1. COBIT proporciona estándares y buenas prácticas para el control de tecnologías de la información en organizaciones. 2. Está estructurado en 4 dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y Monitoreo. 3. Cada dominio cubre varios procesos clave relacionados con la gestión y entrega de servicios y recursos de TI.

1. COBIT César Pallavicini Z. www.seguridadinformacion.cl

2. C Control OB OBjectives I for Information T and Related Technology

4. Misión del COBIT “ Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores ”.

6. Componentes del C OBI T Resumen Ejecutivo Descripción de la Estructura Objetivos de Control Guías de Auditoría

12. Definición de Control “ Las Políticas, Procedimientos, Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad de que los objetivos del negocio serán alcanzados y los eventos indeseados serán prevenidos o detectados y corregidos.”

14. Requerimientos del Negocio hacia la Información Calidad Costo Entrega Efectividad & Eficiencia de operaciones Confiabilidad de Información Cumplimiento con leyes & regulaciones Confidencialidad Integridad Disponibilidad Requerimientos de calidad Requerimientos Fiduciarios (Informe COSO) Requerimientos de Seguridad

15. Requerimientos del Negocio hacia la Información Efectividad Eficiencia Se relaciona con la provisión de información a través del óptimo (más productivo y económico ) uso de recursos. Confidencialidad Se relaciona con la protección de información sensible a divulgación No autorizada. Integridad Se relaciona con la exactitud e integridad de información así como también con su validez en conformidad con valores y expectativas del NEGOCIO. Trata con información que es relevante y pertinente al proceso de negocio, además de ser entregada de una manera oportuna, correcta, consistente y utilizable.

16. Requerimientos del negocio hacia la Información Disponibilidad Cumplimiento Trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente. Se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento. Confiabilidad de Información Se relaciona con información disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.

17. Recursos de la Tecnología de la Información (T.I.) Datos Objetos en su más amplio sentido (es decir, externos e internos), estructurados y no estructurados, gráficos, sonidos, etc. Los sistemas de aplicación, se entienden como la suma de procedimientos manuales y programados. Sistemas de Aplicación [email_address] Pallavicini Consultores www.seguridadinformatica.cl

18. Recursos de la Tecnología de la Información (T.I.) Tecnología Tecnología cubre hardware, sistemas operativos, Sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones son todos los recursos para albergar y respaldar Sistemas de información. Gente Gente incluye las destrezas, conciencia y productividad del personal para planificar, organizar, adquirir, entregar, respaldar y Monitorear sistemas y servicios de información. Instalaciones Tecnología Instalación Gente

19. Procesos de Información Tres Niveles Dominios Procesos Actividades

20. Dominios del Cobit Planificación y Organización Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.

21. Dominios del Cobit Adquisición e Implementación Para realizar la estrategia TI, se deben identificar, desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.

22. Dominios del Cobit . . Entrega y Respaldo Procedimientos manuales y programados. real de servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a menudo clasificados bajo controles de aplicaciones. www.seguridadinformacion.cl

23. Dominios del Cobit Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda la supervisión por parte de la gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditoría interna y externa, o se obtiene de fuentes alternativas. Monitoreo

24. OBJETIVOS DE NEGOCIOS COBIT INFORMACION PLANIFICACION & ORGANIZACION RECURSOS TI ENTREGA & RESPALDO ADQUISICIÓN & IMPLEMENTACION · efectividad · eficiencia · confidencialidad · integridad · disponibilidad · cumplimiento · confiabilidad AI1 identificar soluciones AI2 adquirir y mantener software de aplicaciones AI3 adquirir y mantener arquitectura de tecnología AI4 desarrollar y mantener recursos TI AI5 instalar y acreditar sistemas AI6 administrar cambios DS1 definir niveles de servicio DS2 administrar servicios de terceros DS3 administrar desempeño y capacidad DS4 asegurar servicio continuo DS5 asegurar seguridad de sistemas DS6 identificar y atribuir costos DS7 adecuar y capacitar a usuarios DS8 ayudar y aconsejar a clientes de TI DS9 administrar la configuración DS10 administrar problemas e incidentes DS11 administrar datos DS12 administrar instalaciones DS13 administrar operaciones · gente · sistemas de aplicaciones · tecnología · instalaciones · datos      MONITOREO M1 monitorear los procesos M2 evaluar adecuación de control interno M3 lograr garantía independiente M4 disponer de auditoría interna PO1 definir un plan TI estratégico PO2 definir la arquitectura de información PO3 determinar la dirección tecnológica PO4 definir la organización TI y relaciones PO5 administrar la inversión en TI PO6 comunicar a gerencia metas y dirección PO7 administrar recursos humanos PO8 asegurar cumplimiento con requerimientos externos PO9 evaluar riesgos PO10 administrar proyectos PO11 administrar calidad