité de Análisis Nehomar Labrador
MISION DE COBIT Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores. Nehomar Labrador
ALCANCES Y OBJETIVOS:  Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información)  Para Sistemas de Información de la Organización  Fundamentado en una estructura de control de las TI  Basado en los Objetivos de Control de ISACF. Nehomar Labrador
Componentes del COBIT Resumen Ejecutivo Descripción de la Estructura Objetivos de Control Guías de Auditoría Nehomar Labrador
• Visión Ejecutiva • Antecedentes • La Estructura del COBIT • Definiciones • Los Principios de la Estructura • Dominios y Procesos • Relaciones entre Principios, Dominios y Procesos Nehomar Labrador
Necesidad por una Estructura  Orientación al Control  Relacionar objetivos de control individuales con los Estándares, Regulaciones y Prácticas existentes.  Usado por Auditores, Administradores y Usuarios Nehomar Labrador
Expectativas de la administración en TI  Proceso de Re-Ingeniería  Proceso Distribuido  Outsourcing Nehomar Labrador
Responsabilidades Administrativas TI  Salvaguardar Activos  La Información como el ACTIVO más importante Nehomar Labrador
La Necesidad del Control en TI  Administradores  Usuarios  Auditores Nehomar Labrador
Definición de Control “Las Políticas, Procedimientos, Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad de que los objetivos del negocio serán alcanzados y los eventos indeseados serán prevenidos o detectados y corregidos.” Nehomar Labrador
Recursos de Tecnología de Información  Datos  Sistemas de Aplicación  Tecnología  Instalaciones  Personal Nehomar Labrador
Procesos de Información Tres Niveles Dominios Procesos Actividades Nehomar Labrador
Dominios del Cobit Planificación Este dominio cubre estrategia y táctica, y se relaciona y con la identificación de la forma en que TI puede Organización contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica. Nehomar Labrador
Dominios del Cobit Adquisición e Para realizar la estrategia TI, se deben Implementación identificar, desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas. Nehomar Labrador
Dominios del Cobit Procedimientos manuales y programados. real de Entrega y Respaldo servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos . de aplicaciones, a menudo clasificados bajo . controles de aplicaciones. www.seguridadinformacion.cl Nehomar Labrador
Dominios del Cobit Monitoreo Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda la supervisión por parte de la gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditoría interna y externa, o se obtiene de fuentes alternativas. Nehomar Labrador
Cubo COBIT: Procesos de TI ►COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios: Planear y Organizar Adquirir e Implementar Entrega y Soporte Monitorear y Evaluar ►Procesos son series de actividades con límites de control naturales. Existen 34 procesos a través de cuatro dominios. Estos procesos especifican lo que el negocio necesita para cumplir sus objetivos. La entrega de información es controlada por los 34 procesos de TI. ►Actividades son acciones que son requeridas para alcanzar resultados medibles. Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas. Yoel Peña
Planear y Organizar(PO) ► Objetivos:  Formular estrategias y tácticas  Identificar como la TI puede contribuir a alcanzar los objetivos de la organización. Planear, comunicar y administrar la realización de la visión estratégica. implementar la infraestructura organizacional y tecnológica. ► Enfoque: ¿Están la TI y la organización estratégicamente alineados? ¿Está logrando la organización un óptimo uso de sus recursos? ¿Todo mundo en la organización entiende los objetivos de TI? ¿Los riesgos de TI están siendo entendidos y administrados? ¿ La calidad de los sistemas de TI es apropiada para las necesidades de la organización? Yoel Peña
Yoel Peña
Adquirir e Implementar (AI) ► Objetivos: Identificar, desarrollar o adquirir, implementar e integrar las soluciones de TI. Cambios y mantenimiento de los sistemas existentes. ► Enfoque: ¿Los nuevos proyectos entregarán soluciones que satisfagan las necesidades de negocio? ¿Los nuevos proyectos se entregarán a tiempo y dentro del presupuesto? ¿Funcionarán los nuevos sistemas apropiadamente cuando se implementen? ¿Los cambios serán hechos sin afectar las actuales operaciones de negocios? Yoel Peña
Yoel Peña
Entrega y Soporte (DS) ► Objetivos: El proceso de entrega de los servicios requeridos. La administración de la Seguridad, continuidad, datos e instalaciones operativas. Servicio de soporte para usuarios. ► Enfoque: ¿Los servicios de TI son entregados de acuerdo a las prioridades institucionales? ¿Los costos de TI están optimizados? ¿La fuerza laboral es capaz de utilizar los sistemas TI de forma productiva y segura? ¿Son adecuadas la confidencialidad, integridad y disponibilidad de los sistemas? Yoel Peña
Yoel Peña
Monitorear y Evaluar (ME) ► Objetivos: Administración del Desempeño Monitoreo del Control Interno Garantizar el cumplimiento regulatorio Proveer gobierno de TI ► Enfoque: ¿El desempeño de TI es medido para detectar problemas antes que sea demasiado tarde? ¿La administración asegura que los controles sean efectivos y eficientes? ¿Puede vincularse el desempeño de TI a las metas de negocio? ¿Los riesgos, controles, incumplimientos y desempeño son medidos y reportados? Yoel Peña
Yoel Peña
Criterios de Información ►Para satisfacer los objetivos de negocio, la información necesita estar conforme a criterios específicos de control, a los cuales COBIT se refiere como Requerimientos de Información por parte del negocio. ►Los criterios de información están basados en los requerimientos siguientes: Calidad Fiduciario Seguridad Yoel Peña
Trata acerca de la información relevante y pertinente para el proceso de negocios así como también si ha sido entregada de manera oportuna, correcta, consistente y usable. Le concierne la provisión de información a través de óptimo uso de los recursos (mas productiva y económicamente) Le concierne la protección de información sensible de accesos no autorizados Se relaciona con la exactitud y lo completo de la información así como su validez de acuerdo a los valores y expectativas del negocio Yoel Peña
Se relaciona con la información esté disponible cuando sea requerida por los procesos de negocio ahora y en el futuro. También la salvaguarda e los recursos necesarios y las capacidades asociadas. Trata con el cumplimiento de aquellas leyes, regulaciones y contratos a los que los procesos de negocio se adhieren, por ejemplo: criterios externos impuestos como también políticas internas. Ser relaciona con la provisión de información apropiada para la administración con el objeto de operar la entidad y ejercer las responsabilidades fiducidarias y de gobierno. Yoel Peña
Modelo de Madurez 0 – El proceso no es realizado. 1 – El proceso es realizado sin planificación. 2 – El proceso se realiza siguiendo un patrón regular. 3 – El proceso esta documentado y comunicado. 4 – El proceso es monitoreado y medido. 5 – Las prácticas líderes son seguidas y automatizadas. Yoel Peña
Tabla de Atributos de Madurez
Yoel Peña
Relaciones entre Metas Yoel Peña
Posibles Medidas de Resultados
Posibles Impulsores de Desempeño
PO7. Administración de Recursos Humanos 7.1. Reclutamiento y promoción de personal  Políticas de reclutamiento y promoción del personal.  Proceso formal de reclutamiento y promoción del personal.  Aspectos a considerar como la educación, experiencia y responsabilidad. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.2. Personal calificado.  Definición de requerimientos del puesto.  Proceso de verificación de la calificación de las personas. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.3. Entrenamiento del personal.  Proceso de inducción de nuevos empleados en la Empresa.  Programa de capacitación de acuerdo a los requerimientos de cargo.  Proceso periódico de revisión del programa de capacitación. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.4. Proceso cruzado o respaldo de personal.  Identificación de los puestos claves.  Programa de entrenamiento cruzado (puestos claves).  Programa de vacaciones/control de cumplimiento. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.5. Procedimiento de acreditación del personal  Procedimiento de verificación de antecedentes del personal previo a su contratación o cambio.  Consideración en el procedimiento de su situación financiera. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.6. Evaluación desempeño de los empleados.  Pauta de evaluación del desempeño de los empleados.  Consideración de estándares y responsabilidades del cargo que ocupa el empleado.  Procedimiento formal de aplicación periódica de dicha pauta.  Procedimiento formal de entrega de resultados al empleado. Nehomar Labrador
PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.7. Cambios de puesto y despidos.  Procedimiento formal y conocido, para el despido y cambio del puesto, del personal  Procedimiento para la eliminación/suspensión inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo. Nehomar Labrador
Optimización de la información para el negocio

Recommandé

Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobitjulioandres55
 
Proyecto Cobit Auditoria
Proyecto Cobit AuditoriaProyecto Cobit Auditoria
Proyecto Cobit Auditoriacarloscv
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Cobit mapa mental
Cobit mapa mentalCobit mapa mental
Cobit mapa mentalAudisistemas
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Cobit
CobitCobit
CobitAlexander Velasque Rimac
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo finalOsita Sweet
 

Recommandé

Dominio del cobit
Dominio del cobitDominio del cobit
Dominio del cobitjulioandres55
 
Proyecto Cobit Auditoria
Proyecto Cobit AuditoriaProyecto Cobit Auditoria
Proyecto Cobit Auditoriacarloscv
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Cobit mapa mental
Cobit mapa mentalCobit mapa mental
Cobit mapa mentalAudisistemas
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Cobit
CobitCobit
CobitAlexander Velasque Rimac
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo finalOsita Sweet
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBITjaparicio2180
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacioncarlosskovar
 
Cobit4
Cobit4Cobit4
Cobit4Israel Rey
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
COBIT - Auditoría
COBIT - AuditoríaCOBIT - Auditoría
COBIT - AuditoríaEfrain Reyes
 
Procesos Cobit 4
Procesos Cobit 4Procesos Cobit 4
Procesos Cobit 4UNAM Facultad de Contaduría, Administración e Informática
 
Cobit planificar y organizar
Cobit planificar y organizarCobit planificar y organizar
Cobit planificar y organizarIsrael Rey
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBITCarlos Chavez Monzón
 
Cobit
CobitCobit
Cobitveronicaviana26
 
COBIT
COBITCOBIT
COBIT90706050
 
Cobit
CobitCobit
Cobitnikifitz
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las ticfelipe rebolledo barriga
 
Cobit
CobitCobit
Cobitlilianaaburto
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y OrganizarPUCE
 
Cobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y OrganizaciónCobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y OrganizaciónDaysi Elizabeth
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobittorres_0110
 
Cobit
CobitCobit
CobitKarencientis
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 
fff
ffffff
ffffabiancamargo25
 
Estandar cobit
Estandar cobit Estandar cobit
Estandar cobit fabiancamargo25
 

Contenu connexe

Tendances

Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacioncarlosskovar
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
COBIT - Auditoría
COBIT - AuditoríaCOBIT - Auditoría
COBIT - AuditoríaEfrain Reyes
 
Cobit planificar y organizar
Cobit planificar y organizarCobit planificar y organizar
Cobit planificar y organizarIsrael Rey
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit Soby Soby
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y OrganizarPUCE
 
Cobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y OrganizaciónCobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y OrganizaciónDaysi Elizabeth
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobittorres_0110
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITMiguel Rodríguez
 

Tendances (20)

ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 
Cobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacionCobit dominio planificacion y organizacion
Cobit dominio planificacion y organizacion
 
Cobit4
Cobit4Cobit4
Cobit4
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0
 
COBIT - Auditoría
COBIT - AuditoríaCOBIT - Auditoría
COBIT - Auditoría
 
Procesos Cobit 4
Procesos Cobit 4Procesos Cobit 4
Procesos Cobit 4
 
Cobit planificar y organizar
Cobit planificar y organizarCobit planificar y organizar
Cobit planificar y organizar
 
Capítulo 6 cobit
Capítulo 6 cobit Capítulo 6 cobit
Capítulo 6 cobit
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBIT
 
Cobit
CobitCobit
Cobit
 
COBIT
COBITCOBIT
COBIT
 
Cobit
CobitCobit
Cobit
 
Gobierno de las tic
Gobierno de las ticGobierno de las tic
Gobierno de las tic
 
Cobit
CobitCobit
Cobit
 
Planear Y Organizar
Planear Y OrganizarPlanear Y Organizar
Planear Y Organizar
 
Cobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y OrganizaciónCobit-Dominio Planificación Y Organización
Cobit-Dominio Planificación Y Organización
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
Exposicion cobit
Exposicion cobitExposicion cobit
Exposicion cobit
 
Cobit
CobitCobit
Cobit
 
Procesos de implantación de TI - COBIT
Procesos de implantación de TI - COBITProcesos de implantación de TI - COBIT
Procesos de implantación de TI - COBIT
 

Similaire à Optimización de la información para el negocio

Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organizaciónEDUARKON
 
Cobit 4
Cobit 4Cobit 4
Cobit 4Martha
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSANTOS400018
 
Fernanda guerra.doc
Fernanda guerra.docFernanda guerra.doc
Fernanda guerra.docozfernanda
 
Fernanda guerra.doc
Fernanda guerra.docFernanda guerra.doc
Fernanda guerra.docozfernanda
 
auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITepenate
 

Similaire à Optimización de la información para el negocio (20)

fff
ffffff
fff
 
Estandar cobit
Estandar cobit Estandar cobit
Estandar cobit
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 
Planificacion organización
Planificacion organizaciónPlanificacion organización
Planificacion organización
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
Cobit 4
Cobit 4Cobit 4
Cobit 4
 
Cobit
CobitCobit
Cobit
 
CsOBIT.ppt
CsOBIT.pptCsOBIT.ppt
CsOBIT.ppt
 
Cobit
CobitCobit
Cobit
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
Cobit
CobitCobit
Cobit
 
Trabajo de auditoria
Trabajo de auditoria Trabajo de auditoria
Trabajo de auditoria
 
Cobit
CobitCobit
Cobit
 
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.pptSesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
Sesion_15-Auditoria-Redes-COBITDSFSDFA.ppt
 
Fernanda guerra.doc
Fernanda guerra.docFernanda guerra.doc
Fernanda guerra.doc
 
Fernanda guerra.doc
Fernanda guerra.docFernanda guerra.doc
Fernanda guerra.doc
 
COBIT.ppt
COBIT.pptCOBIT.ppt
COBIT.ppt
 
auditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBITauditoria informatica mediante marco de COBIT
auditoria informatica mediante marco de COBIT
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 

Optimización de la información para el negocio

  • 1. Republica Bolivariana de Venezuela Ministerio del Poder Popular Para la Educación Superior Universidad Nacional Experimental Politécnica de las Fuerzas Armadas Bolivarianas de Venezuela UNEFA. San Cristóbal, Edo. Táchira. COBIT 4.1 Integrantes: Labrador J. Nehomar A. Peña L. Yoel A. Análisis de Sistemas
  • 2. C Control OB OBjectives I For Information T and Related Technology
  • 3. ORIGEN DE COBIT  Actualización de los objetivos de control de ISACF  Expansión del enfoque a las necesidades de la Administración y el Usuario  Perspectiva Global  Comité de Análisis Nehomar Labrador
  • 4. MISION DE COBIT Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores. Nehomar Labrador
  • 5. ALCANCES Y OBJETIVOS:  Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información)  Para Sistemas de Información de la Organización  Fundamentado en una estructura de control de las TI  Basado en los Objetivos de Control de ISACF. Nehomar Labrador
  • 6. Componentes del COBIT Resumen Ejecutivo Descripción de la Estructura Objetivos de Control Guías de Auditoría Nehomar Labrador
  • 7. • Visión Ejecutiva • Antecedentes • La Estructura del COBIT • Definiciones • Los Principios de la Estructura • Dominios y Procesos • Relaciones entre Principios, Dominios y Procesos Nehomar Labrador
  • 8. Necesidad por una Estructura  Orientación al Control  Relacionar objetivos de control individuales con los Estándares, Regulaciones y Prácticas existentes.  Usado por Auditores, Administradores y Usuarios Nehomar Labrador
  • 9. Expectativas de la administración en TI  Proceso de Re-Ingeniería  Proceso Distribuido  Outsourcing Nehomar Labrador
  • 10. Responsabilidades Administrativas TI  Salvaguardar Activos  La Información como el ACTIVO más importante Nehomar Labrador
  • 11. La Necesidad del Control en TI  Administradores  Usuarios  Auditores Nehomar Labrador
  • 12. Definición de Control “Las Políticas, Procedimientos, Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad de que los objetivos del negocio serán alcanzados y los eventos indeseados serán prevenidos o detectados y corregidos.” Nehomar Labrador
  • 13. Recursos de Tecnología de Información  Datos  Sistemas de Aplicación  Tecnología  Instalaciones  Personal Nehomar Labrador
  • 14. Procesos de Información Tres Niveles Dominios Procesos Actividades Nehomar Labrador
  • 15. Dominios del Cobit Planificación Este dominio cubre estrategia y táctica, y se relaciona y con la identificación de la forma en que TI puede Organización contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica. Nehomar Labrador
  • 16. Dominios del Cobit Adquisición e Para realizar la estrategia TI, se deben Implementación identificar, desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas. Nehomar Labrador
  • 17. Dominios del Cobit Procedimientos manuales y programados. real de Entrega y Respaldo servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos . de aplicaciones, a menudo clasificados bajo . controles de aplicaciones. www.seguridadinformacion.cl Nehomar Labrador
  • 18. Dominios del Cobit Monitoreo Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda la supervisión por parte de la gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditoría interna y externa, o se obtiene de fuentes alternativas. Nehomar Labrador
  • 19. Cubo COBIT: Procesos de TI ►COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios: Planear y Organizar Adquirir e Implementar Entrega y Soporte Monitorear y Evaluar ►Procesos son series de actividades con límites de control naturales. Existen 34 procesos a través de cuatro dominios. Estos procesos especifican lo que el negocio necesita para cumplir sus objetivos. La entrega de información es controlada por los 34 procesos de TI. ►Actividades son acciones que son requeridas para alcanzar resultados medibles. Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas. Yoel Peña
  • 20. Planear y Organizar(PO) ► Objetivos:  Formular estrategias y tácticas  Identificar como la TI puede contribuir a alcanzar los objetivos de la organización. Planear, comunicar y administrar la realización de la visión estratégica. implementar la infraestructura organizacional y tecnológica. ► Enfoque: ¿Están la TI y la organización estratégicamente alineados? ¿Está logrando la organización un óptimo uso de sus recursos? ¿Todo mundo en la organización entiende los objetivos de TI? ¿Los riesgos de TI están siendo entendidos y administrados? ¿ La calidad de los sistemas de TI es apropiada para las necesidades de la organización? Yoel Peña
  • 22. Adquirir e Implementar (AI) ► Objetivos: Identificar, desarrollar o adquirir, implementar e integrar las soluciones de TI. Cambios y mantenimiento de los sistemas existentes. ► Enfoque: ¿Los nuevos proyectos entregarán soluciones que satisfagan las necesidades de negocio? ¿Los nuevos proyectos se entregarán a tiempo y dentro del presupuesto? ¿Funcionarán los nuevos sistemas apropiadamente cuando se implementen? ¿Los cambios serán hechos sin afectar las actuales operaciones de negocios? Yoel Peña
  • 24. Entrega y Soporte (DS) ► Objetivos: El proceso de entrega de los servicios requeridos. La administración de la Seguridad, continuidad, datos e instalaciones operativas. Servicio de soporte para usuarios. ► Enfoque: ¿Los servicios de TI son entregados de acuerdo a las prioridades institucionales? ¿Los costos de TI están optimizados? ¿La fuerza laboral es capaz de utilizar los sistemas TI de forma productiva y segura? ¿Son adecuadas la confidencialidad, integridad y disponibilidad de los sistemas? Yoel Peña
  • 26. Monitorear y Evaluar (ME) ► Objetivos: Administración del Desempeño Monitoreo del Control Interno Garantizar el cumplimiento regulatorio Proveer gobierno de TI ► Enfoque: ¿El desempeño de TI es medido para detectar problemas antes que sea demasiado tarde? ¿La administración asegura que los controles sean efectivos y eficientes? ¿Puede vincularse el desempeño de TI a las metas de negocio? ¿Los riesgos, controles, incumplimientos y desempeño son medidos y reportados? Yoel Peña
  • 28. Criterios de Información ►Para satisfacer los objetivos de negocio, la información necesita estar conforme a criterios específicos de control, a los cuales COBIT se refiere como Requerimientos de Información por parte del negocio. ►Los criterios de información están basados en los requerimientos siguientes: Calidad Fiduciario Seguridad Yoel Peña
  • 29. Trata acerca de la información relevante y pertinente para el proceso de negocios así como también si ha sido entregada de manera oportuna, correcta, consistente y usable. Le concierne la provisión de información a través de óptimo uso de los recursos (mas productiva y económicamente) Le concierne la protección de información sensible de accesos no autorizados Se relaciona con la exactitud y lo completo de la información así como su validez de acuerdo a los valores y expectativas del negocio Yoel Peña
  • 30. Se relaciona con la información esté disponible cuando sea requerida por los procesos de negocio ahora y en el futuro. También la salvaguarda e los recursos necesarios y las capacidades asociadas. Trata con el cumplimiento de aquellas leyes, regulaciones y contratos a los que los procesos de negocio se adhieren, por ejemplo: criterios externos impuestos como también políticas internas. Ser relaciona con la provisión de información apropiada para la administración con el objeto de operar la entidad y ejercer las responsabilidades fiducidarias y de gobierno. Yoel Peña
  • 31. Modelo de Madurez 0 – El proceso no es realizado. 1 – El proceso es realizado sin planificación. 2 – El proceso se realiza siguiendo un patrón regular. 3 – El proceso esta documentado y comunicado. 4 – El proceso es monitoreado y medido. 5 – Las prácticas líderes son seguidas y automatizadas. Yoel Peña
  • 32. Tabla de Atributos de Madurez
  • 35. Posibles Medidas de Resultados
  • 37. PO7. Administración de Recursos Humanos 7.1. Reclutamiento y promoción de personal  Políticas de reclutamiento y promoción del personal.  Proceso formal de reclutamiento y promoción del personal.  Aspectos a considerar como la educación, experiencia y responsabilidad. Nehomar Labrador
  • 38. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.2. Personal calificado.  Definición de requerimientos del puesto.  Proceso de verificación de la calificación de las personas. Nehomar Labrador
  • 39. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.3. Entrenamiento del personal.  Proceso de inducción de nuevos empleados en la Empresa.  Programa de capacitación de acuerdo a los requerimientos de cargo.  Proceso periódico de revisión del programa de capacitación. Nehomar Labrador
  • 40. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.4. Proceso cruzado o respaldo de personal.  Identificación de los puestos claves.  Programa de entrenamiento cruzado (puestos claves).  Programa de vacaciones/control de cumplimiento. Nehomar Labrador
  • 41. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.5. Procedimiento de acreditación del personal  Procedimiento de verificación de antecedentes del personal previo a su contratación o cambio.  Consideración en el procedimiento de su situación financiera. Nehomar Labrador
  • 42. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.6. Evaluación desempeño de los empleados.  Pauta de evaluación del desempeño de los empleados.  Consideración de estándares y responsabilidades del cargo que ocupa el empleado.  Procedimiento formal de aplicación periódica de dicha pauta.  Procedimiento formal de entrega de resultados al empleado. Nehomar Labrador
  • 43. PO7. Administración de Recursos Humanos (CONTINUACIÓN) 7.7. Cambios de puesto y despidos.  Procedimiento formal y conocido, para el despido y cambio del puesto, del personal  Procedimiento para la eliminación/suspensión inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo. Nehomar Labrador

Notes de l'éditeur

  1. INSTRUCTOR NOTES: C OBI T stands for Control Objetives for Information and Related Technology C OBI T is about information technology management and controls. It was developed as a generally applicable and accepted standard for good practices for Information Technology (IT) control. This presentation is designed to cover the following basic elements of C OBI T: * Background of C OBI T, its history, and how it evolved to where it is today; * How C OBI T will impact you and your organisation; * The C OBI T Framework ; * The C OBI T Framework’s Principles; * Guide to Using the C OBI T Framework and the Control Objetives ; * The Audit Guidelines ; and * Suggestions on how to implement C OBI T Ask the class if any of their organisations have completed, or is in the process of implementation. This would be a good class discussion at the end of the class)
  2. Many members have asked what the C OBI T name stands for. This slide depicts what the letters in C OBI T represent. Read slide C OBI T is so inclusive; therefore we added the phrase “and related technology” to the title as there may be technology NOT YET invented that will benefit from C OBI T application.
  3. C OBI T was initiated in 1992 when a scheduled rewrite of the existing Information Systems Audit and Control Foundation Control Objetives grew into a project with more profound goals. These goals included: 1. NEW MANAGERIAL FOCUS The Foundation, through the encouragement and diligence of several of its dedicated members, promoted the idea of rewriting and updating these control objectives to address not only audit issues and concerns, but also managerial and user issues as well. 2. GLOBAL PERSPECTIVE In addition, because of ISACA’s global presence, it was decided that the existing control objectives should be reviewed and revised to include a global perspective. This would be done by identifying and reviewing all significant existing and emerging international technical, professional, regulatory and industry-specific standards. STEERING COMMITTEE FORMED A Steering Committee was formed to ensure representation by ISACA members and industry leaders from every major geographical region around the world. Global representation guaranteed the inclusion of other current IS control “standards” or “generally accepted best practices” from around the world. This was a major improvement to the project. Reference: Page 6 of Control Objetives: Background
  4. The C OBI T project mission was consistent with the mission of the Information Systems Audit and Control Foundation -- To research, develop, publicise and promote an authoritative, up-to-date, international set of generally accepted IT Control Objetives for day-to-day use by business managers and auditors. C OBI T was intended to identify a framework that could also be used for other research and product initiatives. C OBI T was also required to identify the minimum controls for any IT environment through identification of specific control objectives. C OBI T would answer the most common question being asked by clients and users: “What are the minimum controls required in this circumstance”-- the minimums as promulgated by the standards setting body of the profession (ISACA/F.) Reference: Page 6 of Control Objetives
  5. The C OBI T control framework would be universal and applicable to all IT -- regardless of facility size, equipment type, applications, technology or type of data to be processed. C OBI T needed to select and direct its framework at IT controls, not at all the controls within the enterprise -- only IT controls . C OBI T would focus on the entire range of IT issues -- from the development of a single application to enterprise-wide information systems. As previously mentioned, the starting point would be ISACF’s 1992 Control Objetives for a totally new set of objectives, encompassing all prior knowledge. Reference: Page 6 of Control Objetives
  6. The C OBI T package consists of four separate documents. It is intended for the following users; 1. The Executive Summary (12 pages) is geared toward senior executives. It communicates the Framework and C OBI T principles. The Summary is a tool that can be used and/or given to senior management to demonstrate or sell the C OBI T process. 2. Framework (58 pages) is geared toward senior management. It contains the Executive Summary Information, the C OBI T Framework, and the Control Processes (32 processes) 3. The Control Objetives (118 pages and the basis for much of this presentation) is geared toward middle management. It contains all of the above as well as the Detailed Control Objetives. 4. The Audit Guidelines (194 pages) is geared toward the line manager and practitioner. It contains 33 guidelines -- 1 “generic” and 32 “process” audit work programs to give guidance on forming opinions about control environment. The following slides present details on each document.
  7. The Executive Summary is a means to communicate to senior management that: * There is a need for controlling IS quality, fiduciary reporting, and security. * There is a need to manage IT resources. * There is a method for doing this that allows consensus between IS and auditors. * This method is promulgated by ISACA as the standard method. * The method is from a managerial perspective, not just an audit one, as in the past. * The method links control assessment to the extent that IS supports business goals. * There are different “perspectives” for different levels within the organisation. * It is new and it is inclusive of IS controls standards and best practices worldwide. * It is understandable and workable as a means to ensure the successful use of IS resources. The Executive Summary contains the information on this slide to depict these points. (If you have a copy of the C OBI T Executive Summary , hold up the document to show to participants.)
  8. CONTROL ORIENTED The development of the C OBI T framework for control in IT is based on business information criteria and documented by control objectives . ALIGN INDIVIDUAL CONTROL OBJECTIVES An alignment of the overall framework and individual control objectives, with existing recognised and accepted international standards and regulations. USED BY MANY To gain acceptance, the framework must work and be understood by those individuals involved in the IT control process. For that reason, the C OBI T framework was designed to be used and understood by three distinct audiences. Management to help them balance risk and control IT investments; Users to ensure IT services are secure; and IS Auditors to substantiate their opinions to management on internal controls. Reference: Pages 6 and 9 of Control Objetives: Executive Overview
  9. Competition and change have changed management’s expectations for IT delivery. Requirements for increased quality, decreased delivery time and improving service levels have received emphasis. These expectations have been realised through changes such as : * Re-Engineered Processes; * Right-Sizing; * Distributed Processing; * Flattened organisations; and * Outsourcing. Reference: Page 7 of Control Objetives: Executive Overview
  10. The management responsibilities along with expectations are: SAFEGUARDING ASSETS: the physical and logical protection of assets, and MOST VALUABLE ASSET: information in and of itself is an asset -- granted a difficult one to quantify. (Anyone see the movie “The Net?”) Many organisations would find it difficult, if not impossible, to operate if data were not available through IT applications or technology resources. The underlying concept of the C OBI T framework is as follows: Control in IT requires looking at information as support to the major business processes. Reference: Page 7 of Control Objetives: Executive Overview
  11. Whereas prior ISACF Control Objetives were focused on the IS Auditor only, C OBI T is directed at management, users, and auditors. It consists of different products for different types and levels of audiences. Reference: Page 8-9 of Control Objetives
  12. This definition of control is adapted from the COSO Report (Committee of Sponsoring Organizations of the Treadway Commission. Internal Control -- Integrated Framework .1992) Reference: Page 10 of Control Objetives
  13. The underpinning concept of the C OBI T Framework is that control in IT is achieved by looking at information needed to support the business processes and by looking at information as being the result of the combined application of Information Technology related resources that need to be managed by IT processes. The IT resources can be explained/defined as follows: Data Data objects in their widest sense i.e., external and internal, structured and not structured, graphics, sound, etc. Application Systems Collections of computer programs performing a specific task or tasks and understood in the C OBI T context to be both manual and computerised. Technology Hardware, operating systems, data base management, networking, multi-media, telecommunications, telephone Facilities Resources to house and support information systems People Staff, their skills, awareness and productivity to plan, organise, acquire, deliver support and monitor information systems and services. Reference: Page 11 of Control Objetives
  14. The C OBI T Framework consists of high-level IT Control Objetives and an overall structure for their classification and presentation. The underlying theory for the chosen classification is that there are, in essence, three levels of IT efforts when considering the management of IT resources. They are; BUSINESS REQUIREMENTS, IT PROCESSES, and IS RESOURCES. We have developed the BUSINESS REQUIREMENTS and criteria. We have developed the IT RESOURCES of data, applications, facilities, data, and technology. Now we will develop IT PROCESSES . DOMAINS are large processes such as corporations, divisions, geographic locations or sites. PROCESSES are specific “naturally grouped” activities, such as departments within one location. ACTIVITIES are tasks that need to be done to generate a desired end -- event, product, service, etc. Reference: Page 14 of Control Objetives